هانی پات چیست؟ (انواع هانی پات)
حسگر و سنسورهای گردآوری كننده بدافزارها با جمع آوری اطلاعات كم حجم ولی بسیار با اهمیت می توانند استراتژی های حمالت سایبری را شناسایی نمایند لذا داشتن اطلاعات بیشتر در مورد روش های متداول حمالت سایبری می تواند به رفتارشناسی مهاجمین منتج گردد .
توانمند و امن سازی ورودی های شبكه های سازمانی یكی از مهمترین اقداماتی است كه مدیران فناوری اطلاعات سازمانها آنرا بصورت جدی در دستوركار خود قرار داده اند و هر روزه بدنبال آموختن و بكارگیری متدولوژی های جدید روز هستند تا بتوانند درگاههای شبكه خود را از آماج حملات سایبری مصون دارند در این میان حسگر و سنسورهای گردآوری كننده بدافزارها می توانند بانك اطلاعاتی بسیار مفیدی باشند تا با برقراری ارتباط بین اجزای اطلاعاتی این پایگاه، بانكهای دانش مفیدی در میان سازمانها پدید آید و نهایتا كاهش احتمال حملات و یا خسارات احتمالی را برای دستگاه ها محقق سازند .
Honeypot چیست؟
هاني پات یك تكنولوژی تقریبا جدید و شدیدا پویا هستند. همین ماهیت پویا باعث میشود كه به راحتی نتوان آنها را تعریف كرد . Honeypotها به خودی خود یك راه حل به شمار نرفته و هیچ مشكل امنیتی خاصی را حل نمیكنند، بلكه ابزارهای بسیار انعطاف پذیری هستند كه كارهای مختلفی برای امنیت اطلاعات انجام میدهند. این تكنولوژی با تكنولوژیهایی مانند فایروالها و سیستمهای تشخیص نفوذ (IDS) متفاوت است، چرا كه این تكنولوژیها مسائل امنیتی خاصی را حل كرده و به همین دلیل راحتتر تعریف میشوند. فایروالها یك تكنولوژی پیشگیرانه به شمار می آیند، آنها از ورود مهاجمان به شبكه یا سیستم كامپیوتر جلوگیری میكنند IDS .ها یك تكنولوژی تشخیصی هستند. هدف آنها این است كه فعالیتهای غیر مجاز یا خرابكارانه را شناسایی كرده و درباره آنها به متخصصان امنیت هشدار دهند. تعریف Honeypot ها كار سخت تری است، چرا كه آنها ممكن است در پیشگیری، تشخیص، جمع آوری اطلاعات ، و كارهای دیگری مورد استفاده قرار گیرند. شاید بتوان یك Honeypot را به این صورت تعریف كرد:
«Honeypotیك سیستم اطلاعاتی است كه ارزش آن به استفاده غیر مجاز و ممنوع دیگران از آن است.» این تعریف به وسیله اعضای لیست ایمیل Honeypot انجام شده است. لیست ایمیل Honeypot یك فروم متشكل از بیش از 5000 متخصص امنیت است .از آنجاییكه Honeypot ها در اشكال و اندازه های مختلفی وجود دارند، ارائه تعریف جامعی از آن كار بسیار سختی است. تعریف یك Honeypot نشان دهنده نحوه كار آن و یا حتی هدف آن نیست. این تعریف صرفا ناظر به نحوه ارزش گذاری یك Honeypotاست. به عبارت ساده تر، Honeypotها یك تكنولوژی هستند كه ارزش آنها به تعامل مجرمان با آنها بستگی دارد. تمامی Honeypotها بر اساس یك ایده كار میكنند: هیچكس نباید از آنها استفاده كند و یا با آنها تعامل برقرار نماید، هر تعاملی با Honeypot غیر مجاز شمرده شده و نشانه ای از یك حركت خرابكارانه به شمار میرود. یك Honeypot سیستمی است كه در شبكه سازمان