در بخش اول این مقاله ، تعریفی از Honeypot ها ارائه دادیم و فواید و مضرات آنها را بیان کردیم. در این بخش درباره انواع آنها بحث خواهیم کرد

انوع Honeypot ها

Honeypot ها در اندازه و شکلهای مختلفی هستند و همین امر باعث شده است که فهم آنها کمی مشکل شود. برای اینکه بتوان بهتر آنها را فهمید همه انواع مختلف آنها را در دو زیر مجموعه آورده ایم:

1- Honeypot های کم واکنش

2- Honeypot های پرواکنش

این تقسیم بندی به ما کمک می کند که چگونگی رفتار آنها را بهتر درک کنیم. و بتوانیم به راحتی نقاط ضعف و قدرت آنها و توانایی ها یشان را روشن تر کنیم. واکنش در اصل نوع ارتباطی که یک نفوذگر با Honeypot دارد را مشخص می کند.

Honeypot های کم واکنش دارای ارتباط و فعالیتی محدود می باشند.آنها معمولا با سرویسها و سیستم های عامل را شبیه سازی شده کار می کنند. سطح فعالیت یک نفوذگر با سطحی از برنامه های شبیه سازی شده محدود شده است. به عنوان مثال یک سرویس FTP شبیه سازی شده که به پورت 21 گوش می کند ممکن است فقط یک صفحه login و یا حداکثر تعدادی از دستورات FTP را شبیه سازی کرده باشد . یکی از فواید این دسته از Honeypot های کم واکنش سادگی آنها می باشد.

نگهداری Honeypot های کم واکنش بسیار راحت و آسان است و خیلی راحت می توان آنها را گسترش داد و ریسک بسیار کمی دارند. آنها بیشتر درگیر این هستند که چه نرم افزارهایی باید روی چه سیستم عاملی نصب شود و همچنین می خواهید چه سرویسهایی را برای آن شبیه سازی و دیده بانی (Monitor ) کنید.

همین رهیافت خودکار و ساده آنها است که توسعه آن را برای بسیاری از شرکت ها راحت می کند. البته لازم به ذکر است که همین سرویسهای شبیه سازی شده باعث می شود که فعالیت های فرد نفوذگر محدود شود و همین امر باعث کاهش ریسک می گردد. به این معنی که نفوذگر نمی تواند هیچگاه به سیستم عامل دسترسی پیدا کند و به وسیله آن به سیستم های دیگر آسیب برساند.

یکی از اصلی ترین مضرات Honeypot های کم واکنش این است که آنها فقط اطلاعات محدودی را می توانند ثبت کنند و آنها طراحی می شوند که فقط اطلاعاتی راجع به حملات شناخته شده را به ثبت برسانند.همچنین شناختن یک Honeypot کم واکنش برای یک نفوذگر بسیار راحت می باشد. نگران این نباشید که شبیه سازی شما چه اندازه خوب بوده است زیرا که نفوذگران حرفه ای به سرعت یک Honeypot کم واکنش را از یک سیستم واقعی تشخیص می دهند. از Honeypot های کم واکنش می توان Spector , Honeyd و KFSensor را نام برد.

Honeypot های پر واکنش متفاتند. آنها معمولا از راه حل های پیچیده تری استفاده می کنند زیرا که آنها از سیستم عاملها و سرویسهای واقعی استفاده می کنند. هیچ چیزی شبیه سازی شده نیست و ما یک سیستم واقعی را در اختیار نفوذگر می گذاریم.

اگر شما می خواهید که یک Honeypot لینوکس سرور FTP داشته باشید شما باید یک لینوکس واقعی به همراه یک سرویس FTP نصب کنید. فایده این نوع Honeypot دو چیز است. شما می توانید یک حجم زیادی از اطلاعات را به دست آورید. با دادن یک سیستم واقعی به فرد نفوذگر شما می توانید تمامی رفتار او از rootkit های جدید گرفته تا یک نشست IRC را زیر نظر بگیرید. دومین فایده Honeypot های پرواکنش این است که دیگر جای هیچ فرضیه ای روی رفتار نفوذگر باقی نمی گذارد و یک محیط باز به او می دهد و تمامی فعالیتهای او را زیر نظر می گیرد. همین امر باعث می شود که Honeypot های پرواکنش رفتارهایی از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ایم و یا نمی توانسته ایم حدس بزنیم!!

