برقراری امنيت شبکه با Honeypot
برقراری امنيت شبکه با Honeypot
يک منبع سيستم اطلاعاتی می باشد که بر روی خود اطلاعات کاذب و غير واقعی دارد و با استفاده از ارزش و اطلاعات کاذب خود سعی در کشف وجمع آوری اطلاعات و فعاليت های غيرمجاز و غير قانونی بر روی شبکه می کند. به زبان ساده Honeypot يک سيستم يا سيستم های کامپيوتری متصل به شبکه و يا اينترنت است که دارای اطلاعات کاذب بر روی خود می باشد و از عمد در شبکه قرار می گيرد تا به عنوان يک تله عمل کرده و مورد تهاجم يک هکر يا نفوذگر (Attacker) قرار بگيرد و با استفاده از اين اطلاعات آن ها را فريب داده و اطلاعاتی از نحوه ی ورود آن ها به شبکه و اهدافی که در شبکه دنبال می کنند جمع آوری کند.
نحوه تشخيص حمله و شروع عملکرد : Honeypot
در مسير منتهی به Honeypot نبايد هيچ ترافيکی ايجاد شود يعنی هر گونه ارتباطی با Honeypot فعاليت غيرمجاز و غير قانونی محسوب شده و می تواند يک دزدی، حمله و يا سرقت محسوب شود.
مزايای Honeypot:
1- جمع آوری بسته های اطلاعاتی کم حجم ولی با ارزش :
Honeypot ها حجم كوچکی از اطلاعات را جمع آوری می کنند. مثلاً به جای ثبت روزانه GB 1 داده توسط ساير تکنولوژی های برقراری امنيت اطلاعات، Honeypot مثلاً MB 1 اطلاعات جمع آوری می کند ولی چون مطمئن هستيم که اطلاعاتی که يک Honeypot جمع آوری می کند مربوط به فعاليتی غير مجاز است در نتيجه اين اطلاعات بسيار مفيد بوده و تجزيه و تحليل حجم کوچکی ازاطلاعات آسان و ارزان است.
-2 ابزارها و تاکتيک های جديد:
Honeypot ها طراحی شده اند تا هر چيزی که به سمتشان منتهی می شود ثبت کنند بنابراين Honeypot می تواند ابزارها و تاکتيک هايی جديد را که هکرها به کمک آن ها به سيستم حمله می کنند را ثبت کند.
-3 نياز به کم ترين سخت افزار برای پياده سازی :
در يک کامپيوتر Pentium كه دارای MBRAM 128است قابل پياده سازی است.
-4 قابل پياده سازی در محيط های IPV6 و رمز شده :
بر خلاف اغلب تکنولوژي های امنيت (مثل سيستم هایIDS )که در محيط های رمز شده به خوبی کار نمی کنند Honeypot به راحتی قابل پياده سازی در اين محيط ها است و در اين محيط ها به خوبی کار می کند.
-5 سادگی :
Honeypot ها بسيار ساده اند زيرا الگوريتم پيچيده ای ندارند که بخواهند توسعه يابند جداول حالت ندارند که نياز به پشتيبانی داشته باشند.
-6شناسايی نقاط ضعف سيستم :
مدير سيستم می تواند با مشاهده تکنيک ها و روش های استفاده شده توسط نفوذگر بفهمد که سيستم چگونه شکسته می شود و نقاط آسيب پذير سيستم را شناسايی و نسبت به ترميم آن ها اقدام کند. هدف اصلی يکHoneypot شبيه سازی يک شبکه است که نفوذگران سعی می کنند به آن وارد شوند اطلاعاتی که بعد از حمله به يک Honeypot به دست می آيد می تواند برای کشف آسيب پذيری های شبکه فعلی و رفع آنها استفاده شود.
تقسيم بندی Honeypot از نظر کاربرد :
Production Honeypot (1
Research Honeypot(2
Production Honeypot:
اين نوع سيستم وقتی که سازمان می خواهد شبکه و سيستم هايش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طريق قانون در دادگاه مورد پيگيری قرار دهد مورد استفاده قرار می گيرد.
Honeypotهايی که کاربرد Production دارند به سه طريق می توانند در برابر حملات از شبکه محافظت کنند.