قرار میگیرد، اما برای كاربران آن شبكه هیچ كاربردی ندارد و در حقیقت هیچ یك از اعضای سازمان حق برقراری هیچگونه ارتباطی با این سیستم را ندارند. این سیستم دارای یك سری ضعفهای امنیتی است. از آنجاییكه مهاجمان برای نفوذ به یك شبكه همیشه به دنبال سیستمهای دارای ضعیف میگردند، این سیستم توجه آنها را به خود جلب میكند. و با توجه به اینكه هیچكس حق ارتباط با این سیستم را ندارد، پس هر تلاشی برای برقراری ارتباط با این سیستم، یك تلاش خرابكارانه از سوی مهاجمان محسوب میشود. در حقیقت این سیستم نوعی دام است كه مهاجمان را فریب داده و به سوی خود جلب میكند و به این ترتیب علاوه بر امكان نظارت و كنترل كار مهاجمان، این فرصت را نیز به سازمان میدهد كه فرد مهاجم را از سیستمهای اصلی شبكه خود دور نگه دارند. یك Honeypot هیچ سرویس واقعی ارائه نمیدهد. هر تعاملی كه انجام گیرد، هر تلاشی كه برای ورود به این سیستم صورت گیرد، یا هر فایل داده ای كه روی یك Honeypot مورد دسترسی قرار گیرد، با احتمال بسیار زیاد نشانه ای از یك فعالیت خرابكارانه و غیر مجاز است. برای مثال، یك سیستم Honeypot میتواند روی یك شبكه داخلی به كار گرفته شود. این Honeypot از هیچ ارزش خاصی برخوردار نیست و هیچكس در درون سازمان نیازی به استفاده از آن نداشته و نباید از آن استفاده كند. این سیستم میتواند به ظاهر یك فایل سرور، یك وب سرور، یا حتی یك ایستگاه كاری معمولی باشد. اگر كسی با این سیستم ارتباط برقرار نماید، با احتمال زیاد در حال انجام یك فعالیت غیر مجاز یا خرابكارانه است. در حقیقت، یك Honeypot حتی لازم نیست كه حتما یك كامپیوتر باشد .این سیستم میتواند هر نوع نهاد دیجیتالی باشد (معموال از آن به Honeytokenیاد میشود) كه هیچ ارزش واقعی ندارد. برای مثال، یك بیمارستان میتواند یك مجموعه نادرست از ركوردهای اطلاعاتی بیماران ایجاد نماید. از آنجاییكه این ركوردها Honeypot هستند، هیچكس نباید به آنها دسترسی پیدا كرده یا با آنها تعامل برقرار كند. این ركوردها میتوانند در داخل پایگاه داده بیماران این بیمارستان به عنوان یك جزء Honeypot قرار گیرند. اگر یك كارمند یا یك فرد مهاجم برای دسترسی به این ركوردها تلاش نماید، میتواند به عنوان نشانه ای از یك فعالیت غیر مجاز به شمار رود، چرا كه هیچكس نباید از این ركوردها استفاده كند. اگر شخصی یا چیزی به این ركوردها دسترسی پیدا كند، یك پیغام هشدار صادر میشود. این ایده ساده پشت Honeypotهاست كه آنها را ارزشمند میكند. دو یا چند Honeypot كه در یك شبكه قرار گرفته باشند، یك Honeynet را تشكیل میدهند. نوعا در شبكه های بزرگتر و متنوعتر كه یك Honeypot به تنهایی برای نظارت بر شبكه كافی نیست، از Honeynet استفاده میكنند Honeynet .ها معموال به عنوان بخشی از یك سیستم بزرگ تشخیص نفوذ پیاده سازی میشوند .در حقیقت Honeynet یك شبكه از Honeypot های با تعامل باالست كه طوری تنظیم شده است كه تمامی فعالیتها و تعاملها با این شبكه، كنترل و ثبت میشود.
