تکنولوژی هانی پات و مزایا و معایب آن
هانیپات یا ظرف عسل (Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمعآوری فعالیتهای غیرمجاز در شبکههای رایانهای بر روی شبکه قرار میگیرد. هانیپاتها ابزاری برای مصالحه هستند، کامپیوترهایی که یا واقعی هستند یا شبیهسازی شدهاند. در نمونههای اولیه، هانیپاتها گرایش به مطالعه و طعمهدادن به مهاجمین انسانی داشتهاند، اما به همان اندازه میتوانند برای دستگیری کرمها نیز استفاده شوند. هانی پات ها به خودی خود هیچ مشکل امنیتی خاصی را حل نمی کنند، بلکه ابزارهای بسیار انعطاف پذیری هستند که کارهای مختلفی برای امنیت اطلاعات انجام میدهند. شاید بتوان یک هانی پات را به این صورت تعریف کرد: «هانی پات یک سیستم اطلاعاتی است که ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.»
هر سال به تعداد هکرها و نفوذگران به سرورها و شبکههای رایانهای اضافه میشود و هر روز اطلاعات با ارزشی از قبیل شمارههای حساب بانکی، شمارههای کاربری، پسوردها و … دزدیده، خسارتهای مالی اعتباری زیادی به شرکتهای بزرگ وارد میشود. در این راستا برنامهنویسان ماهر تصمیم گرفتند جلوی حملات را بگیرند و هکرها را منحرف کنند. اطلاعات نادرست و گمراهکننده بهترین طعمه برای فریب هکرهاست. پس برنامهنویسان و دانشمندان سختافزار بعد از تلاش بسیار توانستند برنامهای طراحی کنند که نفوذگران را گمراه کرده و به دام میاندازد. این برنامه با دادن اطلاعات نادرست به هکر، باعث میشود هکر فکر کند که به اطلاعات مطلوب دست یافته و کار تمام شده است. یک Honeypot سیستمی است که در شبکه سازمان قرار میگیرد، اما برای کاربران آن شبکه هیچ کاربردی ندارد. در حقیقت هیچ یک از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یک سری ضعفهای امنیتی است. یک هانی پات هیچ سرویس واقعی ارائه نمیدهد. هر تعاملی که انجام گیرد، هر تلاشی که برای ورود به این سیستم صورت گیرد، یا هر فایل دادهای که روی یک هانی پات مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یک فعالیت خرابکارانه و غیر مجاز است. از آنجاییکه مهاجمان برای نفوذ به یک شبکه همیشه به دنبال سیستمهای دارای ضعف میگردند، این سیستم توجه آنها را به خود جلب میکند. با توجه به اینکه هیچکس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یک تلاش خرابکارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است که مهاجمان را فریب داده و به سوی خود جلب میکند و به این ترتیب علاوه بر امکان نظارت و کنترل کار مهاجمان، این فرصت را نیز به سازمان میدهد که فرد مهاجم را از سیستمهای اصلی شبکه خود دور نگه دارند.
هانیپاتها را میتوان بر اساس بهکارگیری و سطح تعامل (عملیاتی) آنها طبقهبندی کرد. بر این اساس هانیپاتها به دو روش تولیدی (تجاری) و پژوهشی طبقهبندی میشود:
هانیپاتهای تولیدی (تجاری): این نوع سیستم وقتی که سازمان میخواهد شبکه و سیستمهایش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طریق قانونی مورد پیگرد قرار دهد، مورد استفاده قرار میگیرد؛ و با حفاظت از یک شبکه، اثر مثبت و مستقیم روی امنیت آن دارد. این اثرات شامل جلوگیری، حفاظت و پاسخگویی به حملات میباشد. از آنجا که این نوع از هانیپاتها نقش عملیاتی کمی دارند، پیادهسازی آن از نوع پژوهشی سادهتر است و اطلاعات زیادی را در مورد حمله کنندهها و حملات، جمعآوری نمیکنند.
هانیپاتهای پژوهشی: این نوع سیستم وقتی که سازمان میخواهد فقط امنیت شبکه و سیستمهای خود را با آموختن روشهای نفوذ، منشأ نفوذ، ابزارها و exploitهای مورد استفاده نفوذگر مستحکمتر کند، استفاده میشوند. این نوع از هانیپاتها برای جمعآوری اطلاعات درباره حمله کنندهها، پیادهسازی میشود؛ و با مطالعه رفتار هکرها از قبیل ابزار و گرایش آنها مانند نرمافزارهای دانلود شده، کرمها و ویروسها اثر غیر مستقیم روی امنیت دارند.