(1به روش) Preventionپيشگيری(
2) به روش Detection (كشف يا شناسايي (
3) به روش)Response پاسخ)
Prevention (1:
در بعضي از حملات نفوذگران با استفاده از ابزارهايی رنجی از شبکه ها را پويش می کنند تا آسيب پذيری سرورهای موجود در شبکه را شناسايی کنند اين ابزارها پس از پيدا کردن آسيب پذيري های موجود در سيستم به اين سيستم ها حمله می کنند در روش پيشگيریHoneypot سرعت اين گونه حملات را کند می کند و حتی بعضی اوقات آنها را متوقف نيز می کند به اين دسته از Honeypotها، Honeypot هاي چسبنده (Sticky) مي گويند. در اين روش Honeypot هنگام پويش توسط نفوذگر نسبت به آدرس هايی که در شبکه موجود نيست واكنش نشان مي دهد Labrea Tarpit .جزو اين دسته از Haneypot ها است. به طور کلی هدف پيشگيری (Prevention) كند کردن سرعت عمليات نفوذگر و توقف حمله است.
)Detection (2كشف يا شناسايي)
وظيفه اش عمل کشف و شناسايی ناتوانی های بخش پيشگيری است. کشف يک حمله کار بسيارمشکلی است. وقتی يک حمله شناسايی شود می توان خيلی سريع به آن واکنش نشان داد و آن را متوقف و يا حداقل اثرش را کم کرد می توان از تکنولوژي های امنيتی مثل IDSو فايل هاي ثبت وقايع (Log) در مرحله شناسايی استفاده کرد ولی بدليل اينکه اين تکنولوژی ها داده های زيادی را ثبت می کنند تجزيه و تحليل آن ها زمان بر است و بسياری از اين داده ها غير مفيد بوده و در شناسايی نفوذگر و اهدافش ما را کمک نمی کنند و در محيط های رمز شده نيز بخوبی کارنمی کنندHoneypot . ها در کشف و رديابی يک حمله نسبت به تکنولوژي های مذکور برتری دارند. Honeypotها داده های کم و با درجه اطمينان درستی بالاتری جمع آوری می کنند که تجزيه و تحليل آن ها آسان بوده و ارزش بيشتری دارند. همچنين Honeypotها در محيط های رمز شده نيز می توانند بخوبی کار کنند.
)Response (3پاسخ):
يکی از چالش هايی که هر سازمانی می تواند با آن روبرو شود اين است که بعد از شناسايی و کشف حمله چگونه به آن پاسخ دهد معمولاً در پاسخ مناسب به يک حمله دو مشکل وجود دارد. اول اينکه اکثر سيستم هايی که مورد حمله قرار گرفته اند را نمی توان بخاطر تجزيه و تحليل مناسب از کار انداخت زيرا online بودن آن ها امری ضروری و حياتی است. دوم اين که حتی اگر سيستم را نيز از کار بياندازيم به دليل وجود کثرت داده ها در سيستم تشخيص داده های متعلق به نفوذگر آسان نيست. بنابراين استفاده از Honeypotدر چنين سازمانی اين امکان را فراهم می کند که درمواقع لزوم برای تجزيه وتحليل کامل داده ها آن ها را از شبکه خارج کنيم بدليل اينکه Honeypot هميشه فعاليت هاي غير قانوني و بد انديشانه را ذخيره می کند بنابراين مطمئن هستيم که اطلاعات موجود در آن ها مربوط به يک هکر و يا يک نفوذگر است و به همين دليل است که تجزيه وتحليل يکHoneypot هك شده بسيار آسان تر از يک سيستم واقعی است ودر نتيجه می توان در برابر حمله پاسخ سريع و مؤثری داد.
Research Honeypot :
اين نوع سيستم وقتي كه سازمان مي خواهد فقط امنيت شبکه وسيستم های خود را با آموختن روش های نفوذ، منشأ نفوذ، ابزارها و Exploit هاي مورد استفاده نفوذگر مستحکم تر کند، استفاده می شود.
تقسيم بندی Honeypot از نظر ميزان تعامل با نفوذگر :
Honeypot ها از لحاظ ميزان تعامل و درگيری با نفوذگر به سه دسته تقسيم می شود:
Honeypot) Low Interaction Honeypots Honeypot (1هاي با تعامل كم(
Honeypot) Medium Interaction Honeypots (2هاي با تعامل متوسط)
Honeypot) High Interaction Honeypots (3هاي با تعامل بالا(
Interaction***نوع ارتباطی که تفوذگر با Honeypot دارد را مشخص می کند.