مزایای استفاده از Honeypot:
- Honeypotها صرفا مجموعه های كوچكی از داده ها را جمع آوری میكنند Honeypot .ها فقط زمانی كه كسی یا چیزی با آنها ارتباط برقرار كند داده ها را جمع آوری مینمایند، در نتیجه صرفا مجموعه های بسیار كوچكی از داده ها را جمع می- كنند، كه البته این داده ها بسیار ارزشمندند .سازمانهایی كه هزاران پیغام هشدار را در هر روز ثبت میكنند، با استفاده از Honeypotها ممكن است فقط صد پیغام هشدار را ثبت نمایند. این موضوع باعث میشود كه مدیریت و تحلیل داده های جمعآوری شده توسط Honeypot ها بسیار ساده تر باشد .
- Honeypotها موارد خطاهای تشخیص اشتباه را كاهش میدهند .یكی از مهمترین چالشهای اغلب سیستمهای تشخیصی این است كه پیغامهای هشدار دهنده خطای زیادی تولید كرده و در موارد زیادی، این پیغامهای هشدار دهنده واقعا نشان دهنده وقوع هیچ خطری نیستند. یعنی در حالی یك رویداد را تهدید تشخیص میدهند كه در حقیقت تهدیدی در كار نیست. هر چه احتمال این تشخیص اشتباه بیشتر باشد، تكنولوژی تشخیص دهنده بی فایده تر میشود Honeypot .ها به طور قابل توجهی درصد این تشخیصهای اشتباه را كاهش میدهند، چرا كه تقریبا هر فعالیت مرتبط با Honeypot ها به طور پیش فرض غیر مجاز تعریف شده است. به همین دلیل Honeypot ها در تشخیص حمالت بسیار موثرند
- Honeypotها میتوانند حمالت ناشناخته را تشخیص دهند .چالش دیگری كه در تكنولوژیهای تشخیصی معمول وجود دارد این است كه آنها معمولا حملات ناشناخته را تشخیص نمیدهند. این یك تفاوت بسیار حیاتی و مهم بین Honeypot ها و تكنولوژیهای امنیت كامپیوتری معمولی است كه بر اساس امضاهای شناخته شده یا داده های آماری تشخیص میدهند. تكنولوژیهای تشخیصی مبتنی بر امضا، در تعریف به این معنا هستند كه ابتدا باید هر حمله ای حداقل یك بار انجام شده و امضای آن شناسایی گردد و سپس با استفاده از آن امضا، در موارد بعدی شناخته شود. تشخیص مبتنی بر داده های آماری نیز از خطاهای آماری رنج میبرد Honeypot .ها طوری طراحی شده اند كه حملات جدید را نیز شناسایی و كشف میكنند. چرا كه هر فعالیتی در ارتباط با Honeypot ها غیر معمول شناخته شده و در نتیجه حملات جدید را نیز معرفی میكند .
- Honeypotها فعالیتهای رمز شده را نیز كشف میكنند .حتی اگر یك حمله رمز شده باشد، Honeypotها میتوانند این فعالیت را كشف كنند. به تدریج كه تعداد بیشتری از سازمانها از پروتكلهای رمزگذاری مانندSSH ، IPsec، و SSL استفاده میكنند، این مساله بیشتر خود را نشان میدهد Honeypot .ها میتوانند این كار را انجام دهند، چرا كه حملات رمز شده با Honeypotبه عنوان یك نقطه انتهایی ارتباط، تعامل برقرار میكنند و این فعالیت توسط Honeypot رمز گشایی میشود .
- Honeypotبا IPv6 كار میكند .اغلب Honeypot ها صرف نظر از پروتكل IP از جملهIPv6 ، در هر محیط IP كار میكنند IPv6 .یك استاندارد جدید پروتكل اینترنت (IP) است كه بسیاری از سازمانها در بسیاری از كشورها از آن استفاده میكنند. بسیاری از تكنولوژیهای فعلی مانند فایروالها و سنسورهای سیستم تشخیص نفوذ به خوبی با IPv6 سازگار نشده اند
- Honeypotها بسیار انعطاف پذیرند Honeypot .ها بسیار انعطاف پذیرند و میتوانند در محیطهای مختلفی مورد استفاده قرار گیرند. همین قابلیت انعطاف Honeypot هاست كه به آنها اجازه میدهد كاری را انجام دهند كه تعداد بسیار كمی از تكنولوژیها میتوانند انجام دهند: جمع آوری اطلاعات ارزشمند به خصوص بر علیه حملات داخلی .
