احسان امجدی
کارشناس امنیت اطلاعات و ارتباطات

هانی پات چیست؟ هانی نت چیست؟ بررسی تفاوت Honeypot و Honeynet

هانی پات چیست و چه تفاویت با هانی نت دارد؟ مقدمه ای کوتاه درباره هانی‌پات‌ها (Honeypots) : برای شروع و درک اولیه، یک هانی پات را میتوان یک حقه و کلک یا بهتر است بگویم یک طعمه در نظر گرفت که میتواند بسیاری از نفوذگران ( اتکرها) را بخود جذب کند. عموما این طعمه ها میتوانند بصورت سیستم های فیزیکی و یا مجازی پیاده سازی شوند

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

هانی پات چیست

که نقش یک دیوایس واقعی ( و حتی Critical) را در شبکه از خود به نمایش میگذارند (در حالی که اینطور نیست). بر روی هانی پات ها مانیتورینگ و لاگینگ سنگینی را به اجرا میگذاریم تا بتوان عملکردهای اتکر را بر روی آن بدقت مورد بررسی و تحلیل قرار داد. اگرچه جذب عمدی یک اتکر در دسترسی به سیستمی از شبکه ممکن است از نظر یک فرد حرفه ای در زمینه امنیت متناقض به نظر برسد اما نباید از فواید راه اندازی و استفاده از هانی پات در شبکه نیز چشم پوشی نمود.


هانی پات ها به تحلیلگران امنیت این شانس را میدهد تا بتوانند بطور واقعی بر روی دشمن خود مطالعه کنند. با آنالیز این که حملات واقعی چگونه، چه موقع انجام میشوند و چه هکرهایی در پشت روت کیت‌ها، تروجان‌ها و اکسپلویت‌ها هستند، آنالیزو شبکه میتواند راه های بهتر و کاراتری را در برابر چنین حملاتی پیشنهاد و ارائه دهد.

اجرای مانیتورینگ قوی بر روی هانی پات نه تنها برای آنالیزورها سودمند است، بلکه میتواند بخوبی دیگر اتک های احتمالی و بالقوه شبکه را نیز نشان دهد. در نهایت میتوان گفت که یک هانی پات هرچند طعمه ای بیش نیست اما اطلاعاتی در آن بصورت عمد گذاشته میشود که برای هر اتکر داخلی و یا خارجی وسوسه انگیز است ولی در واقع کاری که انجام میشود، انحراف نفوذگران از اهداف حساس و با ارزش شبکه است. به یاد داشته باشید که در برخی حوزه های قضایی، این کار بیشتر از آن که برای انحراف اتکر صورت پذیرد، به منظور به دام انداختن آن انجام میشود.

دو نوع رایج از هانی پات‌ها

محققان هانی پات‌ها را در دو دسته با ریسک بالا و با ریسک پایین کلاس‌بندی کرده‌اند. هانی پات با ریسک بالا عموما بر روی یک دیوایس، سیستم عامل و اپلیکیشن های واقعی و سرویس دهنده که اتکر قصد حمله و نفوذ بر روی آن‌ها را دارد، پیاده سازی می‌شود.به عنوان مثال، یک انالیزور که حملات محتمل بر روی ویندوز سرور 2003 (وب سرور) با IIS 6 را تحلیل میکند.

باید برای نیل به هدف خود بر روی یک سیستم واقعی یا مجازی، سیستم عامل و نرم افزار گفته شده را اجرا کند. خوبی که هانی پات با ریسک بالا دارد، اینست که به اتکر این امکان داده میشود تا هر آنچه را که میخواهد بر روی دیوایس واقعی مورد نظر انجام دهد و علت هم اینست که اتکر دقیقا بر روی یک دیوایس واقعی و سرویس دهنده کار میکند.

یعنی آنکه در این حالت، اکسپلویت ها بدرستی کار میکنند و قابل تحلیل هستند. در مقابل این نوع پیاده سازی هانی پات، میتواند ضررهای زیادی هم داشته باشد؛ چرا که وقتی که یک سیستم واقعی که هانی پات روی آن پیاده سازی شده، در معرض تهدید شدن قرار میگیرد، برای استفاده مجدد و قرارگیری در شبکه باید مجددا پیکربندی شود.

اگرچه این مورد بسیار نادر است اما حملات مخرب بر علیه BIOS سیستم هانی پات، آن را ناایمن و غیر مطمئن میسازد. همین امر موجب میشود که از هانی پات به عنوان نقطه قوت اجرای حملات استفاده شود که این امر ممکن است سبب ایجاد مشکلاتی در ارائه سرویس واقعی شبکه شود.

اما هانی پات با ریسک پایین بر روی یک سیستم عادی مثل یک سیستم لینوکس اجرا میشود و طوری وانمود خواهد شد که این سیستم یک سیستم سرویس دهنده در شبکه است و سرویس خاصی را اجرا میکند. در مثال بالا؛ در ویندوز سرور 2003 با IIS 6، ممکن است سرویس هایی مثل پورت های رایج SMB و IIS 6 بر روی پورت های 80 و 443 در حال اجرا باشند. هانی پات لاگِ کانکشن های ایجاد شده بر روی این پورت ها و هرگونه فرمانی که بسمت آن ها ارسال شده است را مانیتور میکند.