:Low Interaction Honeypots
ارتباط و فعاليتی محدود با نفوذگر دارند و معمولا ًبا سرويس ها وسيستم عامل های شبيه سازی شده کار می کنند. و سطح فعاليت نفوذگر را محدود به سطوح شبيه سازی شده می کنند. به عنوان مثال Low Interaction honeypot مي تواند شامل يک WindowsServer2000 به همراه سرويس هاي مثل Telnet و FTP باشد. يک نفوذگر می تواند ابتدا با استفاده از Telnet روي Honeypot نوع سيستم عامل آن را تشخيص داده سپس با حدس زدن رمز عبور و يا با هر روش ديگری وارد شبکه شود بدون اين که اطلاع داشته باشد که در يک Honeypot گرفتار شده است. بر اساس فعاليتی که نفوذگر در Honeypot انجام مي دهد. Honeypot مي تواند اطلاعات زير را جمع آوری کرده و در اختيار متخصص شبکه قرار دهد.
1) زمان نفوذ نفوذگر و يا هکر به سيستم
(2 پروتکلی که از آن استفاده کرده
(3 آدرس FTP مبدا و مقصد
در اين نوعHoneypot ، نفوذگر نمی تواند هيچ گونه ارتباطی با سيستم عامل برقرار کند و اين مسأله ميزان خطر را کاهش مي دهد چون پيچيدگي های سيستم عامل حذف می شود و به دليل اين که ما سطح فعاليت نفوذگر را محدود کرده ايم بنابراين اعمالی که نفوذگر انجام می دهد محدود شده و در نتيجه Honeypot اطلاعات محدودی را می تواند ثبت کند. اين نوع Honeypot فقط قادر به شناسايی حمله های شناخته شده است ونمی تواند حمله های ناشناخته را تشخيص دهد. سادگی نگهداری و توسعه Honeypotکم واکنش همچنين پايين بودن ريسک خطر آن از نقاط قوت Honeypotکم واکنش محسوب می شود.
ازاين Honeypotها مي توان برای اهداف Production استفاده کرد.
Honeypot)Medium Interaction Honeypots با تعامل متوسط):
Honeypot با تعامل متوسط در مقايسه با Honeypot نوع کم واکنش امکان بيشتری برای تعامل با نفوذگر فراهم می کند. ولی هنوز هم نفوذگر هيچ ارتباطی با سيستم عامل نداردDaemonهاي جعلی فراهم شده پيشرفته ترند و دانش بيشتری راجع به سرويس های ارائه شده دارند. در اين حالت ميزان خطر افزايش می يابد. احتمال اينکه نفوذگر يک حفره امنيتی يا يک نقطه آسيب پذيری پيدا کند بيشتر است زيرا پيچيدگی Honeypot افزايش می يابد نفوذگر امکان بيشتری برای ارتباط با سيستم و بررسی آن دارد و راحت تر فريب می خورد. همچنين با توجه به تعامل بيشتر، امکان انجام حمله های پيچيده تری وجود دارد که می توان با ثبت و آناليز کردن آن ها به نتايج دلخواه دست يافت. همانطوري که گفته شد نفوذگر هيچ ارتباطی با سيستم عامل ندارد و در سطح برنامه های کاربردی فعاليت می کند. توسعه يک Honeypot با تعامل متوسط کاری پيچيده و زمان بر است. بايد دقت شود که تمام Daemonهای جعلی تا جايی که ممکن است ايمن شوند. نسخه های توسعه يافته اين سرويس ها نبايد دارای همان آسيب پذيری های نسخه های واقعی باشند زيرا اين اصلي ترين دليل جايگزينی آن ها با نسخه های جعلی است. کسی که می خواهد چنين سيستمی را طراحی و پياده سازی کند، بايد از دانش خوبی در مورد پروتکل ها، سرويس ها و برنامه های کاربردی ارائه شده برخوردار باشد از اين Honeypot ها مي توان هم برای اهداف دسته Research و هم برای اهداف دسته Production استفاده کرد.
