آبجی
24th July 2009, 06:16 PM
چگونه نفوذگران را فریب دهیم ؟
در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روشهاي حمله او بدانيد بهتر ميتوانيد از خودتان در مقابل او دفاع کنيد.
استفاده از Honeypotها يکي از روشهايي است که ميتوانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.
Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده ميشود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا،درپشتي يا سرويسدهندههاي ضعيف و داراي اشکال نصب ميشود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراهکنندهاي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.
يک سيستم Honeypot عملاً هيچ فايدهاي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسي به سرويس دهندههاي حساس جلوگيري ميکند. اطلاعات غلط ممکن است ساعتها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آنکه يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکهاي از Honeypotهاست که به گونهاي تنظيم ميشوند که شبيه يک شبکة واقعي به نظر برسند.
دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده ميشوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم ميتواند با مشاهدة تکنيکها و روشهاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته ميشود و نقاط آسيبپذير سيستم را شناسايي و نسبت به ترميم آنها اقدام کند.
دليل دوم جمعآوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آنکه نفوذگر يک سيستم ضعيف و آسيبپذير را در شبکه کشف ميکند بنابراين تمام تلاشهاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز ميشود. ميتوان يک سيستم تشخيص نفوذ(IDS) را در کنار اين سيستم نصب کرد تا تلاشهاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت ميکند.
هدف اصلي يک Honeypot شبيهسازي يک شبکه است که نفوذگران سعي ميکنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست ميآيد، ميتواند براي کشف آسيبپذيريهاي شبکة فعلي و رفع آنها استفاده شود.
Honeypot چه کارهايي ميتواند انجام دهد؟
با توجه به اين که از يک Honeypot چه ميخواهيم، Honeypot ميتواند کارهاي زير را انجام دهد :
· فراهم کردن هشدارهايي در مورد حملات در حال انجام
· معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيفترين و آسيبپذيرترين سيستم در شبکه شروع ميکنند. زماني که آنها صرف کلنجار رفتن با اين سيستم قلابي ميکنند ميتواند يک آسودگي خاطر براي بقية ماشينها ايجاد کند.)
· فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
· فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه ميخواهند، سطح مهارتهايشان و ابزارهايي که استفاده ميکنند)
· فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر
همچنين Honeypot مانع انجام کارهاي زير توسط نفوذگر ميشود :
· دسترسي به دادههاي واقعي
· کنترلهاي مديريتي در سطح شبکه
· دستيابي به ترافيک واقعي شبکه
· کنترل بر ديگر ابزارهاي متصل به شبکه
با استفاده از مهندسي اجتماعي ميتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيهتر باشد، محيط واقعيتر است و باعث ميشود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفهاي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آنها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليستهاي پستي اضافه کنيد، ...
همچنين ميتوان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع روي هدف قلابي(سيستم Honeypot) نصب ميکند اطلاعات غلط و بيهوده براي او ارسال ميشود و او به خيال آن که نفوذش در شبکه واقعي است، ساعتها وقت تلف ميکند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نميخورد. بنابراين بايد آن را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفهاي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مييابيد.
محل قرار گرفتن Honeypot در شبکه
يک Honeypot ميتواند در هرجايي که يک سرويس دهنده قادر است قرار بگيرد، واقع شود ولي مطمئناً برخي جاها بهتر از بقيه است.
يک Honeypot با توجه به سرويسهاي مورد استفاده ميتواند در اينترنت يا اينترانت مورد استفاده قرار گيرد. اگر بخواهيم فعاليتهاي خرابکارانة اعضاي ناراضي را در شبکة خصوصي کشف کنيم قرار دادن Honeypot در اينترانت مفيد است. در اينترانت Honeypot پشت ديوارة آتش قرار ميگيرد.
در شبکة اينترنت يک Honeypot ميتواند در يکي از محلهاي زير قرار گيرد :
1-جلوي ديوارة آتش
2-درون DMZ
با قرار گرفتن Honeypot در جلوي ديوارة آتش، خطر داشتن يک سيستم تحت سيطرة نفوذگر در پشت ديوارة آتش از بين ميرود و هيچ خطر اضافي (منتج از نصب Honeypot) متوجه شبکة داخلي نميشود.
يک Honeypot مقداري ترافيک ناخواسته مثل پويش درگاه يا الگوهاي حمله را ايجاد و جذب ميکند که با قرار دادن Honeypot در بيرون از ديوارة آتش چنين وقايعي توسط ديوارة آتش ثبت نميشود و سيستم تشخيص نفوذ داخلي (که در حالت عادي در مواجهه با چنين رخدادهايي هشدار توليد ميکند) پيغام هشدار توليد نميکند.
عيب قرار گرفتن Honeypot جلوي ديوارة آتش اين است که نفوذگران داخلي به راحتي فريب نميخورند، مخصوصاً اگر ديوارة آتش ترافيک خروجي و در نتيجه ترافيک دريافتي Honeypot را محدود کند.
