آموزش های تخصصی شبکه و امنیت و ضد امنیت

چگونه نفوذگران را فريب دهيم؟ 
در جنگ بين نفوذگران و مديران امنيت شبکه، داشتن اطلاعات نشانة قدرت است. به عنوان يک مدير امنيت شبکه، هر چه بيشتر در مورد دشمنتان و روش­هاي حمله او بدانيد بهتر مي­توانيد از خودتان در مقابل او دفاع کنيد.
استفاده از Honeypotها يکي از روش­هايي است که مي­توانيم اطلاعاتي در مورد دنياي نفوذگران به دست آوريم.

Honeypot چيست؟
Honeypot يک ماشين ويژه در شبکه است که به عنوان طعمه براي نفوذگران استفاده مي­شود. به طور عمدي بر روي آن سيستم عامل آلوده به يک اسب تروا[1]، درپشتي[2] يا سرويس­دهنده­هاي ضعيف و داراي اشکال نصب مي­شود تا به عنوان يک ماشين قرباني، نفوذگران را به خود جذب کرده و مشغول نگه دارد. هم­چنين ممکن است بر روي چنين ماشيني اطلاعات غلط و گمراه­کننده­اي براي به اشتباه انداختن نفوذگر نيز گذاشته شود. 
يک سيستم Honeypot عملاً هيچ فايده­اي براي مقاصد سرويس دهي ندارد بلکه ماشين فداکاري است که با جذب نفوذگران و گمراه کردن آن­ها با اطلاعات غلط، از دسترسي به سرويس دهنده­هاي حساس جلوگيري مي­کند. اطلاعات غلط ممکن است ساعت­ها يک نفوذگر را معطل کند. در ضمن تشخيص اين نکته که سيستم موردنظر آيا واقعاً ضعف دارد يا آن­که يک Honeypot است براي نفوذگر چندان ساده نيست.
Honeynet شبکه­اي از Honeypotهاست که به گونه­اي تنظيم مي­شوند که شبيه يک شبکة واقعي به نظر برسند.

دلايل استفاده از Honeypot
Honeypotها به دو دليل استفاده مي­شوند :
اول اين که نقاط ضعف سيستم را بشناسيم. مدير سيستم مي­تواند با مشاهدة تکنيک­ها و روش­هاي استفاده شده توسط نفوذگر بفهمد سيستم چگونه شکسته مي­شود و نقاط آسيب­پذير سيستم را شناسايي و نسبت به ترميم آن­ها اقدام کند.
دليل دوم جمع­آوري اطلاعات لازم براي تعقيب و ردگيري نفوذگران است. با توجه به آن­که نفوذگر يک سيستم ضعيف و آسيب­پذير را در شبکه کشف مي­کند بنابراين تمام تلاش­هاي بعدي او پيرامون سيستم Honeypot (که يک هدف قلابي است) متمرکز مي­شود. مي­توان يک سيستم تشخيص نفوذ[3] (IDS) را در کنار اين سيستم نصب کرد تا تلاش­هاي نفوذگران براي حمله به اين هدف قلابي را گزارش دهد و شما بتوانيد اين موضوع و مبدا آن را پيگيري کنيد. 
اين در حالي است که Honeypot همزمان از شبکة واقعي در برابر حملات مراقبت مي­کند.
هدف اصلي يک Honeypot شبيه­سازي يک شبکه است که نفوذگران سعي مي­کنند به آن وارد شوند. اطلاعاتي که بعد از حمله به يک Honeypot به دست مي­آيد، مي­تواند براي کشف آسيب­پذيري­هاي شبکة فعلي و رفع آن­ها استفاده شود.

Honeypot چه کارهايي مي­تواند انجام دهد؟
با توجه به اين که از يک Honeypot چه مي­خواهيم، Honeypot مي­تواند کارهاي زير را انجام دهد :

• <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l0 level1 lfo1">فراهم کردن هشدارهايي در مورد حملات در حال انجام <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l0 level1 lfo1">معطل کردن نفوذگر و دور نگه داشتن او از شبکة واقعي(نفوذگران پس از شناسايي شبکه، به طور معمول از ضعيف­ترين و آسيب­پذيرترين سيستم در شبکه شروع مي­کنند. زماني که آن­ها صرف کلنجار رفتن با اين سيستم قلابي مي­کنند مي­تواند يک آسودگي خاطر براي بقية ماشين­ها ايجاد کند.) <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l0 level1 lfo1">فراهم کردن امکان مونيتورينگ بلادرنگ حملات صورت گرفته <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l0 level1 lfo1">فراهم کردن اطلاعاتي در مورد جزئيات حمله (اطلاعاتي از قبيل اين که نفوذگران چه کساني هستند، چه مي­خواهند، سطح مهارت­هايشان و ابزارهايي که استفاده مي­کنند)
• فراهم کردن امکان رديابي و پيگرد قانوني نفوذگر