- Honeypotها به حداقل منابع نیاز دارند .حتی در بزرگترین شبكه ها، Honeypotها به حداقل منابع احتیاج دارند. یك كامپیوتر پنتیوم قدیمی و ساده میتواند میلیونها آدرس IP یا یك شبكه OC-12 را نظارت نماید.
معایب استفاده از Honeypot:
Honeypotها نیز مانند هر تكنولوژی دیگری معایبی دارند. آنها برای این طراحی نشده اند كه جای هیچ تكنولوژی خاصی را بگیرند .
- Honeypotها دارای یك محدوده دید كوچك و محدود هستند Honeypot .ها فقط همان كسانی را میبینند كه با آنها به تعامل میپردازند. در نتیجه حملات بر علیه سایر سیستمها و یا تعامالت انجام شده با سایر سیستمها را مشاهده نمیكنند. این نكته در عین حال كه یك مزیت است، یك عیب نیز به شمار میرود. یك Honeypot به شما نمیگوید كه سیستم دیگری مورد سوء استفاده قرار گرفته است، مگر اینكه سیستمی كه مورد سوء استفاده قرار گرفته با خود Honeypot تعاملی برقرار نماید. برای برطرف كردن این عیب راههای زیادی وجود دارد كه از طریق آنها میتوانید فعالیت مهاجمان را به سمت Honeypot ها تغییر مسیر دهید. از این میان میتوان به Honeytoken ها و تغییر مسیر اشاره كرد
- ریسك هر زمان كه شما یك تكنولوژی جدید را به كار میگیرید، آن تكنولوژی ریسكهای مخصوص به خود را نیز به همراه دارد، مثال این ریسك كه یك مهاجم بر این سیستم غلبه كرده و از آن به عنوان ابزاری برای حملات بر علیه اهداف داخلی و خارجی استفاده نماید. حتی سیستمهای تشخیص نفوذ كه هیچ پشته IP به آنها تخصیص داده نشده است نیز میتوانند در معرض خطر قرار داشته باشند Honeypot .ها نیز در این مورد استثناء نیستند Honeypot .های مختلف سطوح خطر متفاوتی دارند. راههای مختلفی نیز برای كاهش این خطرات وجود دارد. از میان انواع Honeypot ها، هانی نتها بیشترین سطح خطر را دارا هستند .
انواع Honeypot :
۱. Honeypotهای با تعامل كم:
Honeypotهای با تعامل كم، با شبیه سازی سیستمها و سرویسها كار میكنند و فعالیتهای مهاجمان نیز صرفا شامل همان چیزهایی میشود كه سرویسهای شبیه سازی شده اجازه میدهند. برای مثال، Friendly BackOfficer Honeypotیك نمونه Honeypot بسیار ساده است كه هفت سرویس مختلف را شبیه سازی میكند. مهاجمان در مورد كارهایی كه با Honeypot مبتنی بر سرویسهای شبیه سازی شده میتوانند انجام دهند بسیار محدود هستند. در بیشترین حالت، مهاجمان میتوانند به این Honeypot ها وصل شده و دستورات اولیه كمی را انجام دهند. استفاده از Honeypot های با تعامل كم ساده تر است، چرا كه آنها معموال از پیش با گزینه های مختلفی برای administrator تنظیم شده اند. فقط كافی است شما انتخاب كرده و كلیك كنید و بالفاصله یك Honeypot را با سیستم عامل، سرویسها و رفتار مورد نظر خود در اختیار داشته باشید. از جمله این Honeypot ها میتوان به Specter اشاره كرد كه برای اجرای تحت ویندوز طراحی شده است. این Honeypotمیتواند تا 31 سیستم عامل مختلف را شبیه سازی كرده و 31 