قرار گرفتن Honeypot درون يک DMZ يک راهحل خوب به نظر ميرسد به شرطي که امنيت ديگر سيستمهاي درون DMZ در برابر Honeypot برقرار شود. از آنجايي که فقط سرويسهاي مورد نياز اجازة عبور از ديوارة آتش را دارند، دسترسي کامل به اغلب DMZها ممکن نيست. به اين دليل و با توجه به اينکه تنظيم قوانين مرتبط روي ديوارة آتش کاري زمانبر و مخاطرهآميز است، در چنين حالتي قرار دادن Honeypot جلوي ديوارة آتش مورد توجه قرار ميگيرد.
قرار دادن Honeypot پشت ديوارة آتش، ميتواند باعث بروز خطرات امنيتي جديدي در شبکة داخلي شود، مخصوصاً اگر شبکة داخلي توسط ديوارههاي آتش اضافي در برابر Honeypot ايمن نشده باشد. توجه داشته باشيد که اگر Honeypot را پشت يک ديوارة آتش قرار ميدهيد، بايد قوانين ديوارة آتش را طوري تنظيم کنيد که دسترسي از اينترنت مجاز باشد.
بزرگترين مشکل وقتي به وجود ميآيد که يک نفوذگر خارجي کنترل Honeypot داخلي را در اختيار ميگيرد. در اين صورت نفوذگر امکان دسترسي به شبکة داخلي را از طريق Honeypot به دست ميآورد. زيرا اين ترافيک، به عنوان ترافيک ورودي به Honeypot در نظر گرفته ميشود و از آنجايي که ترافيک ورودي به Honeypot مجاز است، ديوارة آتش جلوي عبور اين ترافيک را نميگيرد. بنابراين ايمن کردن Honeypot داخلي ضروري است. دليل اصلي قرار گرفتن Honeypot پشت ديوارة آتش شناسايي نفوذگران داخلي است.
بهترين راهحل قرار دادن يک Honeypot درون DMZ به همراه يک ديوارة آتش است. بسته به اينکه هدف شناسايي نفوذگران داخلي يا خارجي است، ديوارة آتش ميتواند به اينترنت يا اينترانت وصل شود.
در حقيقت شما ميخواهيد از طريق Honeypot يک مانور ترتيب بدهيد و به يک دشمن فرضي حمله کنيد يا در مقابل يک دشمن فرضي بايستيد. لذا شرايط را به صورت واقعي تنظيم کنيد.
در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روشهاي حمله او بدانيد بهتر ميتوانيد از خودتان در مقابل او دفاع کنيد.
استفاده از Honeypotها يکي از روشهايي است که ميتوانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.
Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده ميشود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا،درپشتي يا سرويسدهندههاي ضعيف و داراي اشکال نصب ميشود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. همچنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراهکنندهاي براي به اشتباه انداختن نفوذگر نيز گذاشته شود.
يک سيستم Honeypot عملاً هيچ فايدهاي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آنها با اطلاعات غلط، از دسترسي به سرويس دهندههاي حساس جلوگيري ميکند. اطلاعات غلط ممکن است ساعتها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آنکه يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکهاي از Honeypotهاست که به گونهاي تنظيم ميشوند که شبيه يک شبکة واقعي به نظر برسند.
دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده ميشوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم ميتواند با مشاهدة تکنيکها و روشهاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته ميشود و نقاط آسيبپذير سيستم را شناسايي و نسبت به ترميم آنها اقدام کند.
دليل دوم جمعآوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آنکه نفوذگر يک سيستم ضعيف و آسيبپذير را در شبکه کشف ميکند بنابراين تمام تلاشهاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز ميشود. ميتوان يک سيستم تشخيص نفوذ(IDS) را در کنار اين سيستم نصب کرد تا تلاشهاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد.
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت ميکند.
هدف اصلي يک Honeypot شبيهسازي يک شبکه است که نفوذگران سعي ميکنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست ميآيد، ميتواند براي کشف آسيبپذيريهاي شبکة فعلي و رفع آنها استفاده شود.
Honeypot چه کارهايي ميتواند انجام دهد؟
با توجه به اين که از يک Honeypot چه ميخواهيم، Honeypot ميتواند کارهاي زير را انجام دهد :
· فراهم کردن هشدارهايي در مورد حملات در حال انجام
· معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيفترين و آسيبپذيرترين سيستم در شبکه شروع ميکنند. زماني که آنها صرف کلنجار رفتن با اين سيستم قلابي ميکنند ميتواند يک آسودگي خاطر براي بقية ماشينها ايجاد کند.)
· فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته
· فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه ميخواهند، سطح مهارتهايشان و ابزارهايي که استفاده ميکنند)
· فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر
همچنين Honeypot مانع انجام کارهاي زير توسط نفوذگر ميشود :
· دسترسي به دادههاي واقعي
· کنترلهاي مديريتي در سطح شبکه
· دستيابي به ترافيک واقعي شبکه
· کنترل بر ديگر ابزارهاي متصل به شبکه
با استفاده از مهندسي اجتماعي ميتوان Honeypot را جالبتر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيهتر باشد، محيط واقعيتر است و باعث ميشود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفهاي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آنها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليستهاي پستي اضافه کنيد، ...