بهترین جا برای استفاده از این نوع Honeypot ها زمانی است که قصد داریم دستورات رمز شده یک در پشتی را روی یک شبکه غیر استاندارد IP به دست بیاریم. به هر حال همین امور است که ریسک اینگونه Honeypot ها را افزایش می دهد زیرا که نفوذگر یک سیستم عامل واقعی را در اختیار دارد و ممکن است به سیستم های اصلی شبکه صدمه بزند. به طور کلی یک Honeypot پرواکنش می تواند علاوه بر کارهای یک Honeypot کم واکنش کارهای خیلی بیشتری را انجام دهد.

برای فهم بهتر اینکه Honeypot کم واکنش و پرواکنش چگونه کار می کنند بهتر است دو مثال واقعی در این زمینه بیاوریم. با Honeypot های کم واکنش شروع می کنیم.

Honeyd : یک Honeypot کم واکنش

Honeyd یک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز می باشد و برای مجموعه سیستم عاملهای یونیکس ساخته شده است.(فکر کنم روی ویندوز هم برده شده است ) . Honeyd بر اساس زیر نظر گرفتن IP های غیر قابل استفاده بنا شده است. هر چیزی که قصد داشته باشد با یک IP غیر قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلی قطع کرده و با نفوذگر ارتباط برقرار می کند و خودش را جای قربانی جا می زند.

به صورت پیش فرض Honeyd تمامی پورتها TCP و یا UDP را زیر نظر گرفته و تمامی درخواستهای آنها را ثبت می کند. همچنین برای زیر نظر گرفتن یک پورت خاص شما می توانید سرویس شبیه سازی شده مورد نظر را پیکربندی کنید مانند شبیه سازی یک سرور FTP که روی پروتکل TCP پورت 21 کار می کند.وقتی که نفوذگر با یک سرویس شبیه سازی شده ارتباط برقرار می کند تمامی فعالیتهای او را با سرویسهای شبیه سازی شده دیگر ثبت کرده و زیر نظر می گیرد. مثلا در سرویس FTP شبیه سازی شده ما می توانیم نام کاربری و کلمه های رمزی که نفوذگر برای شکستن FTP سرور استفاده می کند و یا دستوراتی که صادر می کند را به دست آوریم و شاید حتی پی ببریم که او به دنبال چه چیزی می گردد و هویت او چیست !

همه اینها به سطحی از شبیه سازی بر می گردد که Honeypot در اختیار ما گذاشته است. بیشتر سرویسهای شبیه سازی شده به یک صورت کار می کنند. آنها منتظر نوع خاصی از رفتارهای هستند و طبق راههایی که قبلا تعیین کرده اند به این رفتارهای واکنش نشان می دهند.

اگر حمله A این را انجام داد از این طریق واکنش نشان بده و اگر حمله B این کار را کرد از این راه واکنش نشان بده!

محدودیت این برنامه ها در این است که اگر نفوذگر دستوراتی را وارد کند که هیچ پاسخی برای آنها شبیه سازی نشده باشد. بنابراین آنها نمی دانند که چه پاسخی را باید برای نفوذگر ارسال کنند. بیشتر Honeypot های کم واکنش - مانند Honeyd - یک پیغام خطا نشان می دهند. شما می توانید از کد برنامه Honeyd کل دستوراتی که برای FTP شبیه سازی کرده است را مشاهده کنید.

Honeynet ها : یک Honeypot پر واکنش

Honeynet یک مثال بدیهی برای Honeypot های پرواکنش می باشد. Honeynet ها یک محصول نمی باشند. آنها یک راه حل نرم افزاری که بتوان روی یک کامپیوتر نصب شوند نمی باشد. Honeynet ها یک معماری می باشند . یک شبکه بی عیب از کامپیوترهایی که طراحی شده اند برای حملاتی که روی آنها انجام می گیرد. طبق این نظریه ما باید یک معماری داشته باشیم که یک کنترل بالایی را روی شبکه ایجاد کند تا تمامی ارتباطات با شبکه را بتوان کنترل کرد و زیر نظر گرفت.