High Interaction Honeypot:
يکی از اهداف نفوذگر امکان دسترسی به اطلاعات در ماشينی که به اينترنت وصل است می باشد. اين نوع Honeypot چنين امکانی را در اختيار نفوذگر قرار می دهد. به محض اين که نفوذگر اين امکان را پيدا کند کار اصلی او شروع می شود در اين نوع Honeypot ما يک سيستم واقعی را در اختيار نفوذگر قرار می دهيم و هيچ چيزی شبيه سازی شده نيست و نفوذگر با سيستم عامل واقعی و شبکه واقعی سرو کار دارد و ميزان دسترسی وی به شبکه بيشتر است. در نتيجه ميزان عملی که می تواند انجام دهد بيشتر شده وHoneypot می تواند فعاليت بيشتری از نفوذگر و اهداف مورد نظر وی جمع آوری کند. از اين Honeypot ها مي توان برای اهداف دسته Research استفاده کرد.
مزايای استفاده از High Interaction Honeypot :
متخصص شبکه با تجزبه و تحليل اطلاعات Honeypot می تواند اطلاعات زير را در مورد نفوذگر بدست آورد:
- نفوذگران بيشتر از چه ابزارها و Exploit هايی استفاده می کنند.
- از چه کشورهايی هستند.
- به دنبال چه نقاط آسيب پذيری هستند.
- ميزان دانش آن ها در مورد نفوذگری.
- جمع آوری اطلاعات و اسناد زياد برای تحليل.
- به دليل وسيع بودن سطح فعاليت نفوذگر اغلب اين نوع Honeypot ها رفتارهايی ازفرد نفوذگر را به ما نشان می دهند که ما انتظار نداشته ايم و يا نمی توانسته ايم حدس بزنيم.
معايب استفاده از : High Interaction Honeypot
- طراحی، مديريت و نگهداری آن فوق العاده زمان بر است.
- سيستم بايد دائماً تحت نظر باشد در غير اينصورت نه تنها هيچ کمکی نمی کند بلکه خودش به عنوان يک نقطه خطر يا حفره امنيتی مطرح می شود.
- دارای ريسک بالا زيرا نفوذگر يک سيستم واقعی را در اختيار دارد و ممکن است به سيستم های اصلی شبکه صدمه بزند. بنابراين هيچ سيستمی بر روی شبکه را نمی توان امن در نظر گرفت .
امنیت شبکه(IDS و IPS)
طرح شبکه در مدل امنیت لایه بندی شده به WAN و LAN داخلی اشاره دارد. شبکه داخلی ممکن است شامل چند کامپیوتر و سرور و یا پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد. بیشتر شبکه های امروزی در ورای پیرامون، باز هستند؛ یعنی هنگامی که داخل شبکه قرار دارید.....
یعنی هنگامی که داخل شبکه قرار دارید می توانید به راحتی در میان شبکه حرکت کنید که به این ترتیب این شبکه ها برای هکرها و افراد بد اندیش به اهدافی وسوسه انگیز مبدل می شوند. تکنولوژی های ذیل امنیت را در سطح شبکه برقرار می کنند
IDS*ها (سیستم های تشخیص نفوذ) و IPS*ها (سیستم های جلوگیری از نفوذ): تکنولوژی های IDS و IPS ترافیک گذرنده در شبکه را با جزئیات بیشتر نسبت به فایروال تحلیل می کنند. مشابه سیستم های آنتی ویروس، ابزارهای IDS و IPS ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته شده مقایسه می کنند. هنگامی که حملات تشخیص داده می شوند، این ابزارها وارد عمل می شوند. ابزارهای IDS مسؤولین را از وقوع یک حمله مطلع می سازند؛ ابزارهای IPS یک گام جلوتر می روند و بصورت خودکار ترافیک آسیب رسان را مسدود می کنند. IDS ها و IPS ها مشخصات مشترک زیادی دارند. در حقیقت، بیشتر IPS ها در هسته خود یک IDS دارند. تفاوت کلیدی بین این تکنولوژی ها این است که محصولات IDS تنها ترافیک آسیب رسان را تشخیص می دهند، در حالی که محصولات IPS از ورود چنین ترافیکی به شبکه شما جلوگیری می کنند.
IDS چیست؟
IDS یک سیستم محافظتی است که خرابکاری های در حال وقوع روی شبکه را شناسایی می کند.
روش کار به این صورت است که با استفاده از تشخیص نفوذ که شامل مراحل جمع آوری اطلاعات، پویش پورت ها، به دست آوری کنترل کامپیوترها و نهایتاً هک کردن می باشد، می تواند نفوذ خرابکاری ها را گزارش و کنترل کند.
