تکنولوژی هانی پات و مزایا و معایب آن

هانی‌پات یا ظرف عسل (Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های رایانه‌ای بر روی شبکه قرار می‌گیرد. هانی‌پات‌ها ابزاری برای مصالحه هستند، کامپیوترهایی که یا واقعی هستند یا شبیه‌سازی شده‌اند. در نمونه‌های اولیه، هانی‌پات‌ها گرایش به مطالعه و طعمه‌دادن به مهاجمین انسانی داشته‌اند، اما به همان اندازه می‌توانند برای دستگیری کرم‌ها نیز استفاده شوند. هانی پات ها به خودی خود هیچ مشکل امنیتی خاصی را حل نمی کنند، بلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطلاعات انجام می‌دهند. شاید بتوان یک هانی پات را به این صورت تعریف کرد: «هانی پات یک سیستم اطلاعاتی است که ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»

هر سال به تعداد هکرها و نفوذگران به سرورها و شبکه‌های رایانه‌ای اضافه می‌شود و هر روز اطلاعات با ارزشی از قبیل شماره‌های حساب بانکی، شماره‌های کاربری، پسوردها و … دزدیده، خسارت‌های مالی اعتباری زیادی به شرکت‌های بزرگ وارد می‌شود. در این راستا برنامه‌نویسان ماهر تصمیم گرفتند جلوی حملات را بگیرند و هکرها را منحرف کنند. اطلاعات نادرست و گمراه‌کننده بهترین طعمه برای فریب هکرهاست. پس برنامه‌نویسان و دانشمندان سخت‌افزار بعد از تلاش بسیار توانستند برنامه‌ای طراحی کنند که نفوذگران را گمراه کرده و به دام می‌اندازد. این برنامه با دادن اطلاعات نادرست به هکر، باعث می‌شود هکر فکر کند که به اطلاعات مطلوب دست یافته و کار تمام شده ‌است. یک Honeypot سیستمی است که در شبکه سازمان قرار می‌گیرد، اما برای کاربران آن شبکه هیچ کاربردی ندارد. در حقیقت هیچ یک از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یک سری ضعف‌های امنیتی است. یک هانی پات هیچ سرویس واقعی ارائه نمی‌دهد. هر تعاملی که انجام گیرد، هر تلاشی که برای ورود به این سیستم صورت گیرد، یا هر فایل داده‌ای که روی یک هانی پات مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یک فعالیت خرابکارانه و غیر مجاز است. از آنجایی‌که مهاجمان برای نفوذ به یک شبکه همیشه به دنبال سیستم‌های دارای ضعف می‌گردند، این سیستم توجه آنها را به خود جلب می‌کند. با توجه به اینکه هیچکس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یک تلاش خرابکارانه از سوی مهاجمان محسوب می‌شود. در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به سوی خود جلب می‌کند و به این ترتیب علاوه بر امکان نظارت و کنترل کار مهاجمان، این فرصت را نیز به سازمان می‌دهد که فرد مهاجم را از سیستم‌های اصلی شبکه خود دور نگه دارند.

این مطلب را از دست ندهید:  پروتکل https و تفاوت آن با پروتکل http

هانی‌پات‌ها را می‌توان بر اساس به‌کارگیری و سطح تعامل (عملیاتی) آنها طبقه‌بندی کرد. بر این اساس هانی‌پات‌ها به دو روش تولیدی (تجاری) و پژوهشی طبقه‌بندی می‌شود:

هانی‌پات‌های تولیدی (تجاری): این نوع سیستم وقتی که سازمان می‌خواهد شبکه و سیستم‌هایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی مورد پیگرد قرار دهد، مورد استفاده قرار می‌گیرد؛ و با حفاظت از یک شبکه، اثر مثبت و مستقیم روی امنیت آن دارد. این اثرات شامل جلوگیری، حفاظت و پاسخگویی به حملات می‌باشد. از آنجا که این نوع از هانی‌پات‌ها نقش عملیاتی کمی دارند، پیاده‌سازی آن از نوع پژوهشی ساده‌تر است و اطلاعات زیادی را در مورد حمله کننده‌ها و حملات، جمع‌آوری نمی‌کنند.