Honeypot ها نیز مانند هر تکنولوژی دیگری دارای مزایا و معایبی می باشند که در ادامه به آن ها پرداخته میشود:
مزایای استفاده از Honeypot
Honeypot ها صرفا مجموعه های کوچکی از دادهها را جمعآوری میکنند. Honeypot ها فقط زمانی که کسی یا چیزی با آنها ارتباط برقرار کند دادهها را جمع آوری مینمایند که البته این موضوع باعث می شود که مدیریت و تحلیل داده های جمع آوری شده توسط Honeypot ها بسیار ساده تر باشد.
Honeypot ها موارد خطاهای تشخیص اشتباه را کاهش میدهند. چرا که تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حملات بسیار موثرند.
Honeypot ها می توانند حملات ناشناخته را تشخیص دهند. چالش دیگری که در تکنولوژیهای تشخیصی معمول وجود دارد این است که آنها معمولا حملات ناشناخته را تشخیص نمی دهند. این یک تفاوت بسیار حیاتی و مهم بین Honeypot ها و تکنولوژیهای امنیت کامپیوتری معمولی است که بر اساس امضاهای شناخته شده یا داده های آماری تشخیص می دهند. تکنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند که ابتدا باید هر حمله ای حداقل یک بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج می برد. Honeypot ها طوری طراحی شده اند که حملات جدید را نیز شناسایی و کشف می کنند. چرا که هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی می کند.
Hoeneypot فعالیتهای رمز شده را نیز کشف می کنند. حتی اگر یک حمله رمز شده باشد، Honeypot ها می توانند این کار را انجام دهند، چرا که حملات رمز شده با هانی پات به عنوان یک نقطه انتهایی ارتباط، تعامل برقرار می کنند و این فعالیت توسط Honeypot رمز گشایی می شود.
Honeypot ها با IPv6 کار می کند. اغلب هانی پات ها صرف نظر از پروتکل IP از جمله IPv6، در هر محیط IP کار می کنند. IPv6 یک استاندارد جدید پروتکل اینترنت (IP) است که بسیاری از سازمانها در بسیاری از کشورها از آن استفاده می کنند. بسیاری از تکنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند.
Honeypot ها بسیار انعطاف پذیرند و می توانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف پذیری هانی پاتها است که به آنها اجازه می دهد کاری را انجام دهند که تعداد بسیار کمی از تکنولوژیها می توانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی.
Honeypot ها به حداقل منابع نیاز دارند. حتی در بزرگترین شبکه ها، Honeypot ها به حداقل منابع احتیاج دارند. یک کامپیوتر پنتیوم قدیمی و ساده می تواند میلیونها آدرس IP یا یک شبکه بسیار بزرگ را نظارت نماید.
معایب استفاده از Honeypot
Honeypot ها دارای یک محدوده دید کوچک و محدود هستند. Honeypot ها فقط همان کسانی را می بینند که با آنها به تعامل می پردازند. در نتیجه حملات بر علیه سایر سیستمها و یا تعاملات انجام شده با سایر سیستمها را مشاهده نمی کنند. این نکته در عین حال که یک مزیت است، یک عیب نیز به شمار می رود. یک Honeypot به شما نمی گوید که سیستم دیگری مورد سوء استفاده قرار گرفته است، مگر اینکه سیستمی که مورد سوء استفاده قرار گرفته با خود هانی پاتتعاملی برقرار نماید. برای برطرف کردن این عیب راههای زیادی وجود دارد که از طریق آنها می توانید فعالیت مهاجمان را به سمت Honeypot ها تغییر مسیر دهید. از این میان می توان به Honeytoken ها و تغییر مسیر اشاره کرد.
ریسک هر زمان که شما یک تکنولوژی جدید را به کار می گیرید، آن تکنولوژی ریسکهای مخصوص به خود را نیز به همراه دارد، مثلا این ریسک که یک مهاجم بر این سیستم غلبه کرده و از آن به عنوان ابزاری برای حملات بر علیه اهداف داخلی و خارجی استفاده نماید. حتی سیستمهای تشخیص نفوذ که هیچ پشته IP به آنها تخصیص داده نشده است نیز می توانند در معرض خطر قرار داشته باشند. Honeypot ها نیز در این مورد استثناء نیستند. Honeypot های مختلف سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای کاهش این خطرات وجود دارد. از میان انواع Honeypot ها، هانی نتها بیشترین سطح خطر را دارا هستند.