وب سایت توسینسو

هانی پات مرز آنچه که میتواند عبور کند و یا عبور نکند را مشخص می‌کند. بطور مثال یک هانی پات با ریسک پایین، وضعیتی شبیه یک روتر سیسکو را شبیه سازی میکند. ممکن است خود را شبیه به یک دیوایس سیسکو با قابلیت تلنت نشان دهد اما هرگز به اتکر این اجازه را نخواهد داد تا واقعا بر روی آن لاگین کند.

در مقابل یوزرنیم ها و پسوردهایی که اتکر با ان ها سعی در لاگین داشته است را درخود ثبت میکند. یا آن که سیستم هانی پات ما ممکن است خود را شبیه به یک FTP سرور جا بزند. در این صورت ممکن است که به لاگین های ناشناس هم اجازه عبور دهد اما هرگز اجازه استفاده کامل از تمامی دستورات FTP را به آن ها نخواهد داد.

در تمامی این حالات سیستم هانی پات ما خود را شبیه به یک سرور و ارائه دهنده سرویس جا زده است ولی از آنجایی که فقط نقش بازی میکند و در دل آن هیچ سرویس واقعی در حال اجرا نیست، اتکر حتی اگر در آن هم نفوذ کند، راه بجایی نخواهد برد و در واقع سرکار رفته است! در عوض تحلیلگر از لاگ هایی که ثبت شده است میتواند استفاده کافی را ببرد و اتکر را رفتار شناسی کند.

بزرگترین مزیت استفاده از هانی پات با ریسک پایین، اینست که به سادگی قابل نگهداری است چرا که در کنار سایر دلایل، این سیستم هیچگاه کاملا مورد تهدید قرار نخواهد گرفت. هرچند که با این وضعیت نیز تحلیلگر هم نخواهد توانست درک درستی از آن چه را اتکر قصد انجام آن را داشته است، بدست اورد. هانی پات رایجی که در حالت "ریسک پایین" مورد استفاده قرار میگیرد، Honeyd نام دارد که در طی اجرای پروژه Honeynet، توسط شخصی به نام Niels Provos ایجاد شده است.

هانی پات چیست

Honeynets چیست؟

هانی‌نت ها بصورت ساده مجموعه ای از هانی‌پات‌ها هستند که طراحی آن ها بصورتی است که شبیه به سرویس‌ها و سرورهای تحت شبکه به نظر میرسند. به عنوان مثال ممکن است شما هانی‌پاتی داشته باشید که خود را شبیه به یک دومین کنترلر (DC) نشان دهد یا هانی پات دیگر خود را بجای یک وب سرور اینترنتی، میل سرور و یا سرورهای دیگر جا بزند.

هانی‌نت ها میتوانند از هانی‌پات های قوی، ضعیف و یا ترکیبی از ایندو تشکیل شوند.هانی‌نت ها معمولا در پشت سیستمی که اصطلاحا "Honeywall" نامیده میشوند، پیاده سازی میشوند. هانی‌وال یک مسیر bridge شده را برای هانی‌نت ایجاد کرده و قابلیت های مانیتورینگ شبکه، کپچر کردن بسته‌ها و IDS//IPS را از خود ارائه می‌دهد.

مزیت های استفاده از هانی‌پات‌ها در شبکه‌های SCADA

نکته: شبکه های (SCADA (Supervisory Control and Data Acquisition، شبکه هایی هستند که در آن ها از تجهیزاتی استفاده میشود که از آن ها در امر کنترل و نظارت بر داده ها استفاده میشود.مزیت های مختلفی در استفاده از هانی‌پات‌ها در شبکه های SCADA به عنوان سپری در مقابل سایر اقدامات پیشگیرانه امنیتی وجود دارد.

یک هانی‌پات، به تنظیمات فعلی یک شبکه SCADA مانند فایروال و UTM کاری نداشته و نیازی به اضافه کردن دیوایسی بر روی مسیر شبکه ندارد.چون که نصب دیوایس بر روی مسیر شبکه مستلزم قطعی هرچند کوتاه مدت شبکه است و بسته به نوع معماری شبکه، ممکن است حتی بجای مفید بودن، نقطه انفصال شبکه نیز محسوب شود.

هانی‌پات خیلی ساده مانند دیوایس های دیگر به شبکه اضافه میشود و طوری تنظیم میشود تا سرویس هایی را اجرا کند تا بدینوسیله شبیه دیگر دیوایس های موجود در شبکه SCADA، بنظر برسد. بخاطر آن که هانی‌پات مستقیما روی مسیر شبکه قرار نگرفته و واقعا مانند IPS جلوی ترافیک آلوده را نمیگیرد، سبب میشود که تا حد بسیار زیادی از کاهش کارایی شبکه بکاهد.