همچنين ميتوان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع روي هدف قلابي(سيستم Honeypot) نصب ميکند اطلاعات غلط و بيهوده براي او ارسال ميشود و او به خيال آن که نفوذش در شبکه واقعي است، ساعتها وقت تلف ميکند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نميخورد. بنابراين بايد آن را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفهاي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مييابيد.
محل قرار گرفتن Honeypot در شبکه
يک Honeypot ميتواند در هرجايي که يک سرويس دهنده قادر است قرار بگيرد، واقع شود ولي مطمئناً برخي جاها بهتر از بقيه است.
يک Honeypot با توجه به سرويسهاي مورد استفاده ميتواند در اينترنت يا اينترانت مورد استفاده قرار گيرد. اگر بخواهيم فعاليتهاي خرابکارانة اعضاي ناراضي را در شبکة خصوصي کشف کنيم قرار دادن Honeypot در اينترانت مفيد است. در اينترانت Honeypot پشت ديوارة آتش قرار ميگيرد.
در شبکة اينترنت يک Honeypot ميتواند در يکي از محلهاي زير قرار گيرد :
1-جلوي ديوارة آتش
2-درون DMZ
با قرار گرفتن Honeypot در جلوي ديوارة آتش، خطر داشتن يک سيستم تحت سيطرة نفوذگر در پشت ديوارة آتش از بين ميرود و هيچ خطر اضافي (منتج از نصب Honeypot) متوجه شبکة داخلي نميشود.
يک Honeypot مقداري ترافيک ناخواسته مثل پويش درگاه يا الگوهاي حمله را ايجاد و جذب ميکند که با قرار دادن Honeypot در بيرون از ديوارة آتش چنين وقايعي توسط ديوارة آتش ثبت نميشود و سيستم تشخيص نفوذ داخلي (که در حالت عادي در مواجهه با چنين رخدادهايي هشدار توليد ميکند) پيغام هشدار توليد نميکند.
عيب قرار گرفتن Honeypot جلوي ديوارة آتش اين است که نفوذگران داخلي به راحتي فريب نميخورند، مخصوصاً اگر ديوارة آتش ترافيک خروجي و در نتيجه ترافيک دريافتي Honeypot را محدود کند.
قرار گرفتن Honeypot درون يک DMZ يک راهحل خوب به نظر ميرسد به شرطي که امنيت ديگر سيستمهاي درون DMZ در برابر Honeypot برقرار شود. از آنجايي که فقط سرويسهاي مورد نياز اجازة عبور از ديوارة آتش را دارند، دسترسي کامل به اغلب DMZها ممکن نيست. به اين دليل و با توجه به اينکه تنظيم قوانين مرتبط روي ديوارة آتش کاري زمانبر و مخاطرهآميز است، در چنين حالتي قرار دادن Honeypot جلوي ديوارة آتش مورد توجه قرار ميگيرد.
قرار دادن Honeypot پشت ديوارة آتش، ميتواند باعث بروز خطرات امنيتي جديدي در شبکة داخلي شود، مخصوصاً اگر شبکة داخلي توسط ديوارههاي آتش اضافي در برابر Honeypot ايمن نشده باشد. توجه داشته باشيد که اگر Honeypot را پشت يک ديوارة آتش قرار ميدهيد، بايد قوانين ديوارة آتش را طوري تنظيم کنيد که دسترسي از اينترنت مجاز باشد.
بزرگترين مشکل وقتي به وجود ميآيد که يک نفوذگر خارجي کنترل Honeypot داخلي را در اختيار ميگيرد. در اين صورت نفوذگر امکان دسترسي به شبکة داخلي را از طريق Honeypot به دست ميآورد. زيرا اين ترافيک، به عنوان ترافيک ورودي به Honeypot در نظر گرفته ميشود و از آنجايي که ترافيک ورودي به Honeypot مجاز است، ديوارة آتش جلوي عبور اين ترافيک را نميگيرد. بنابراين ايمن کردن Honeypot داخلي ضروري است. دليل اصلي قرار گرفتن Honeypot پشت ديوارة آتش شناسايي نفوذگران داخلي است.
بهترين راهحل قرار دادن يک Honeypot درون DMZ به همراه يک ديوارة آتش است. بسته به اينکه هدف شناسايي نفوذگران داخلي يا خارجي است، ديوارة آتش ميتواند به اينترنت يا اينترانت وصل شود.
در حقيقت شما ميخواهيد از طريق Honeypot يک مانور ترتيب بدهيد و به يک دشمن فرضي حمله کنيد يا در مقابل يک دشمن فرضي بايستيد. لذا شرايط را به صورت واقعي تنظيم کنيد.