مکانیزمهای جمع آوری اطلاعات در Honeypot ها

پیش از این در سه مقاله «Honeypot چیست؟»، «انواع Honeypot» و «کاربردهای Honeypot ها»، به معرفی اجمالی Honeypot ها و کاربردهای این سیستم ها پرداختیم. در این مقاله مکانیزم های مختلف جمع آوری اطلاعات در Honeypot ها را مورد بررسی قرار خواهیم داد.

جمع آوری اطلاعات در سیستمی که صرفا به این منظور طراحی شده است که مورد سوء استفاده مهاجمان و هکرها قرار گیرد، باید به صورتی باشد که علاوه بر اینکه تحلیل جدی فعالیت ها را ممکن می سازد، در عین حال مزاحم کار هکرها نیز نگردد. در شبکه هایی که از Honeypot به منظور تشخیص و تحلیل حملات و تهدیدات استفاده می کنند، داده‌ها می توانند در سه نقطه مختلف جمع آوری شوند که هریک مزایا و معایب خود را داراست. بر این اساس، سه مکانیزم مختلف برای جمع آوری اطلاعات در Honeypot ها تعریف می شود:

 

1- مبتنی بر میزبان 

 داده هایی که بر روی میزبانی که مورد سوء استفاده قرار گرفته است جمع آوری می شوند، بیشترین پتانسیل را برای ثبت ارتباطات ورودی و خروجی، دستورات وارد شده بر روی میزبان از طریق خط دستور، و پردازه های در حال اجرا دارا هستند. متاسفانه این روش بیشترین خطر را نیز به همراه دارد. چرا که فرد نفوذگر معمولا به دنبال لاگ ها و یا ابزارهای امنیتی می گردد و سعی می کند آنها را غیرفعال نماید تا بتواند حضور خود را پنهان کند. به این ترتیب، جمع آوری داده ها می تواند توسط فرد هکر متوقف شده و یا دستخوش تغییر گردد، به طوری که نتایج به دست آمده را کاملا مغشوش نماید. به عنوان مثال هایی از ابزارهای مورد استفاده برای ثبت فعالیت بر روی یک Honeypot می توان به موارد زیر اشاره کرد:

 

• لاگ های سیستمی سیستم عامل (که نوعا اولین هدف یک نفوذگر است)
• سیستم های تشخیص نفوذ با قابلیت جمع آوری بسته مانند Snort
• ابزارهای جمع آوری و تحلیل بسته ها مانند Ethernal

 

2- مبتنی بر شبکه

 

یک راه حل امن تر و در عین حال پیچیده تر برای جمع آوری داده ها این است که Honeypot، داده ها را به صورت پنهانی جمع آوری کرده و برای تحلیل بیشتر برای یک سرور دیگر ارسال نماید. این راه حل به ما اجازه می دهد که داده های جمع آوری شده توسط Honeypot را بر روی سیستم دیگری آرشیو کنیم. فرض بر این است که این سرور در برابر حملات مهاجمان ایمن شده است، چرا که ممکن است فرد نفوذگر متوجه جریان اطلاعات به بیرون از Honeypot شده و سعی کند مکانیزم جمع آوری و ارسال اطلاعات را متوقف نماید. با استفاده از ابزارهایی مانند Sebek، می توانیم سرویس جمع آوری داده را بر روی Honeypot پنهان کنیم و داده ها را از طریق یک ارتباط UDP به یک سرور دیگر ارسال کرده و بر روی آن ذخیره نماییم. Sebek فعالیت فرد نفوذگر را ضبط کرده و به صورت پنهانی آن را به یک سرور در داخل شبکه یا یک سرور در هر جایی بر روی اینترنت ارسال می کند. این موضوع در شکل زیر نمایش داده شده است.

جمع آوری اطلاعات مبتنی بر شبکه با استفاده از Sebek

   

3- مبتنی بر مسیریاب/ دروازه (gateway)

آخرین روش معمول مورد استفاده برای جمع آوری داده ها در سطح gateway، مسیریاب یا فایروال شبکه است. از آنجاییکه یک gateway تمامی داده ها را بین میزبان های یک شبکه و اینترنت منتقل می کند، این فرصت را برای ما ایجاد می کند که از این طریق، تمامی ارتباطات و داده هایی را که از اینترنت به Honeypot‌ های ما منتقل می شوند، ثبت نماییم. این مساله دارای خطر بیشتری نسبت به راه حل Sebek  است که در قسمت قبل توضیح داده شد. چرا که یک gateway معمولا در شبکه پنهان نیست و در نتیجه خود نیز به هدف حملات مهاجمان تبدیل می شود. به علاوه، این روش بیشتر وابسته به سخت افزار است، چرا که شما به سروری احتیاج دارید که در نقش یک gateway عمل کند. در عین حال، بسیاری از gateway هایی که در مقیاس کوچک یا خانگی طراحی می شوند، قابلیت های عمده ای برای ثبت اطلاعات ندارند و نمی توانند در این نقش مورد استفاده قرار گیرند.

 

بدون تکنیک های قوی جمع آوری داده، اعتبار اطلاعات جمع آوری شده از سیستم های میزبان به شدت کاهش می یابد و از آنجاییکه یکی از اهداف اصلی این اطلاعات شناخت مهاجمان است، اعتبار این اطلاعات نیز از اهمیت بسیار زیادی برخوردار است.