از قابلیت های دیگر IDS، امکان تشخیص ترافیک غیرمتعارف از بیرون به داخل شبکه و اعلام آن به مدیر شبکه و یا بستن ارتباط های مشکوک و مظنون می باشد.
ابزار IDS قابلیت تشخیص حملات از طرف کاربران داخلی و کاربران خارجی را دارد.
بر خلاف نظر عمومی که معتقدند هر نرم افزاری را می توان به جای IDS استفاده کرد، دستگاه های امنیتی زیر نمی توانند به عنوان IDS مورد استفاده قرار گیرند:
1 - سیستم هایی که برای ثبت وقابع شبکه مورد استفاده قرار می گیرند مانند : دستگاه هایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سرویس و یا حملات مورد استفاده قرار می گیرند.
2- ابزارهای ارزیابی آسیب پذیری که خطاها و یا ضعف در تنظیمات را گزارش می دهند.
3- نرم افزارهای ضد ویروس که برای تشخیص انواع کرم ها، ویروس ها و به طورکلی نرم افزارهای خطرناک تهیه شده اند.
4- دیواره آتش (Firewall )
5- مکانیزم های امنیتی مانند SSL، VPN و Radius و ...
چرا دیواره آتش به تنهایی کافی نیست ؟
به دلایل زیر دیواره های آتش نمی توانند امنیت شبکه را به طور کامل تامین کنند :
1. چون تمام دسترسی ها به اینترنت فقط از طریق دیواره آتش نیست.
2. تمام تهدیدات خارج از دیواره آتش نیستند.
3. امنیت کمتر در برابر حملاتی که توسط نرم افزارها مختلف به اطلاعات و داده های سازمان می شود، مانند Active، Java Applet، Virus Programs.
تكنولوژي IDS
NIDS) Network Base -)
گوش دادن به شبكه و جمع آوري اطلاعات ازطريق كارت شبكه اي كه در آن شبكه وجود دارد .
به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
HIDS) Host Base -)
تعداد زيادي از شركت ها در زمينه توليد اين نوع IDS فعاليت مي كنند. روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند. داراي اعلان خطر در لحظه مي باشد.
جمع آوري اطلاعات در لايه Application
مثال اين نوع IDS ، نرم افزارهاي مديريتي مي باشند كه ثبت وقايع را توليد و كنترل مي كنند.
Honey pot
سيستمي مي باشد كه عملاً طوري تنظيم شده است كه در معرض حمله قرار بگيرد. اگر يك پويشگري از NIDS ، HIDS و ديواره آتش با موفقيت رد شود متوجه نخواهد شد كه گرفتار يك Honey pot شده است. و خرابكاري هاي خود را روي آن سيستم انجام مي دهد و مي توان از روش هاي اين خرابكاريي ها براي امن كردن شبكه استفاده كرد.
Honey pot چیست؟
Honeypot ها يك تكنولوژي می باشند که قابليت هاي فراواني براي جامعه امنيتي دارند. البته مفهوم آن در ابتدا به صورت هاي مختلفي تعريف شده بود به خصوص توسط Cliff Stoll در كتاب « The Cuckoos Egg ». از آن جا به بعد بود كه Honeypot ها شروع به رشد كردند و به وسيله ابزارهاي امنيتي قوي توسعه يافتند و رشد آن ها تا به امروز ادامه داشته است. هدف اين مقاله تعريف و شرح واقعي Honeypot مي باشد و بيان منفعت ها و مضرات آن ها و اين كه آن ها در امنيت چه ارزشي براي ما دارند.
تعريف
قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستم هاي تشخيص دخول سرزده نمي باشند. در عوض آن ها يك ابزار قابل انعطافي مي باشند كه به شكل هاي مختلفي قابل استفاده هستند.آن ها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيري ها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
یک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیت های بی مجوز و نا مشروع جمع آوری می کند.
به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آن ها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آن ها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي، حمله و يا يك تصفيه حساب باشد. حال آن كه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين همه موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.
فوايد Honeypot ها
Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آن ها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليت هاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آن ها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسان تر (و ارزان تر) از اطلاعات ثبت شده به صورت كلي مي باشد.
2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده كه هر چيزي كه به سمت آن ها جذب مي شود را ذخيره كند. با ابزارها و تاكتيك هاي جديدي كه قبلا ديده نشده اند.
3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آن ها فقط فعاليت هاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.