درون این شبکه ما چندین قربانی خیالی در نظر می گیریم البته با کامپیوترهایی که برنامه های واقعی را اجرا می کنند. فرد هکر این سیستم ها را پیدا کرده و به آنها حمله می کند و در آنها نفوذ می کند اما طبق ابتکار و راهکارهای ما ! یعنی همه چیز در کنترل ما می باشد. البته وقتی آنها این کارها را انجام می دهند نمی دانند که در یک Honeynet گرفتار شده اند. تمامی فعالیت های فرد نفوذگر از نشست های رمز شده SSH گرفته تا ایمیل ها و فایلهایی که در سیستم ها قرار می دهند همه و همه بدون آنکه آنها متوجه شوند زیر نظر گرفته و ثبت می شود. در همان زمان نیز Honeynet تمامی کارهای نفوذگر را کنترل می کند. Honeynet ها این کارها را توسط دروازه ای به نام Honeywall انجام می دهند. این دروازه به تمامی ترافیک ورودی اجازه می دهد که به سمت سیستم های قربانی ما هدایت شوند ولی ترافیک خروجی باید از سیستم های مجهز به IDS عبور کند. این کار به نفوذگر این امکان را می دهد که بتواند ارتباط قابل انعطاف تری با سیستم های قربانی داشته باشد اما در کنار آن اجازه داده نمی شود که نفوذگر با استفاده از این سیستم ها به سیستم های اصلی صدمه وارد کند