وب سایت توسینسو

مزیت دیگری که هانی‌پات دارد، اینست که طوری پیکربندی میشود که شبیه به دیوایس های خاصی در یک شبکه SCADA به نظر برسد. به همین علت اجباری نیست که حتما هانی‌پات شبیه به یک سرویس IIS روی ویندوز، یک سرویس OpenSSH روی لینوکس و یا حتی سرویس تلنت روی یک روتر سیسکو باشد.

میتوان طوری هانی‌پات را ساختاربندی کرد که شبیه به یک سیستم گرمایشی، تهویه و سرمایشی (HVAC)، سیستم کنترل دسترسی ساختمان (BACS) یا سیستم کنترل صنعتی (ICS) نقش بازی کند. این قابلیت این امکان را میدهد تا بتوان حملاتی را که بطور خاص زیرساخت شبکه را هدف گرفته‌اند، مانیتور کرد. در کنار تمام مزیت های موجود، هانی‌پات ها یک مشکل عمده دارند: سیستم، عملی که رخ داده است، را مانیتور کرده و الارم میدهد. بر خلاف یک IPS، یک هانی‌پات نمیتواند بطور خودکار جلوی حملات را بگیرد.

هانی‌پات های (Honeypots) موجود در شبکه‌های SCADA

نمیتوان گفت که استفاده از هانی‌پات برای کمک به امن کردن یک شبکه SCADA، کاملا یک ایده جدید و نو است. چون Pothamesty و Franz از شرکت سیسکو پیش از این در سال 2004 این ایده را مطرح کرده و پروژه SCADA Honeypot را استارت زدند. هدف آن‌ها ایجاد و شبیه سازی ماژولی بود که بتواند با Honeyd کار کند و یک کنترلر منطقی قابل برنامه ریزی (PLC) باشد

که بطور خاص بتوان از کامپیوتر برای کنترل آن استفاده کرد. در این مرحله پروتکل های خاصی شبیه به FTP، HTTP، Modbus TCP و Telnet شبیه سازی شدند. Modbus، پروتکل ارتباطات سریالی است که در PLC ها برای ایجاد ارتباط با دیگر دیوایس های الکترونیک صنعتی، در سال 1979 توسعه داده شده است.

این پروژه جالب، امروزه نیز میتواند در شبیه سازی PLC ها هنوز بکار رود و این در حالی است که از سال 2005 به بعد هیچ آپدیتی بروی سورس کد آن انجام نشده است. شرکت تحقیقاتی و امنیتی Digital Bond دیگر شرکتی است که یک SCADA Honeynet، شامل دو ویرچوال ماشین را ساخته و آن ها را در سال 2014 قابل استفاده عموم کرده است.

یکی از ویرچوال ماشین ها زمانی که هانی‌وال به منظور مانیتور ترافیک شبکه اجرا میشود، به عنوان یک PLC Honeypot عمل میکند. این نکته هم فراموش نشود که هانی‌وال علاوه بر این میتواند یک هانی‌پات با ریسک بالا که در فرم یک PLC واقعی کار میکند را مانیتور کند.

در این پروژه بر روی هانی‌وال، شرکت Digital Bond یک snort IDS و تعدادی از signature های مخصوص PLC را نیز قرار داده است. سرویس هایی که در این پروژه شبیه سازی شده‌اند شامل FTP، Telnet، HTTP، SNMP و Modbus TCP است. آخرین نسخه هانی‌نت که نوشته شده است، 0.8 و مربوط به سال 2011 است.

دیگر SCADA Honeypot ای که اخیرا تولید شده است، مربوط به شرکت Conpot است که یک Simens SIMATIC S7-200 PLC را شبیه شازی کرده است. این PLC شامل پروتکل های Modbus TCP، SNMP و HTTP است. این پروژه وابسته به پروژه هانی‌نت است و میتواند طوری کانفیگ شود که گزارش داده های اتک را گرفته و به پروژه برگرداند. این گزارش دهی به منظور تحقیق درباره نحوه عملکرد حملات گسترده انجام می‌شود. در دوره آموزش نتورک پلاس و در قسمت کاربرد ایزوله سازی و جداسازی در امنیت شبکه بصورت ویژه به بررسی هانی پات و هانی نت و فرآیند های ایزوله سازی شبکه می پردازیم.


احسان امجدی
احسان امجدی

کارشناس امنیت اطلاعات و ارتباطات

احسان امجدی ، مشاور امنیت اطلاعات و ارتباطات و تست نفوذ سنجی ، هکر کلاه سفید ، مدرس دوره های تخصصی امنیت اطلاعات و شبکه ، تخصص در حوزه های سرویس های مایکروسافت ، Routing و Switching ، مجازی سازی ، امنیت اطلاعات و تست نفوذ ، کشف جرائم رایانه ای و سیستم عامل لینوکس ، متخصص در حوزه SOC و ...

نظرات