4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژي هاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيط هاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آن ها را شناخته و فعاليت هاي آنان را ثبت كنند.
مضرات Honeypot ها
شبيه تمامي تكنولوژي ها، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژي هاي ديگر كار مي كنند.
1- محدوديت ديد : Honeypot ها فقط فعايت هايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آن ها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستم هاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اين كه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.
2- ريسك : همه تكنولوژي هاي امنیتی داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اين ها نيستند. آن ها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستم هاي ديگر را داشته باشند. البته اين ريسك ها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اين كه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد. ممكن است استفاده از يك نوع آن، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد. ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.
تفاوت شکلی تشخیص با پیش گیری
در ظاهر، روش های تشخیص نفوذ و پیش گیری از نفوذ رقیب هستند. به هرحال، آن ها لیست بلند بالایی از عملکردهای مشابه، مانند بررسی بسته داده، تحلیل با توجه به حفظ وضعیت، گردآوری بخش های TCP، ارزیابی پروتکل و تطبیق امضاء دارند. اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت در این دو روش به کار گرفته می شوند. یک IPS (Intrusion Prevention System) یا سیستم پیش گیری مانند یک محافظ امنیتی در مدخل یک اجتماع اختصاصی عمل می کند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پیش تعیین شده اجازه عبور می دهد. یک IDS (Intrusion Detection System) یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل می کند که فعالیت ها را به نمایش می گذارد و دنبال موقعیت های غیرعادی می گردد. بدون توجه به قدرت امنیت در مدخل، گشت زن ها به کار خود در سیستم ادامه می دهند و بررسی های خود را انجام می دهند.
تشخیص نفوذ
هدف از تشخیص نفوذ نمایش، بررسی و ارائه گزارش از فعالیت شبکه است. این سیستم روی بسته های داده که از ابزار کنترل دسترسی عبور کرده اند، عمل می کند. به دلیل وجود محدودیت های اطمینان پذیری، تهدیدهای داخلی و وجود شک و تردید مورد نیاز، پیش گیری از نفوذ باید به بعضی از موارد مشکوک به حمله اجازه عبور دهد تا احتمال تشخیص های غلط (false positive) کاهش یابد. از طرف دیگر، روش های IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه، نفوذها و سوء استفاده ها بهره می گیرند. یک IDS معمولاً به گونه ای از پهنای باند استفاده می کند که می تواند بدون تأثیر گذاشتن روی معماری های محاسباتی و شبکه ای به کار خود ادامه دهد.
طبیعت منفعل IDS آن چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته ها را ایجاد می کند. همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار می دهد:
- حملات شناخته شده از طریق امضاءها و قوانین
- تغییرات در حجم و جهت ترافیک با استفاده از قوانین پیچیده و تحلیل آماری
- تغییرات الگوی ترافیک ارتباطی با استفاده از تحلیل جریان
- تشخیص فعالیت غیرعادی با استفاده از تحلیل انحراف معیار
- تشخیص فعالیت مشکوک با استفاده از تکنیک های آماری، تحلیل جریان و تشخیص خلاف قاعده
بعضی حملات تا درجه ای از یقین بسختی قابل تشخیص هستند، و بیشتر آن ها فقط می توانند توسط روش هایی که دارای طبیعت غیرقطعی هستند تشخیص داده شوند. یعنی این روش ها برای تصمیم گیری مسدودسازی براساس سیاست مناسب نیستند.
پیش گیری از نفوذ
چنانچه قبلاً هم ذکر شد، روش های پیش گیری از نفوذ به منظور محافظت از دارایی ها، منابع، داده و شبکه ها استفاده می شوند. انتظار اصلی از آن ها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالی که به فعالیت صحیح اجازه ادامه کار می دهند. هدف نهایی یک سیستم کامل است- یعنی نه تشخیص غلط حمله (false positive) که از بازدهی شبکه می کاهد و نه عدم تشخیص حمله (false negative) که باعث ریسک بی مورد در محیط شبکه شود. شاید یک نقش اساسی تر نیاز به مطمئن بودن است؛ یعنی فعالیت به روش مورد انتظار تحت هر شرایطی. بمنظور حصول این منظور، روش های IPS باید طبیعت قطعی (deterministic) داشته باشند.