حتما همه شما تا به حال تجربه ی اتصال به اینترنت را داشته اید و کم و بیش اطلاعاتی راجع به این موضوع دارید. برای آشنایی بیشتر شما نکاتی هر چند مختصر در مورد شبکه و قطعات مورد نیاز در آن خواهیم گفت. همان طور که می دانید اینترنت، متشکل از شبکه هایی است که هر یک ازطریق مسیرهایی به دیگری متصل هستند. این مسیرها تبادل اطلاعات را میسر می سازند. اتصال به اینترنت به معنی دستیابی به این مسیرها است. حال برای این که این شبکه ها که شامل هزاران کامپیوتر هستند بتوانند به درستی با هم در ارتباط باشند به وسایل و قطعات ویژه ای مثل هاب، تکرار کننده، مسیریاب و ... نیاز است. اما برای اینکه بدانید وظیفه هر یک از این وسیله ها چیست ادامه ی مطلب را بخوانید. کابل BUS: در شبکه های محلی اترنت اولیه برای ارتباط از کابل کواکسیال استفاده می شد. (این کابل ها همان کابل هایی هستند که برای اتصال آتن به تلویزیون استفاده می شوند و شما هم حتما دیده اید. ) این کابل از یک کامپیوتر به کامپیوتر دیگر رفته و تمام دستگاه ها را به هم متصل می کند. بنابراین هر سیگنالی که در کابل Bus وجود دارد در تمام دستگاه ها قابل مشاهده است. این روش ساده ترین روش ایجاد شبکه ی کامپیوتری است. البته در ظاهر ساده به نظر می رسد اما در واقع پر از اشکال است. چون وقتی که تعداد سیستم ها زیاد می شود، کار کابل کشی بسیار پر زحمت است. تازه وقتی بخواهید دستگاهی را از مدار خارج کنید و یا یک دستگاه جدید به شبکه اضافه کنید مشکلات ظهور می کنند. البته امروزه به ندرت می توانید یک شبکه محلی LAN پیدا کنید که با کابل کواکسیال درست شده باشد. Hub : به طور خلاصه باید بگوییم هاب یک جعبه است که دارای تعدادی ورودی بنام پورت (Port) می باشد. تعداد این ورودی ها بسته به تعداد کامپیوترهایی است که می خواهیم در یک شبکه باشند. مثلا اگر در یک شرکت تمام کامپیوترها در شبکه باشند، در هر طبقه یک هاب قرار می دهند و تمام دستگاه های آن طبقه با کابل به هاب مورد نظر وصل می شوند که بعد هر کدام از این هاب ها به طریقی به کامپیوتر سرور متصل می شوند. اگر اطلاعاتی به داخل این جعبه آمد توسط کابل وارد تمام کامپیوترها می شود. شاید بگویید پس چه فرقی بین این روش و روش اولیه وجود دارد؟ در جواب باید گفت بزرگترین فرق در این است که شما می توانید هر زمان که بخواهید به راحتی یک کامپیوتر جدید را با اتصال به این جعبه به شبکه اضافه کنید و یا با خارج کردن کابل یک دستگاه از این جعبه آن را از شبکه خارج کنید بدون این که کل شبکه تحت تاثیر قراربگیرد. اکثر هاب ها یک چراغ نمایشگر دارند که نشان می دهد هر کابل به خوبی دستگاه را به شبکه متصل کرده است و یک چراغ دیگر وضعیتی را نشان می دهد که 2 سیستم سعی می کنند در یک زمان اطلاعات را به اشتراک بگذارند و در نتیجه باعث تصادف داده ها (Data Collision) می شوند. به طور کلی هاب به دو دسته تقسیم می شود: 1.Active: این نوع هاب، سیگنال هایی را که از درون آن می گذرند تقویت می کند. 2.Passive: این هاب هیچ عمل تقویتی روی سیگنال انجام نمی دهد و صرفا آن را از خود عبور می دهد. در مسافرت های طولانی زیاد بودن طول کابل باعث ضعیف شدن سیگنال می شود و با تقویت آن، قدرت اولیه را به آن برمی گرداند. نوع دیگر از هاب ها وجود دارد که هوشمند نامیده می شود که به مسئول شبکه اجازه کنترل از راه دور اتصالات را می دهد. تکرار کننده(Repeater): این وسیله در واقع نوع خاصی Hub است که فقط دارای 2 پورت است. کار آن تقویت سیگنال های بین دو شبکه یا سگمنت های یک شبکه که فاصله ی زیادی از هم دارند می باشد. مثل هاب های دارای 2 نوع Passive و Active می باشد. نوع اول علاوه بر سیگنال هر چیز دیگری حتی نویز (Noise: امواج ناخواسته که به همراه سیگنال اصلی که دارای اطلاعات است می باشند. مثلا در امواج صوتی نویز باعث افت کیفیت صدا و شنیدن اصوات اضافه می شود) را هم تقویت می کند. اما تکرار کننده ی نوع اکتیو سیگنال را قبل از ارسال بازدید کرده و چیزهای اضافه را خارج می کند و مثلا دیگر نویز را تقویت نمی کند. پل (Bridge): مثل تکرارکننده دارای 2 پورت است و برای اتصال گروهی از کامپیوترها به کار می رود. تفاوت آنها در این است که پل لیستی دارد که نشان می دهد در هر سمت چه کامپیوترهایی قرار دارند و به بسته هایی (در اینترنت و هر شبکه ای اطلاعات برای اینکه فرستاده شوند به قطعات کوچکتری تقسیم می شوند، هر قطعه را بسته می نامیم) که باید بطرف دیگر شبکه بروند اجازه ی عبور می دهد. سوئیچ (Switch): تقریبا مثل هاب است اما به جای 2 پورت دارای چندین پورت است. درون خود یک جدولی دارد و نشان می دهد که جه سیستم هایی به هر پورت متصلند و بسته ها را به جایی که باید بروند می فرستد. برخلاف هاب سیگنال ها فقط به درون پورتی که باید بروند می روند نه به تمام پورت ها. جداول (و شبکه) باید به قدر کافی ساده باشند چرا که فقط یک مسیر ممکن برای هر بسته وجود دارد. اگر