هم­چنين Honeypot مانع انجام کارهاي زير توسط نفوذگر مي­شود :

• <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l1 level1 lfo2">دسترسي به داده­هاي واقعي <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l1 level1 lfo2">کنترل­هاي مديريتي در سطح شبکه <LI class=MsoNormal dir=rtl style="MARGIN: 6pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l1 level1 lfo2">دستيابي به ترافيک واقعي شبکه
• کنترل بر ديگر ابزارهاي متصل به شبکه

با استفاده از مهندسي اجتماعي[4] مي­توان Honeypot را جالب­تر کرد. هرچه Honeynet شما به شبکة سازمان شما شبيه­تر باشد، محيط واقعي­تر است و باعث مي­شود نفوذگران آن را بيشتر باور کنند و حتي نفوذگران حرفه­اي هم به راحتي فريب بخورند. يک پيشنهاد خوب اين است که تعدادي حساب کاربري تعريف کرده و به آن­ها يک سري دايرکتوري و اسناد اختصاص بدهيد، برايشان پست الکترونيکي تعريف کنيد، آنها را به ليست­هاي پستي اضافه کنيد، ...
هم­چنين مي­توان توسط اين سيستم نفوذگران را فريفت. به عنوان مثال وقتي نفوذگر يک ابزار استراق سمع[5] روي هدف قلابي(سيستم Honeypot) نصب مي­کند اطلاعات غلط و بيهوده براي او ارسال مي­شود و او به خيال آن که نفوذش در شبکه واقعي است، ساعت­ها وقت تلف مي­کند تا اين اطلاعات غلط را تحليل کند.
به ياد داشته باشيد که Honeypotاي که مورد حمله واقع نشود به هيچ دردي نمي­خورد. بنابراين بايد آن­ را تا حد امکان براي نفوذگر جذاب کنيد، البته تا حدي که شک نفوذگران حرفه­اي را برنينگيزد..
هرچقدر يک نفوذگر دفعات بيشتري به Honeypot وصل شود، شما بيشتر به اهداف خود دست مي­يابيد.