سرویس مختلف را نظارت نماید. واسطهای كاربری باعث میشوند كه استفاده از این Honeypot ها بسیار ساده باشد، فقط كافی است روی سرویسهایی كه میخواهید تحت نظارت قرار گیرند كلیك كرده و نحوه رفتار Honeypot را تعیین نمایید. Honeypotهای با تعامل كم همچنین از خطر كمتری برخوردارند، چرا كه سرویسهای شبیه سازی شده، كارهایی را كه هكر میتواند انجام دهد محدود میكنند. هیچ سیستم عامل حقیقی برای لود كردن toolkit ها توسط مهاجم وجود ندارد، و هیچ سرویسی كه واقعا بتوان به آن نفوذ كرد نیز موجود نیست. اما این سرویسها حجم محدودی از اطلاعات را میتوانند جمع آوری نمایند، چرا كه هكرها در كار با آنها محدود هستند .همچنین این سرویسها در مواجهه با رفتارهای شناخته شده و حملات مورد انتظار بهتر كار میكنند. زمانی كه هكرها كاری ناشناخته یا غیر منتظره را انجام میدهند، این Honeypot ها در درك فعالیت هكر، پاسخگویی مناسب، یا ثبت فعالیت با مشكل روبرو میشوند. به عنوان مثالهایی از Honeypotهای با تعامل كم میتوان بهHoneyd ،Specter ، و KFSensor اشاره كرد. برای درك بهتر نحوه كار Honeypot های با تعامل كم، نگاه كوتاهی به Honeyd می اندازیم.
مثالی از Honeypot های با تعامل كمHoneyd :
Honeydیك Honeypot متن باز است كه اولین بار در آوریل 2002 توسط «نیلز پرووس» عرضه شد Honeyd .به عنوان یك راه حل متن باز، رایگان بوده و اجازه دسترسی كامل كاربران به كد منبع خود را فراهم می آورد. این Honeypot كه برای سیستمهای یونیكس طراحی شده است، میتواند در سیستمهای ویندوز نیز مورد استفاده قرار گیرد. البته در این حالت بسیاری از ویژگیهای مورد استفاده در سیستمهای یونیكس را از دست میدهد Honeyd .یك Honeypot با تعامل كم است كه نرم افزار آن را روی یك كامپیوتر نصب میكنید. سپس این نرم افزار صدها سیستم عامل و سرویس مختلف را شبیه سازی میكند. با ویرایش فایل تنظیمات، شما تعیین می- كنید كه كدام آدرسهای IP توسط Honeyd كنترل گردند، انواع سیستم عاملهایی كه شبیه سازی میشوند كدامها باشند، و كدام سرویسها شبیه سازی گردند. برای مثال شما میتوانید به Honeyd بگویید كه هسته یك سیستم 2.4.10 Linux را با یك سرور FTP كه به پورت 13 گوش میدهد شبیه سازی نماید. اگر مهاجمان به این Honeypot مراجعه كنند، بر این باور خواهند بود كه در حال تعامل با یك سیستم لینوكس هستند. اگر مهاجمان به سرویس FTP متصل شوند، تصور خواهند كرد كه با یك سرویس واقعی FTP در تماس هستند. اسكریپت شبیه سازی شده از بسیاری نظرها كامال شبیه یك سرویس FTP واقعی رفتار كرده و در عین حال، تمامی فعالیتهای فرد مهاجم را ثبت میكند. البته این اسكریپت چیزی بیش از یك برنامه نیست كه منتظر یك ورودی مشخص از مهاجم میماند و خروجی از پیش تعیین شده ای را تولید میكند. اگر فرد مهاجم كاری انجام دهد كه اسكریپت شبیه سازی شده برای آن برنامه ریزی نشده باشد، این اسكریپت صرفا یك پیغام خطا برخواهد گرداند.