دقت کرده باشید متوجه خواهید شد که سوئیچ از هاب سریعتر است چون احتیاجی نیست که هر پورت کل ترافیک ارسال و دریافت اطلاعات را متحمل شود و فقط آنچه که مخصوص خود است را دریافت می کند. البته سوئیچ از پل هم سریعتر است و در ضمن گران تر از هر دوی آنها. بعضی از سوئیچ ها و پل ها می توانند برای اتصال شبکه هایی که پروتکل های فیزیکی مختلفی دارند استفاده شوند. مثلا برای اتصال شبکه های اترنت یا شبکه TokenRing. هر دوی این شبکه ها می توانند به اینترنت متصل شوند. در شبکه TokenRing اطلاعات بع صورت نشانه (Token) هایی از یک کامپیوتر به کامپیوتر دیگر به صورت ستاره یا حلقه منتقل می شوند. شبکه اترنت را هم قبلا توضیح داده ایم. این قطعات به صورت ویژه هستند و در همه شبکه ها استفاده نمی شوند. مسیریاب (Router): مسیریاب از 2 یا چند پورت برای ورود و خروج اطلاعات تشکیل شده است در واقع کنترل ترافیک به عهده آنها می باشد. مسیریاب را می توان مرتب کننده ی هوشمند بسته ها نامید. همان طور که از نامش پیدا است، بهترین مسیر را برای فرستادن قطعات به مقصد انتخاب می کند و چک می کند تا ببیند آیا بسته ها به مقصد رسیده اند یا نه. براساس مقصد داده ها، بسته ها از یک مسیریاب به مسیریاب دیگر از طریق بهترین راه فرستاده می شوند. این موضوع یاعث می شود تا به عنوان یک وسیله قدرتمند در شبکه های پیچیده مثل اینترنت استفاده شود. در واقع می توان اینترنت را به عنوان شبکه ای از مسیریاب ها توصیف کرد. انواع مسیریاب ها با جداول و پروتکل های مختلفی کار می کنند اما حداقل این که هر مسیریاب در اینترنت باید با پروتکل TCP/IP کار کند. Brouter: این وسیله ترکیبی از پل و مسیریاب می باشد/(Bridgt+Router). بسته های محلی می توانند از یک طرف شبکه به طرف دیگر با توجه به آدرس مقصد هدایت شوند حتی اگر از هیچ پروتکل ارسالی هم پیروی نکنند. بسته هایی که دارای پروتکل مناسب هستند می تواند طبق مسیر خود به دنیای خارج از شبکه محلی فرستاده شوند. دروازه (Gateway): دلیل اصلی پیچیدگی موضوع در وازه ها از این حقیقت ناشی می شود که این کلمه 2 عملکرد مختلف را توصیف می کند. یک نوع آن، یک شبکه را به یک شبکه یا دستگاه های مختلف دیگر ارتباط می دهد. مثلا یک شبکه از کامپیوترهایی که به یک سیستم ابرکامپیوتر IBM متصل هستند. کاربرد معمولی آن در گره (Node) یک شبکه می باشد که امکان دستیابی به اینترنت و یا کامپیوترهای دیگر دریک شبکه پیچیده LAN را می دهد. در شبکه هایی که بیش از یک دروازه وجود دارد معمولا یکی از آنها به عنوان دروازه ی پیش فرض انتخاب می شود. قبلا یک دروازه تقریبا شبیه به چیزی بود که ما امروزه مسیریاب می نامیم. سرور پراکسی (Proxy Server): این سیستم بین یک سرور و یک کامپیوتر Work Station (یعنی کامپیوتری که به کامپیوتر اصلی یا همان سرور متصل است ) برقرار است. ملموس ترین مثال در مورداینترنت، مرورگری که شما با آن کار می کنید است. این مرورگر ظاهرا در حال برقراری ارتباط با یک سرور خارج از وب است اما درواقع به یک سرورپراکسی محلی متصل است. شاید بگویید این کار چه مزیت دارد؟ مزیت اول: این سیستم باعث افزایش سرعت دسترسی به اینترنت می شود. چون سرور پراکسی صفحات وبی که قبلا باز شده اند را در حافظه ذخیره می کند، هنگامی که شما به این صفحات احتیاج دارید به جای اینکه آن را از سایت اصلی و از محلی دور پیدا کنید به راحتی وبه سرعت آنها را از این دستگاه برمی دارید. حال ببینیم نحوه ی کار به چه صورت است. وقتی شما در یک شبکه ی محلی مثلا شبکه ی شرکت می خواهید به یک سرویس دهنده در شبکه دسترسی داشته باشید، یک درخواست از کامپیوتر شما به سرور پراکسی (سرویس دهنده ی پراکسی) فرستاده می شود. سرور پراکسی با سرور اصلی در اینترنت ارتباط برقرار می کند و سپس سرور پراکسی اطلاعات را از سرور اینترنت به کامپیوتر شما درون شبکه شرکت می فرستد و در ضمن یک کپی از این اطلاعات در سرور پراکسی ذخیره می شود. مزیت دوم: با کمی دقت می بینید که سرور پراکسی به عنوان یک واسطه بین شبکه ی اینترنت و شبکه ی شرکت شما عمل می کند. به عبارتی باعث امنیت در شبکه ی داخلی شرکت می شود. چون به جای اینکه چندین کامپیوتر در شبکه داخلی به اینترنت متصل باشند فقط یک سرور پراکسی با اینترنت در ارتباط است. امنیت شبکه از لحاظ ویروس و هک شدن... تا حدود زیادی تامین می شود. اما این چگونه انجام می شود؟ معمولا در شرکت ها برای محافظت از شبکه ی خود از دیواره های آتش (Firewalls) استفاده می کنند. دیواره های آتش به کاربر در شبکه امکان می دهند به اینترنت دسترسی داشته باشد، ولی جلوی هکرها و هر کس در اینترنت که می خواهد به شبکه آن شرکت دسترسی داشته باشد و باعث خسارت شود را می گیرند. دیواره های آتش مجموعه ای از سخت افزارها و نرم افزارهایی مثل مسیریاب ها، سرویس دهنده ها و نرم افزارهای مختلف هستند. انواع مختلفی دارند و بسته به کاربردشان می توانند ساده و یا پیچیده باشند.