محل قرار گرفتن Honeypot در شبکه
يک Honeypot مي­تواند در هرجايي که يک سرويس دهنده قادر است قرار بگيرد، واقع شود ولي مطمئناً برخي جاها بهتر از بقيه است.
يک Honeypot با توجه به سرويس­هاي مورد استفاده مي­تواند در اينترنت يا اينترانت مورد استفاده قرار گيرد. اگر بخواهيم فعاليت­هاي خرابکارانة اعضاي ناراضي را در شبکة خصوصي کشف کنيم قرار دادن Honeypot در اينترانت مفيد است. در اينترانت Honeypot پشت ديوارة آتش قرار مي­گيرد.
در شبکة اينترنت يک Honeypot مي­تواند در يکي از محل­هاي زير قرار گيرد :
1-جلوي ديوارة آتش
2-درون ­[6]DMZ
شکل فوق قرار گرفتن Honeypot را در محل­هاي گفته شده نشان مي­دهد.
هر کدام از اين دو مزايا و معايبي دارد که به آن مي­پردازيم.
با قرار گرفتن Honeypot در جلوي ديوارة آتش، خطر داشتن يک سيستم تحت سيطرة نفوذگر در پشت ديوارة آتش از بين مي­رود و هيچ خطر اضافي (منتج از نصب Honeypot) متوجه شبکة داخلي نمي­شود. 
يک Honeypot مقداري ترافيک ناخواسته مثل پويش درگاه يا الگوهاي حمله را ايجاد و جذب مي­کند که با قرار دادن Honeypot در بيرون از ديوارة آتش چنين وقايعي توسط ديوارة آتش ثبت نمي­شود و سيستم تشخيص نفوذ داخلي (که در حالت عادي در مواجهه با چنين رخدادهايي هشدار توليد مي­کند) پيغام هشدار توليد نمي­کند.
عيب قرار گرفتن Honeypot جلوي ديوارة آتش اين است که نفوذگران داخلي به راحتي فريب نمي­خورند، مخصوصاً اگر ديوارة آتش ترافيک خروجي و در نتيجه ترافيک دريافتي Honeypotرا محدود کند.
قرار گرفتن Honeypot درون يک DMZ يک راه­حل خوب به نظر مي­رسد به شرطي که امنيت ديگر سيستم­هاي درون DMZ در برابر Honeypot برقرار شود. از آن­جايي که فقط سرويس­هاي مورد نياز اجازة عبور از ديوارة آتش را دارند، دسترسي کامل به اغلب DMZها ممکن نيست. به اين دليل و با توجه به اين­که تنظيم قوانين مرتبط روي ديوارة آتش کاري زمانبر و مخاطره­آميز است، در چنين حالتي قرار دادن Honeypot جلوي ديوارة آتش مورد توجه قرار مي­گيرد.
قرار دادن Honeypot پشت ديوارة آتش، مي­تواند باعث بروز خطرات امنيتي جديدي در شبکة داخلي شود، مخصوصاً اگر شبکة داخلي توسط ديواره­هاي آتش اضافي در برابر Honeypotايمن نشده باشد. توجه داشته باشيد که اگر Honeypot را پشت يک ديوارة آتش قرار مي­دهيد، بايد قوانين ديوارة آتش را طوري تنظيم کنيد که دسترسي از اينترنت مجاز باشد. 
بزرگ­ترين مشکل وقتي به وجود مي­آيد که يک نفوذگر خارجي کنترل Honeypot داخلي را در اختيار مي­گيرد. در اين صورت نفوذگر امکان دسترسي به شبکة داخلي را از طريقHoneypot به دست مي­آورد. زيرا اين ترافيک، به عنوان ترافيک ورودي به Honeypot در نظر گرفته مي­شود و از آن­جايي که ترافيک ورودي به Honeypot مجاز است، ديوارة آتش جلوي عبور اين ترافيک را نمي­گيرد. بنابراين ايمن کردن Honeypot داخلي ضروري است. دليل اصلي قرار گرفتن Honeypot پشت ديوارة آتش شناسايي نفوذگران داخلي است.
بهترين راه­حل قرار دادن يک Honeypot درون DMZ به همراه يک ديوارة آتش است. بسته به اين­که هدف شناسايي نفوذگران داخلي يا خارجي است، ديوارة آتش مي­تواند به اينترنت يا اينترانت وصل شود. 

در حقيقت شما مي­خواهيد از طريق Honeypot يک مانور ترتيب بدهيد و به يک دشمن فرضي حمله کنيد يا در مقابل يک دشمن فرضي بايستيد. لذا شرايط را به صورت واقعي تنظيم کنيد.

تقسيم­بندي Honeypotها از نظر کاربرد
از ديدگاه کاربرد و استفاده­اي که قرار است از سيستم شود Honeypotها به دو دسته تقسيم مي­شوند :

•  
• <LI class=MsoNormal dir=rtl style="MARGIN: 12pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l0 level1 lfo1">Production Honeypot : اين نوع سيستم وقتي که سازمان مي­خواهد شبکه و سيستم­هايش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طريق قانوني در دادگاه مورد پيگرد قرار دهد، مورد استفاده قرار مي­گيرد.
• Research Honeypot : اين نوع سيستم وقتي که سازمان مي­خواهد فقط امنيت شبکه و سيستم­هاي خود را با آموختن روش­هاي نفوذ، منشا نفوذ، ابزارها وexploitهاي مورد استفادة نفوذگر مستحکم­تر کند، استفاده مي­شود.

بسته به هدف سازمان و اين که از يک Honeypot چه مي­خواهيد، مي­توانيد يکي از دو نوع Honeypot ذکر شده را انتخاب کنيد.