قابلیت های قطعی، اطمینان مورد نیاز برای تصمیم گیری های سخت را ایجاد می کند. به این معنی که روش های پیش گیری از نفوذ برای سروکار داشتن با موارد زیر ایده آل هستند:
- برنامه های ناخواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی، با استفاده از قوانین قطعی و لیست های کنترل دسترسی
- بسته های دیتای متعلق به حمله با استفاده از فیلترهای بسته داده ای سرعت بالا
- سوءاستفاده از پروتکل و دستکاری پروتکل شبکه با استفاده از بازسازی هوشمند
- حملات DoS/DDoS مانند طغیان SYN و ICMP با استفاده از الگوریتم های فیلترینگ برپایه حد آستانه
- سوءاستفاده از برنامه ها و دستکاری های پروتکل ـ حملات شناخته شده و شناخته نشده علیه HTTP، FTP، DNS، SMTP و غیره با استفاده از قوانین پروتکل برنامه ها و امضاءها
- باراضافی برنامه ها با استفاده از ایجاد محدودیت های مصرف منابع
تمام این حملات و وضعیت آسیب پذیری که به آن ها اجازه وقوع می دهد به خوبی مستند سازی شده اند. بعلاوه، انحرافات از پروتکل های ارتباطی از لایه شبکه تا لایه برنامه جایگاهی در هیچ گونه ترافیک صحیح ندارند.
در نتیجه اینکه تفاوت بین IDS و IPS به فلسفه جبرگرایی می انجامد. یعنی IDS می تواند (و باید) از روش های غیرقطعی برای استنباط هرنوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند IDS به درد افرادی می خورد که واقعاً می خواهند بدانند چه چیزی در شبکه شان در حال رخ دادن است. از طرف دیگر، IPS باید در تمام تصمیماتش برای انجام وظیفه اش در پالایش ترافیک قطعیت داشته باشد. از یک ابزار IPS انتظار می رود که در تمام مدت کار کند و در مورد کنترل دسترسی تصمیم گیری کند. فایروال ها اولین رویکرد قطعی را برای کنترل دسترسی در شبکه ها با ایجاد قابلیت اولیه IPS فراهم کردند. ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اضافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترل دسترسی ها مشارکت دارند.
مدیریت آسیب پذیری – سیستم های مدیریت آسیب پذیری دو عملکرد مرتبط را انجام می دهند:
(۱) شبکه را برای آسیب پذیری ها پیمایش می کنند.
(۲)روند مرمت آسیب پذیری یافته شده را مدیریت می کنند. در گذشته، این تکنولوژی VA (تخمین آسیب پذیری) نامیده می شد. اما این تکنولوژی اصلاح شده است، تا جاییکه بیشتر سیستم های موجود، عملی بیش از تخمین آسیب پذیری ابزار شبکه را انجام می دهند.
سیستم های مدیریت آسیب پذیری ابزار موجود در شبکه را برای یافتن رخنه ها و آسیب پذیری هایی که می توانند توسط هکرها و ترافیک آسیب رسان مورد بهره برداری قرار گیرند، پیمایش می کنند. آن ها معمولاً پایگاه داده ای از قوانینی را نگهداری می کنند که آسیب پذیری های شناخته شده برای گستره ای از ابزارها و برنامه های شبکه را مشخص می کنند. در طول یک پیمایش، سیستم هر ابزار یا برنامه ای را با بکارگیری قوانین مناسب می آزماید.
همچنان که از نامش برمی آید، سیستم مدیریت آسیب پذیری شامل ویژگی هایی است که روند بازسازی را مدیریت می کند. لازم به ذکر است که میزان و توانایی این ویژگی ها در میان محصولات مختلف، فرق می کند. تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی به این طریق از شبکه محافظت می کنند که تضمین می کنند کاربران انتهایی استانداردهای امنیتی تعریف شده را قبل از اینکه اجازه دسترسی به شبکه داشته باشند، رعایت کرده اند. این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای VPN و RAS می گیرد.
روش های امنیت نقاط انتهایی براساس آزمایش هایی که روی سیستم هایی که قصد اتصال دارند، انجام می دهند، اجازه دسترسی می دهند. هدف آن ها از این تست ها معمولاً برای بررسی (۱) نرم افزار مورد نیاز، مانند سرویس پک ها، آنتی ویروس های به روز شده و غیره و (۲) کاربردهای ممنوع مانند اشتراک فایل و نرم افزارهای جاسوسی است.