Honeydدارای ویژگیهایی است كه برای Honeypot های با تعامل كم معمول نیست. این Honeypot نه تنها شبیه سازی سیستم عامل را به وسیله تغییر رفتار سرویسها انجام می دهد، بلكه سیستم عاملها را در سطح پشته IP نیز شبیه سازی میكند. اگر یك فرد مهاجم از روشهای فعال fingerprinting مانند ابزارهای امنیتی اسكن Nmap و Xprobe استفاده كند، Honeydدر سطح پشته IP به عنوان هر سیستم عاملی كه بخواهید به شما پاسخ میدهد. به عالوه بر خالف اغلب Honeypot های با تعامل كم، Honeydمیتواند میلیونها آدرس IP را كنترل نماید Honeyd .این كار را با كنترل كردن آدرسهای IP كامپیوترهایی كه این Honeypot روی آنها نصب شده است انجام نمیدهد، بلكه تمامی آدرسهای IP بال استفاده روی شبكه شما را كنترل میكند. زمانیكه Honeyd یك تالش را برای اتصال به یكی از آدرسهای IP بال استفاده تشخیص میدهد، آن تماس را قطع كرده، به طور پویا خود را به جای آن قربانی جا زده، و سپس با فرد مهاجم به تعامل میپردازد. این قابلیت به طور قابل توجهی شانس تعامل Honeyd با یك مهاجم را باال میبرد.
۲. Honeypotهای با تعامل زیاد:
Honeypotهای با تعامل زیاد با Honeypot های با تعامل كم تفاوت بسیاری دارند، چرا كه آنها كل سیستم عامل و برنامه ها را به طور حقیقی برای تعامل با مهاجمان فراهم می آورند Honeypot .های با تعامل زیاد چیزی را شبیه سازی نمیكنند، بلكه كامپیوترهایی واقعی هستند كه برنامه هایی واقعی دارند كه آماده نفوذ توسط مهاجمان هستند. مزایای استفاده از این دسته از Honeypot ها بسیار قابل توجه است. آنها برای این طراحی شده اند كه حجم زیادی از اطلاعات را به دست آورند. این Honeypot ها نه تنها میتوانند مهاجمانی را كه به یك سیستم متصل میشوند شناسایی نمایند، بلكه به مهاجمان اجازه میدهند كه به این سرویسها نفوذ كرده و به سیستم عامل دسترسی پیدا كنند. در نتیجه شما قادر خواهید بود rootkit های این مهاجمان را كه به این سیستمها آپلود میشوند به دست آورده، در حالی- كه مهاجمان با این سیستم در حال تعامل هستند ضربات كلید آنها را تحلیل نموده، و زمانیكه با سایر مهاجمان در حال ارتباط هستند آنها را كنترل كنید. در نتیجه میتوانید حركات، میزان مهارت، سازمان، و سایر اطلاعات ارزشمند را راجع به این مهاجمان به دست آورید. همچنین از آنجایی كه Honeypot های با تعامل زیاد شبیه سازی انجام نمیدهند، طوری طراحی شده اند كه رفتارهای جدید، ناشناخته یا غیر منتظره را شناسایی كنند. این دسته از Honeypot ها بارها و بارها ثابت كرده اند كه قابلیت كشف فعالیتهای جدید، از پروتكلهای IP غیر استاندارد مورد استفاده برای كانالهای دستورات پنهانی گرفته تا تونل زدن IPv6 در محیط IPv4 برای پنهان كردن ارتباطات را دارا هستند. البته برای به دست آوردن این قابلیتها باید بهای آن را نیز پرداخت .اوال Honeypot های با تعامل زیاد ریسك باالیی دارند. از آنجایی كه مهاجمان با سیستم عاملهای واقعی روبرو میشوند، این Honeypot ها میتوانند برای حمله كردن و ضربه زدن به سایر سیستمهایی كه Honeypot نیستند مورد استفاده قرار گیرند. ثانیا Honeypot های با تعامل زیاد پیچیده هستند. این بار به همین سادگی نیست كه یك نرم افزار نصب كنید و پس از آن یك Honeypot داشته باشید. بلكه شما باید سیستمهای واقعی را برای تعامل با مهاجمان ساخته و تنظیم نمایید. همچنین با تالش برای كم كردن خطر مهاجمانی كه از Honeypot شما استفاده میكنند، این پیچیدگی بیشتر نیز خواهد شد. دو مثال از Honeypot های با تعامل زیاد عبارتند از Server Decoy Symantec و Honeynet ها. برای ارائه دید بهتری از Honeypotهای با تعامل زیاد، در ادامه به توضیح Server Decoy خواهیم پرداخت.