هانی‌پات‌های پژوهشی: این نوع سیستم وقتی که سازمان می‌خواهد فقط امنیت شبکه و سیستم‌های خود را با آموختن روش‌های نفوذ، منشأ نفوذ، ابزارها و exploitهای مورد استفاده نفوذگر مستحکم‌تر کند، استفاده می‌شوند. این نوع از هانی‌پات‌ها برای جمع‌آوری اطلاعات درباره حمله کننده‌ها، پیاده‌سازی می‌شود؛ و با مطالعه رفتار هکرها از قبیل ابزار و گرایش آن‌ها مانند نرم‌افزارهای دانلود شده، کرم‌ها و ویروس‌ها اثر غیر مستقیم روی امنیت دارند.

Honeypot ها نیز مانند هر تکنولوژی دیگری دارای مزایا و معایبی می باشند که در ادامه به آن ها پرداخته می‌شود:

مزایای استفاده از Honeypot

Honeypot ها صرفا مجموعه های کوچکی از داده‌ها را جمع‌آوری می‌کنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند داده‌ها را جمع آوری می‌نمایند که البته این موضوع باعث می شود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.

این مطلب را از دست ندهید:  تفاوت UX با UI در طراحی وب سایت چیست؟

Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش می‌دهند. چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.

Honeypot ها می توانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمی دهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می دهند. تکنولوژی‌های تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می برد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف می کنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می کند.

 Hoeneypot فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها می توانند این کار را انجام دهند، چرا که حملات رمز شده با هانی پات به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می کنند و این فعالیت توسط Honeypot رمز گشایی می شود.

Honeypot ها با IPv6 کار می کند. اغلب هانی پات ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار می کنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می کنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.

 Honeypot ها بسیار انعطاف پذیرند و می توانند در محیط‌های مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف پذیری هانی پات‌ها است که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژی‌ها می توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.

این مطلب را از دست ندهید:  بیت کوین چیست و چه مزایا و معایبی دارد؟

Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده می تواند میلیونها آدرس IP یا یک شبکه بسیار بزرگ را نظارت نماید.

معایب استفاده از Honeypot

Honeypot ها دارای یک محدوده دید کوچک و محدود هستند. Honeypot ها فقط همان کسانی را می بینند که با آنها به تعامل می پردازند. در نتیجه حملات بر علیه سایر سیستمها و یا تعاملات انجام شده با سایر سیستمها را مشاهده نمی کنند. این نکته در عین حال که یک مزیت است، یک عیب نیز به شمار می رود. یک Honeypot به شما نمی گوید که سیستم دیگری مورد سوء استفاده قرار گرفته است، مگر اینکه سیستمی که مورد سوء استفاده قرار گرفته با خود هانی پاتتعاملی برقرار نماید. برای برطرف کردن این عیب راههای زیادی وجود دارد که از طریق آنها می توانید فعالیت مهاجمان را به سمت Honeypot ها تغییر مسیر دهید. از این میان می توان به Honeytoken ها و تغییر مسیر اشاره کرد.

ریسک هر زمان که شما یک تکنولوژی جدید را به کار می گیرید، آن تکنولوژی ریسکهای مخصوص به خود را نیز به همراه دارد، مثلا این ریسک که یک مهاجم بر این سیستم غلبه کرده و از آن به عنوان ابزاری برای حملات بر علیه اهداف داخلی و خارجی استفاده نماید. حتی سیستمهای تشخیص نفوذ که هیچ پشته IP به آنها تخصیص داده نشده است نیز می توانند در معرض خطر قرار داشته باشند. Honeypot ها نیز در این مورد استثناء نیستند. Honeypot های مختلف سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای کاهش این خطرات وجود دارد. از میان انواع Honeypot ها، هانی نتها بیشترین سطح خطر را دارا هستند.

فهرست