تقسيم­بندي Honeypotها از نظر ميزان تعامل با نفوذگر 
Honeypotها از لحاظ ميزان تعامل و درگيري با نفوذگر به سه دسته تقسيم مي­شوند :

•  
• <LI class=MsoNormal dir=rtl style="MARGIN: 12pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l2 level1 lfo2">دستة اول : Honeypot با تعامل کم[1] <LI class=MsoNormal dir=rtl style="MARGIN: 12pt 36pt 0pt 0cm; DIRECTION: rtl; unicode-bidi: embed; TEXT-ALIGN: justify; tab-stops: list 36.0pt; mso-list: l2 level1 lfo2">دستة دوم :Honeypot با تعامل متوسط[2]
• دستة سوم : Honeypot با تعامل زياد[3]

Honeypot با تعامل کم
در دستة اول، بر روي ماشين سرويس­هاي جعلي و ابتدايي مشخصي مثل Telnet و Ftp نصب مي­شود. اين سرويس­ها با استفاده از پروسه­اي که روي درگاه مشخصي گوش مي­کند، پياده­سازي مي­شوند. نفوذگر فقط قادر است با اين سرويس­ها ارتباط برقرار کند. به عنوان مثال يک Honeypot با تعامل کم مي­تواند شامل يک Windows 2000 Server به همراه سرويس­هايي مثل Telnet و Ftp باشد. يک نفوذگر مي­تواند ابتدا با استفاده از Telnet روي Honeypot نوع سيستم عامل آن را تشخيص دهد، سپس با يک صفحة ورود روبرو مي­شود. نفوذگر دو راه براي دسترسي به Honeypot دارد يکي ورود به زور[4] و ديگري حدس زدن کلمة عبور[5]. Honeypot مي­تواند تمام تلاش­هاي نفوذگر را جمع­آوري کند. 
در اين حالت نفوذگر نمي­تواند هيچ­گونه ارتباطي با سيستم عامل برقرار کند و ارتباط نفوذگر فقط به تلاش براي ورود به سيستم محدود مي­شود. اين مساله ميزان خطر را کاهش مي­دهد چون پيچيدگي­هاي سيستم عامل حذف مي­شود. به عبارت ديگر اين يک عيب است چرا که نمي­توانيم ارتباطات نفوذگر با سيستم­عامل را که مورد علاقة ماست ببينيم.
Honeypotهاي دستة اول با کم کردن تعامل خود با نفوذگر ميزان خطر را به حداقل کاهش مي­دهد و پايين­ترين ميزان خطرپذيري را داراست.
به کمک اين ماشين­ها اطلاعات محدودي مثل زمان نفوذ، پروتکل مورد استفاده، آدرس IP مبدا و مقصد، ... را مي­توان به دست آورد.
يک Honeypot با تعامل کم مي­تواند با يک سيستم تشخيص نفوذ passive مقايسه شود. هيچ کدام نمي­تواند تغييري در ترافيک بدهد يا با نفوذگر يا جريان ترافيک ارتباط برقرار کند. فقط براي ايجاد گزارش[6] استفاده مي­شوند و اگر ترافيک ورودي با الگوهاي از قبل تعيين شده مطابقت کند، هشدار مي­دهند.
اين دسته از Honeypotها فقط براي شناسايي حمله­هاي شناخته شده خوب است ولي براي کشف حمله­هاي ناشناخته هيچ ارزشي ندارد.

Honeypot با تعامل متوسط
دستة دوم در مقايسه با دستة اول امکان بيشتري براي تعامل با نفوذگر فراهم مي­کند ولي هنوز هم مثل دستة اول نفوذگر هيچ ارتباطي با سيستم­عامل ندارد. دايمون­[7]هاي جعلي فراهم شده پيشرفته­ترند و دانش بيشتري راجع به سرويس­هاي ارائه شده دارند.
در اين حالت ميزان خطر افزايش مي­يابد. احتمال اين که نفوذگر يک حفرة امنيتي يا يک آسيب­پذيري پيدا کند بيشتر است زيرا پيچيدگي Honeypot افزايش مي­يابد. 
نفوذگر امکان بيشتري براي ارتباط با سيستم و بررسي آن دارد و راحت­تر فريب مي­خورد.
هم­چنين با توجه به تعامل بيشتر، امکان انجام حمله­هاي پيچيده­تري وجود دارد که مي­توان با ثبت و آناليز کردن آن­ها به نتايج دلخواه دست يافت.
همان طور که گفته شد نفوذگر هيچ ارتباطي با سيستم عامل ندارد و در سطح برنامه­هاي کاربردي فعاليت مي­کند.
توسعة يک Honeypot با تعامل متوسط کاري پيچيده و زمانبر است. بايد دقت شود که تمام دايمون­هاي جعلي تا جايي که ممکن است ايمن شوند. نسخه­هاي توسعه يافته اين سرويس­ها نبايد داراي همان آسيب­پذيري­هاي همتاهاي (نسخه­هاي) واقعي باشند زيرا اين اصلي­ترين دليل جايگزيني آن­ها با نسخه­هاي جعلي است.
کسي که مي­خواهد چنين سيستمي را طراحي و پياده­سازي کند، بايد از دانش خوبي در مورد پروتکل­ها، سرويس­ها و برنامه­هاي کاربردي ارائه شده برخوردار باشد.
از اين Honeypotها مي­توان هم براي اهداف دستة research و هم براي اهداف دستة production استفاده کرد.

