Honeypot ها چه هستند و چگونه به امنیت سیستم‌های کامپیوتری کمک می‌کنند

Honeypot ها چه هستند و چگونه به امنیت سیستم‌های کامپیوتری کمک می‌کنند
Honeypots (ظرف عسل ) در‌واقع یک مجموعه تله هستند که وظیفه آن‌ها  اقدام برای شناسایی هرگونه تلاش غیر مجاز برای استفاده از سیستم‌های اطلاعاتی می‌باشد ، و البته با این دیدگاه که از حملاتی موجود برای بهبود بیشتر امنیت سیستم‌های کامپیوتری استفاده می‌کند و در‌ واقع از آن‌ها آموزش می بیند. به طور سنتی ، حفظ امنیت شبکه‌های کامپیوتری درگیری یک فعالیت دقیق و پیچیده است و ترافیک شبکه باید به صورت دقیق مورد بررسی قرار گیرد ، استفاده از تکنیک های دفاع مبتنی بر شبکه شبیه دیوار های آتش ، سیستم‌های تشخیص نفوذ و رمزنگاری از جمله ابزار های این مهم هستند.اما در موقعیت فعلی و خطرات امروز که متوجه سیستم‌های کامپیوتری است ، تکنیک های فعالانه تری برای شناسایی ، شسکت و خنثی نمودن  تلاش‌ها برای استفاده غیر قانونی سیستم‌های طلاعاتی مورد نیاز است . در میان سناریوهای موجود ، استفاده از Honeypots یک راه‌کار امید بخش و فعالانه برای نبرد در برابر تهدیدات امنیتی شبکه‌ها می باشد.

Honeypot چیست ؟
با توجه به مشکل کلاسیک و اساسی در خصوص امنیت کامپیوتر ها ، یک کامپیوتر نیاز دارد که امن باشد ، اما در حوزه Honeypot ها ، حفره های امنیتی به منظور اهدافی باز گذاشته می شوند. Honeypot را می‌توان به عنوان یک تله تعریف نمود که برای تشخیص هرگونه تلاش غیر مجاز به منظور استفاده از سیستم‌های اطلاعاتی به کار گرفته می شود..اساسا Honeypot میز های بین هکرها و متخصصین امنیت را روشن و واضح می نماید.هدف اصلی یک Honeypot تشخیص و یادگیری از حملات است و کسب اطلاعات بیشتر برای بهبود امنیت. Honeypot ها برا مدت طولانی است که برای به تله انداختن و پیگیری رد پای فعالیت هکرها و دفاع در مقابل تهدیدات پیش رو مورد استفاده  هستند. در کل دو نوع Honeypot وجود دارد :

*Honeypot تحقیقی (Research Honeypot  ):

یک Honeypot تحقیقی برای مطالعه و تحقیق در باره تاکتیک‌ها و تکنیهای مورد استفاده نفوذگران مورد استفاده قرار می گیرد.در واقع از آن‌ها به عنوان یک پست دیده بانی برای مشاهده اینکه چگونه یک حمله کننده سد های امنیتی یک سیستم را در همی می شکند.
*محصول و ابزار Honeypot ( Production Honeypot  ) :
این نوع از Honeypot ها اساساً برای تشخیص و محافظت از سازمانها مورد استفاده قرار می گیرند.هدف اصلی از یک محصول Honeypot  کمک به کاهش ریسک در یک سازمان می باشد.