کنترل دسترسی/ تأیید هویت – کنترل دسترسی نیازمند تأیید هویت کاربرانی است که به شبکه شما دسترسی دارند. هم کاربران و هم ابزارها باید با ابزار کنترل دسترسی در سطح شبکه کنترل شوند.
مزایا
تکنولوژی های IDS، IPS و مدیریت آسیب پذیری تحلیل های پیچیده ای روی تهدیدها و آسیب پذیری های شبکه انجام می دهند. در حالی که فایروال به ترافیک، برپایه مقصد نهایی آن اجازه عبور می دهد، ابزار IPS و IDS تجزیه و تحلیل عمیق تری را برعهده دارند، و بنابراین سطح بالاتری از محافظت را ارائه می کنند. با این تکنولوژی های پیشرفته، حملاتی که داخل ترافیک قانونی شبکه وجود دارند و می توانند از فایروال عبور کنند، مشخص خواهند شد و قبل از آسیب رسانی به آنها خاتمه داده خواهند شد.
سیستم های مدیریت آسیب پذیری روند بررسی آسیب پذیری های شبکه شما را بصورت خودکار استخراج می کنند. انجام چنین بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت، تا حدود زیادی غیرعملی خواهد بود. بعلاوه، شبکه ساختار پویایی دارد. ابزار جدید، ارتقاءدادن نرم افزارها و وصله ها، و افزودن و کاستن از کاربران، همگی می توانند آسیب پذیری های جدید را پدید آورند. ابزار تخمین آسیب پذیری به شما اجازه می دهند که شبکه را مرتب و کامل برای جستجوی آسیب پذیری های جدید پیمایش کنید.
روش های تابعیت امنیتی کاربر انتهایی به سازمان ها سطح بالایی از کنترل بر روی ابزاری را می دهد که به صورت سنتی کنترل کمی بر روی آنها وجود داشته است. هکرها بصورت روز افزون به دنبال بهره برداری از نقاط انتهایی برای داخل شدن به شبکه هستند، همچانکه پدیده های اخیر چون Mydoom، Sobig، و Sasser گواهی بر این مدعا هستند. برنامه های امنیتی کاربران انتهایی این درهای پشتی خطرناک به شبکه را می بندند.
معابب
IDS ها تمایل به تولید تعداد زیادی علائم هشدار غلط دارند، که به عنوان false positives نیز شناخته می شوند. در حالیکه IDS ممکن است که یک حمله را کشف و به اطلاع شما برساند، این اطلاعات می تواند زیر انبوهی از هشدارهای غلط یا دیتای کم ارزش مدفون شود. مدیران IDS ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط سیستم از دست بدهند. برای تأثیرگذاری بالا، یک IDS باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و آسیب پذیری های کشف شده در محیط شما تنظیم گردد. چنین نگهداری معمولاً میزان بالایی از منابع اجرایی را مصرف می کند.
سطح خودکار بودن در IPSها می تواند به میزان زیادی در میان محصولات، متفاوت باشد. بسیاری از آنها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در آن نصب شده اند منعکس کنند. تأثیرات جانبی احتمالی در سیستمهایی که بهینه نشده اند، مسدود کردن تقاضای کاربران قانونی و قفل کردن منابع شبکه معتبر را شامل می شود.
نتيجه گيری:
با توجه به گسترش کاربرد کامپيوتر در جوامع بشری، مکانيزه کردن اطلاعات و تبادل آن امری اجتناب ناپذير است. هر سيستم مکانيزه ای آسيب پذيری خاص خود را دارد. تبادل اطلاعات از طريق شبکه های کامپيوتری و مخصوصاً اينترنت آسيب پذيری و ريسک تغيير محتويات آن توسط نفوذگر، هکر و حتی صدمه ديدن سيستم را دارد. بنابراين حفظ امنيت سيستم و اطلاعات ضروری می باشد. استفاده از تکنولوژی های برقراری امنيت شبکه تا حدی می تواند اين ريسک را کاهش دهد.
Honeypot يکی از اين تکنولوژی هايی است که با شناسايی اهداف و اعمال نفوذگر و نقاط ضعف سيستم، در کنار ساير تکنولوژی های امنيتی ما را در حفظ امنيت سيستم مان ياری می نمايد.
منابع:
http://www.sgnec.net/
http://www.websecurity.ir/
http:// www.persianit.ir/