Honeypot با تعامل زياد
هرچه ميزان تعامل Honeypot با نفوذگر افزايش مي­يابد، ميزان پيچيدگي و خطر هم افزايش مي­يابد ولي به همان نسبت نتايجي که حاصل مي­شود نيز بهتر است.
آخرين و پيشرفته­ترين دسته از Honeypotها دستة سوم است. طراحي، مديريت و نگهداري اين Honeypotها کاري واقعاً زمانبر است. در ميان سه نوع Honeypot اين Honeypotها داراي خطر زيادي هستند ولي اطلاعات واسناد زيادي براي تحليل جمع مي­شود. 
در اين نوع Honeypot نفوذگر ارتباط کاملي با سيستم­عامل دارد. 
يکي از اهداف نفوذگر به دست آوردن دسترسي در بالاترين سطح (root يا superuser) ماشيني که به اينترنت وصل است مي­باشد. اين Honeypot چنين امکاني را در اختيار نفوذگر قرار مي­دهد. به محض اين که نفوذگر اين امکان را پيدا کند کار اصلي او شروع مي­شود.
با استفاده از اين نوع Honeypot مي­توانيم به اطلاعاتي نظير اين که نفوذگران بيشتر از چه ابزارها و exploitهايي استفاده مي­کنند، از چه کشورهايي هستند، به دنبال چه نقاط آسيب­پذيري هستند، ميزان دانش آن­ها در مورد نفوذگري و .... دست پيدا کنيم.
نفوذگر پس از اين که دسترسي سطح root روي سيستم را به دست آورد، قادر است هرکاري که بخواهد روي سيستم تحت کنترل انجام دهد. اين سيستم في­نفسه ايمن نيست بنابراين هيچ سيستمي روي شبکه را نمي­توان امن در نظر گرفت.
بايد قبل از اين گونه Honeypotها يک ديوارة آتش نصب کنيم، زيرا در غير اين صورت نفوذگر پس از اين که کنترل کاملي بر ماشين به دست آورد مي­تواند از آن براي طراحي حملاتي مثل[8]DDoS عليه ماشين­هاي ديگر استفاده کند. براي جلوگيري از اين مساله بايد ديوارة آتش به گونه­اي تنظيم شود که فقط ترافيک ورودي به سيستم مجاز باشد و ترافيک خروجي آن را مسدود کند.
هم­چنين مي­بايست سطح دسترسي اين سيستم به شبکة داخلي محدود شود تا نفوذگر نتواند با استفاده از آن به ديگر سيستم­هاي موجود در شبکة داخلي آسيبي برساند.
کنترل و نگهداشت چنين Honeypotاي کاري فوق­العاده زمانبر است. سيستم دائماً بايد تحت نظر باشد. Honeypotاي که تحت کنترل نباشد نه تنها هيچ کمکي نمي­کند بلکه خودش به عنوان يک نقطة خطر يا حفرة امنيتي مطرح می­شود.
با فراهم کردن امکان ارتباط کامل نفوذگر با سيستم­عامل، او مي­تواند فايل­هاي جديدي را روي سيستم نصب کند. اين جاست که اين نوع Honeypot با ثبت کردن و آناليز اين فعاليت­ها قدرت خود را نشان مي­دهد. جمع­آوري اطلاعات در مورد گروه­هاي نفوذگري هدف اصلي اين دسته از Honeypotها است و همين امر خطرپذيري بيشتر را توجيه مي­کند.
از اين نوع Honeypot فقط براي اهداف دستة research استفاده مي­شود.

جدول زير کاربرد هر کدام از Honeypotها را با توجه به ميزان تعامل آن با نفوذگر نشان مي­دهد :

مزايا و معايب هر کدام از انواع Honeypot در جدول زير آمده است:

با توجه به عوامل ذکر شده و اين که در سازمان شما ميزان اهميت هر کدام از اين عوامل چه اندازه است و نتايجي که مي­خواهيد از يک Honeypot به دست آوريد، مي­توانيد يکي از سه نوع Honeypot ذکر شده را براي سازمان خود انتخاب کنيد.