چرا Honeypot

ارزش و کارآمدی یک Honeypot با استفاده از اطلاعاتی که می‌توان از آن بدست آورد ارزیابی می گردد.مانیتور نمودن اطلاعاتی که به یک honeyhpot وارد و از آن خارج می‌شود به کاربر اجازه می‌دهد تا اطلاعاتی را که در صورت استفاده ننمودن از Honeypot در دسترس نیستند را جمع آوری نماید. دو دلیل اصلی  برای استفاده از یک Honeypot وجود دارد
1- افزایش فهم و ادراک
فهم چگونگی عمل‌کرد هکرها و تلاشهای آن‌ها برای بدست آوردن دسترسی به سیستم‌های شما.ایده سراسری و کلی حفظ و نگاهداری مسیر ها و فعالیت‌های مجرمان است ، تا یک فهم  و ادراک بهتر برای شناسایی متدلوژی های آن‌ها بدست آید  و از این فهم و ادراک برای محافظت بهتر سیستم‌های و محصولات واقعی استفاده شود.
۲- جمع آوری اطلاعات
جمع آوری اطلاعات و مدارک قانونی برای کمک به دستگیری و یا تعقیب قانونی هکرها. این مجموعه از اطلاعات اغلب اوقات برای تعقیب قانونی مجرم با جزییات لازم مورد نیاز هستند.

چگونه Honeypot ها به امنیت سیستم‌های کامپیوتری کمک می‌کنند :

یک Honeypot یک کامپیوتر است که به یک شبکه متصل است.آنها می‌توانند برای بررسی حفره های امنیتی سیستم عامل ها یا شبکه‌ها مورد استفاده قرار گیرند.بسته به نوع تنظیمات ، یکی می‌تواند حفره های امنیتی را به صورت دقیق و با جزییات یا به طور کلی مورد مطالعه قرار دهد.آنها می‌تواند برای فعالیت‌های یک شخص را که به یک honeyhpot دسترسی پیدا نموده است را مشاهده کنند. نکته قابل توجه این است که Honeypot ها به صورت کلی بر اساس یک سیستم سرور واقعی ، سیستم‌ عامل واقعی به همراه داده‌ای که مشابه داده‌های واقعی هستند بنا نهاده شده‌اند . یکی از تفاوت‌های اصلی در موقعیت ماشین در ارتباع با سرور های واقعی است .یکی از فعالیت‌های اصلی یک Honeypot ضبط داده‌ها ، ثبت لاگ های و هشدار و در نهایت ضبط و ثبت هر آنچه که توسط یک نفوذ گر انجام می‌شود می باشد.اطلاعاتی که جمع آوری می‌شوند می‌تواند برای بهبود مقابله با هکر ها مورد استفاده قرار گیرد

Honeypot های با تعامل بالا و تعامل کم

Honeypot های با تعامل بالا می‌توانند به طور کامل در هم شکسته شوند ، و به دشمن دسترسی کامل به سیستم را اعطا نمایند و از این روش برای بدست آوردن حملات بیشتر استفاده کنند.با کمک این Honeypot ها کاربران می‌توانند درباره حملاتی که سیستم‌های آن‌ها را به خطر می‌اندازد چیزهای بیشتر را یاد بگیرند ، حتی هکر های درون سازمانی.
در مقابل Honeypot های با تعامل پایین قرار دارند که تنها سرویس هایی را که نمی‌توانند برای دسترسی به Honeypot مورد استفاده قرار گیرند را در اختیار قرار می دهند.آنها محدودیت‌های بیشتری دارند اما برای جمع آوری اطلاعات در یک سطح بالاتر مفید هستند.

مزایای استفاده از Honeypot ها
جمع آوری داده‌های واقعی :
در حالی که Honeypot ها یک بخش کوچی از داده را جمع آوری می نمایند اما تقریباً همه این داده حملات واقعی یا فعالیت‌های غیر مجاز می‌باشد
کاهش False Positive
اعلب تکنولوژهای تشخیص ( IDS,IPS  ) تعدای زیادی هشدار های اشتباه و غیر واقعی دارند در حالی که این در مورد Honeypot صادقی نیست
مقرون به صرفه بودن
Honeypot با فعالیت‌های مخرب در تعامل است و نیاز به منابع با کارایی بالا ندارد
رمز نگاری :
با استفاده از Honeypot مهم نیست که هکر از رمز نگاری استفاده کند در هر صورت فعالیت‌های او ضبط خواهد شد
سادگی :
فهم ، توسعه و نگاهداری Honeypot ها بسیار ساده است

منبع

http://www.thewindowsclub.com/what-are-honeypots