مثالی از Honeypot های با تعامل زیادServer Decoy Symantec :
Server Decoyیك Honeypot تجاری است كه توسط Symantec تولید شده و به فروش میرسد. این سیستم به عنوان یك Honeypotكه با تعامل زیاد است، سیستم عاملها و یا سرویسها را شبیه سازی نمیكند، بلكه سیستمهای حقیقی و برنامه های حقیقی را برای برقراری تعامل با مهاجمان ایجاد میكند. در حال حاضر Server Decoy صرفا روی سیستم عامل Solaris كار میكند. این برنامه ، نرم افزاری است كه روی یك سیستم Solaris نصب میشود. سپس این نرم افزار سیستم میزبان موجود را در اختیار گرفته و تا چهار «قفس» یكتا ایجاد میكند، كه هر قفس یك Honeypot است. هر قفس یك سیستم عامل جدا و سیستم فایل مخصو به خود را داراست. مهاجمان درست مانند سیستم عاملهای واقعی با این قفسها ارتباط برقرار میكنند. چیزی كه مهاجمان درك نمیكنند این است كه هر فعالیت و هر ضربه صفحه كلید آنها توسط Honeypot ثبت و ضبط میشود.
3. Honeypotهای با تعامل كم در مقایسه با Honeypot های با تعامل زیاد:
در هنگام انتخاب Honeypot توجه داشته باشید كه هیچ یك از این دو نوع از دیگری بهتر نیستند. بلكه هر یك دارای مزایا و معایبی بوده و برای كاری بهتر میباشند. مزایا و معایب Honeypot های با تعامل كم و Honeypot های با تعامل زیاد را میتوان به شرح زیر بیان كرد :
Honeypotهای با تعامل كم (شبیه سازی كننده سیستم عاملها و سرویسها) پیاده سازی و به كار گیری آسان: معموال به سادگی نصب یك نرم افزار روی یك كامپیوتر است
ریسك كم: سرویسهای شبیه سازی شده كارهایی كه مهاجمان میتوانند یا نمیتوانند انجام دهند را كنترل میكنند .
جمع آوری اطلاعات محدود: از آنجاییكه در این دسته از Honeypot ها مهاجمان مجاز به تعامل در حد محدودی هستند، اطلاعات محدودی نیز میتوان راجع به آنها بدست آورد.
Honeypotهای با تعامل زیاد (بدون شبیه سازی، با استفاده از سیستم عاملها و سرویسهای حقیقی) نصب و به كار گیری آنها میتواند سخت باشد (نسخه های تجاری ساده ترند ) ریسك باال. این موضوع كه مهاجمان با سیستم عاملهای واقعی روبرو میشوند كه میتوانند با آن به تعامل بپردازند مزایا و معایب خا خود را داراست
سازمانهای مختلف، اهداف متفاوتی دارند و به همین دلیل از Honeypot های مختلفی نیز استفاده میكنند. یك روال معمول این است كه سازمانهای تجاری مانند بانكها، خرده فروشان، و تولید كننده ها، Honeypotهای با تعامل كم را به علت ریسك پایین، به كار گیری آسان، و نگهداری ساده، ترجیح میدهند .استفاده از Honeypot های با تعامل زیاد نیز در میان سازمانهایی كه به قابلیتهای منحصر به فرد راه حلهای با تعامل زیاد و مدیریت ریسك احتیاج دارند معمول تر است. از جمله این سازمانها میتوان به سازمانهای نظامی، دولتی، و آموزشی اشاره كرد.
خب امیداورم که از این پست آموزشی نهایت استفاده رو کرده باشید و حتما به اشتراک بزارید و اگر نظری هم دارید در بخش کامنت ها بگید
موفق باشید..
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
10 افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
2 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
جالب بود ممنون
اگه میشه از ستاپ و راه ندازی هاشونم یه مزلب یا فیلمی بزارید
سلام بله حتما ، بزودی یک مطلب با این موضوع درست میکنیم..