هانیپات (Honeypot)یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمعآوری فعالیتهای غیرمجاز در شبکههای رایانهای بر روی شبکه قرار میگیرد.هانی پاتها ابزاری برای مصالحه هستند، کامپیوترهایی که یا واقعی هستند یا شبیهسازی شدهاند. در نمونههای اولیه، هانیپاتها گرایش به مطالعه و طعمه دادن به مهاجمین انسانی داشتهاند، اما به همان اندازه میتوانند برای دستگیری کرمها نیز استفاده شوند. وظایف هانی پات : • پیشگیری:با منابع غیر معتبری که در اختیار حمله کنندگان قرار میدهد، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری میشود و این یک عمل پیشگیرانه است. • کشف:در اغلب شبکههای موجود در سازمانها، فعالیت محصولات دارای پیچیدگی فراوانی میباشند که کشف حملات را مشکل میسازد. حال آنکه در هانیپات این پیچیدگی وجود ندارد و جریانهای ورود و خروج به آن کاملاً روشن است. • واکنش:فعالیت محصولات اشاره شده در بالا، باعث میشود تیم پاسخگویی به حوادث نتواند به درستی تشخیص دهد که چه اتفاقی افتادهاست. از طرف دیگر در اغلب مواقع تیم پاسخگویی به اختلالات قادر نیست اطلاعاتی از سیستم در معرض خطر قرار گرفته، جمعآوری کند ولی برای سیستم هانیپات چنین محدودیتی وجود ندارد. • پژوهش:یکی از مهمترین مباحث در امنیت، گرد آوری (داشتن) اطلاعات دشمن است. هانیپات به عنوان یک ابزار پژوهشی، در نیل به این هدف، کمک شایانی به سازمانهای پژوهشی و دانشگاهی میکند. هانیپاتها به دو دلیل استفاده میشوند: • شناخت نقاط ضعف سیستم • جمعآوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران
هانی نت : هانی نت ها بصورت ساده مجموعه ای از هانی پاتها هستند که طراحی آن ها بصورتی است که شبیه به سرویسها و سرورهای تحت شبکه به نظر میرسند. به عنوان مثال ممکن است شما هانی پاتی داشته باشید که خود را شبیه به یک دومین کنترلر (DC) نشان دهد یا هانی پات دیگر خود را بجای یک وب سرور اینترنتی، میل سرور و یا سرورهای دیگر جا بزند. هانی نت ها میتوانند از هانی پات های قوی، ضعیف و یا ترکیبی از ایندو تشکیل شوند. هانی نت ها معمولا در پشت سیستمی که اصطلاحا “Honeywall” نامیده میشوند، پیاده سازی میشوند. هانیوال یک مسیر bridge شده را برای هانی نت ایجاد کرده و قابلیت های مانیتورینگ شبکه، کپچر کردن بستهها و IDS/IPS را از خود ارائه میدهد. مزیت های مختلفی در استفاده از هانی پاتها در شبکه های SCADA به عنوان سپری در مقابل سایر اقدامات پیشگیرانه امنیتی وجود دارد. یک هانی پات، به تنظیمات فعلی یک شبکه SCADA مانند فایروال و UTM کاری نداشته و نیازی به اضافه کردن دیوایسی بر روی مسیر شبکه ندارد. چون که نصب دیوایس بر روی مسیر شبکه مستلزم قطعی هرچند کوتاه مدت شبکه است و بسته به نوع معماری شبکه، ممکن است حتی بجای مفید بودن، نقطه انفصال شبکه نیز محسوب شود. هانی پات خیلی ساده مانند دیوایس های دیگر به شبکه اضافه میشود و طوری تنظیم میشود تا سرویس هایی را اجرا کند تا بدینوسیله شبیه دیگر دیوایس های موجود در شبکه SCADA، بنظر برسد. بخاطر آن که هانی پات مستقیما روی مسیر شبکه قرار نگرفته و واقعا مانند IPS جلوی ترافیک آلوده را نمیگیرد، سبب میشود که تا حد بسیار زیادی از کاهش کارایی شبکه بکاهد. مزیت دیگری که هانی پات دارد، اینست که طوری پیکربندی میشود که شبیه به دیوایس های خاصی در یک شبکه SCADA به نظر برسد. به همین علت اجباری نیست که حتما هانی پات شبیه به یک سرویس IIS روی ویندوز، یک سرویس OpenSSH روی لینوکس و یا حتی سرویس تلنت روی یک روتر سیسکو باشد. میتوان طوری هانی پات را ساختاربندی کرد که شبیه به یک سیستم گرمایشی، تهویه و سرمایشی (HVAC)، سیستم کنترل دسترسی ساختمان (BACS) یا سیستم کنترل صنعتی (ICS) نقش بازی کند. این قابلیت این امکان را میدهد تا بتوان حملاتی را که بطور خاص زیرساخت شبکه را هدف گرفتهاند، مانیتور کرد. در کنار تمام مزیتهای موجود،هانی پات ها یک مشکل عمده دارند: سیستم، عملی که رخدادهاست، را مانیتور کرده و الارم میدهد. بر خلاف یک IPS، یک هانی پات نمیتواند بطور خودکار جلوی حملات را بگیرد.