آشنایی با هانی پات | هانی پات چیست؟

هانی‌پات (Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های رایانه‌ای بر روی شبکه قرار می‌گیرد.

هانی‌ پات‌ها ابزاری برای مصالحه هستند، کامپیوترهایی که یا واقعی هستند یا شبیه‌سازی شده‌اند.

در نمونه‌های اولیه، هانی‌پات‌ها گرایش به مطالعه و طعمه‌  دادن به مهاجمین انسانی داشته‌اند، اما به همان اندازه می‌توانند برای دستگیری کرم‌ها نیز استفاده شوند.

وظایف هانی پات:

• پیشگیری: با منابع غیر معتبری که در اختیار حمله کنندگان قرار می‌دهد، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری می‌شود و این یک عمل پیشگیرانه است.

• کشف: در اغلب شبکه‌های موجود در سازمان‌ها، فعالیت محصولات دارای پیچیدگی فراوانی می‌باشند که کشف حملات را مشکل می‌سازد.

حال آنکه در هانی‌پات این پیچیدگی وجود ندارد و جریانهای ورود و خروج به آن کاملاً روشن است.

• واکنش: فعالیت محصولات اشاره شده در بالا، باعث می‌شود تیم پاسخگویی به حوادث نتواند به درستی تشخیص دهد که چه اتفاقی افتاده‌است.

از طرف دیگر در اغلب مواقع تیم پاسخگویی به اختلالات قادر نیست اطلاعاتی از سیستم در معرض خطر قرار گرفته، جمع‌آوری کند ولی برای سیستم هانی‌پات چنین محدودیتی وجود ندارد.

• پژوهش: یکی از مهم‌ترین مباحث در امنیت، گرد آوری (داشتن) اطلاعات دشمن است. هانی‌پات به عنوان یک ابزار پژوهشی، در نیل به این هدف، کمک شایانی به سازمان‌های پژوهشی و دانشگاهی می‌کند.

هانی‌پات‌ها به دو دلیل استفاده می‌شوند:

• شناخت نقاط ضعف سیستم

• جمع‌آوری اطلاعات لازم برای تعقیب و ردگیری نفوذگران

توضیح کلی در مورد هانی نت:

هانی نت ها بصورت ساده مجموعه ای از هانی‌ پات‌ها هستند که طراحی آن ها بصورتی است که شبیه به سرویس‌ها و سرورهای تحت شبکه به نظر میرسند.

به عنوان مثال ممکن است شما هانی‌ پاتی داشته باشید که خود را شبیه به یک دومین کنترلر (DC) نشان دهد یا هانی پات دیگر خود را بجای یک وب سرور اینترنتی، میل سرور و یا سرورهای دیگر جا بزند.

هانی نت ها میتوانند از هانی‌ پات های قوی، ضعیف و یا ترکیبی از ایندو تشکیل شوند. هانی نت ها معمولا در پشت سیستمی که اصطلاحا “Honeywall” نامیده میشوند، پیاده سازی میشوند.

هانی‌وال یک مسیر bridge شده را برای هانی نت ایجاد کرده و قابلیت های مانیتورینگ شبکه، کپچر کردن بسته‌ها و IDS/IPS را از خود ارائه می‌دهد.

مزیت های هانی پات ها در شبکه:

مزیت های مختلفی در استفاده از هانی‌ پات‌ها در شبکه های SCADA به عنوان سپری در مقابل سایر اقدامات پیشگیرانه امنیتی وجود دارد.

یک هانی‌ پات، به تنظیمات فعلی یک شبکه SCADA مانند فایروال و UTM کاری نداشته و نیازی به اضافه کردن دیوایسی بر روی مسیر شبکه ندارد.

چون که نصب دیوایس بر روی مسیر شبکه مستلزم قطعی هرچند کوتاه مدت شبکه است و بسته به نوع معماری شبکه، ممکن است حتی بجای مفید بودن، نقطه انفصال شبکه نیز محسوب شود.

هانی‌ پات خیلی ساده مانند دیوایس های دیگر به شبکه اضافه میشود و طوری تنظیم میشود تا سرویس هایی را اجرا کند تا بدینوسیله شبیه دیگر دیوایس های موجود در شبکه SCADA، بنظر برسد.

بخاطر آن که هانی‌ پات مستقیما روی مسیر شبکه قرار نگرفته و واقعا مانند IPS جلوی ترافیک آلوده را نمیگیرد، سبب میشود که تا حد بسیار زیادی از کاهش کارایی شبکه بکاهد.

مزیت دیگری که هانی پات دارد، اینست که طوری پیکربندی میشود که شبیه به دیوایس های خاصی در یک شبکه SCADA به نظر برسد. به همین علت اجباری نیست که حتما هانی پات شبیه به یک سرویس IIS روی ویندوز، یک سرویس OpenSSH روی لینوکس و یا حتی سرویس تلنت روی یک روتر سیسکو باشد.

میتوان طوری هانی پات را ساختاربندی کرد که شبیه به یک سیستم گرمایشی، تهویه و سرمایشی (HVAC)، سیستم کنترل دسترسی ساختمان (BACS) یا سیستم کنترل صنعتی (ICS) نقش بازی کند.

این قابلیت این امکان را میدهد تا بتوان حملاتی را که بطور خاص زیرساخت شبکه را هدف گرفته‌اند، مانیتور کرد.

در کنار تمام مزیتهای موجود،هانی پات ها یک مشکل عمده دارند: سیستم، عملی که رخداد هاست را مانیتور کرده و آلارم میدهد. بر خلاف یک IPS، یک هانی پات نمیتواند بطور خودکار جلوی حملات را بگیرد.