گامهای راه اندازی و به کارگیری یک Honeypot

پیش از این در پنج مقاله «Honeypot چیست؟»، «انواع Honeypot»، «کاربردهای Honeypot ها»، «مکانیزم های جمع آوری اطلاعات در Honeypot ها» و «مکانیزم های تحلیل اطلاعات در Honeypot ها» به معرفی اجمالی Honeypot ها، کاربردهای این سیستم ها و روش های جمع آوری وتحلیل اطلاعات در این سیستم ها پرداختیم. در این مقاله گام های راه اندازی و به کار گیری Honeypot ها را مورد بررسی قرار خواهیم داد.

به کار گیری یک Honeypot فیزیکی می تواند بسیار زمان بر و گران تمام شود، چرا که سیستم عامل های مختلف ممکن است به سخت افزارهای خاصی نیاز داشته باشند. به علاوه، هر Honeypot به سیستم فیزیکی خاص خود و حجم زیادی از تنظیمات پیکربندی احتیاج دارد. در ادامه، گام های عمومی برای به کار گیری یک Honeypot اولیه را بیان می کنیم. این گام ها، تا حدی به انواع دستگاه های شبکه، ابزارها و برنامه های نرم‌افزاری که در اختیار ما است، بستگی دارد.

 

 

 

1- انتخاب سخت افزار برای میزبان

 

نخستین گام برای راه اندازی یک Honeypot، پیدا کردن کامپیوتری است که شما می خواهید آن را در معرض حملات هکرها و سوء استفاده قرار دهید و باید از هر داده ارزشمندی خالی شده باشد. این سیستم، می تواند هر کامپیوتری باشد که قادر به اجرای نرم‌افزار جمع آوری و کنترل داده ها باشد.

 

2- نصب سیستم عامل

 

گام بعدی شامل ایجاد تغییرات لازم بر روی سیستم عامل فعلی، یا نصب یک سیستم عامل جدید بر روی کامپیوتر انتخاب شده است. نصب کردن یک سیستم عامل جدید، به شما امکان می دهد که به بهترین شکل در مورد آسیب پذیری هایی که مایلید بر روی سیستم وجود داشته باشد، تصمیم گیری نمایید.

اگر تصمیم گرفته اید که سیستم عامل فعلی را بر روی Honeypot خود نگه دارید، باید از خطرات سوء استفاده مهاجمان از این سیستم به عنوان یک Honeypot آگاه باشید. برای مثال، ممکن است اطلاعات حساسی در مورد خود شما یا شخص دیگری بر روی این سیستم وجود داشته باشد. این اطلاعات می توانند در طول مدت استفاده از این سیستم به عنوان Honeypot خراب شده، حذف شده و یا به سرقت روند. اگر قصد دارید پیکربندی سیستم عامل فعلی را نگه دارید، بهتر است تنظیمات جدیدی را برای جلب ترافیک مشکوک به آن اضافه کنید. برخی روال های معمول برای جذابتر کردن یک Honeypot عبارتند از باز کردن پورت های آسیب پذیر شناخته شده، راه اندازی سرویس های آسیب پذیر شناخته شده، ایجاد درایوهای اشتراکی شبکه، استفاده از کلمات عبور و نام های کاربری ضعیف، و غیر فعال کردن نرم افزارهای آنتی ویروس و فایروال.

اگر تصمیم گرفته اید هارد را فرمت کرده و از ابتدا به نصب یک سیستم عامل جدید بپردازید، انعطاف پذیری و تعداد گزینه ها برای تنظیم Honeypot افزایش می یابد. دیگر لازم نیست در مورد افشای اطلاعات حساسی که از قبل بر روی هارد میزبان وجود داشته است، نگران باشید. اگر تصمیم دارید این مسیر را طی کنید، ممکن است به برخی از ابزارهای معمول احتیاج داشته باشید. از جمله این ابزارها، یک ابزار پاک کردن دیسک مانند WIPE، یک دیسک راه انداز برای ایجاد پارتیشن ها و پارتیشن بندی مجدد هارد دیسک، دیسک های نصب سیستم عامل، و هر نرم‌افزار یا برنامه دیگری است که می خواهید بر روی این سیستم وجود داشته باشد. به خاطر داشته باشید که سایر بسته های نرم‌افزاری ممکن است حاوی آسیب‌پذیری هایی باشند که برای فرد نفوذگر مفید باشند.

 

3- معماری شبکه

 

گام سوم شامل مشخص کردن معماری استراتژیک شبکه است. این شبکه باید طوری طراحی شده باشد که جمع آوری و ثبت داده‌ها برای تحلیل، و نیز جلوگیری از دسترسی به سایر سیستم های موجود بر روی LAN، به بهترین شکل ممکن باشد. شما باید اجزای شبکه خود را به شکل استراتژیک به یکدیگر متصل کنید تا بتوانید به خوبی در مورد بخش هایی از شبکه که ترافیک نفوذگر حق ورود به آن را داراست و بخش هایی از شبکه که باید از دسترس فرد نفوذگر مصون بماند، تصمیم گیری نمایید. این کار را باید با تعیین انواع اجزای شبکه (مانند فایروال ها، سیستم های تشخیص نفوذ، سایر سیستم های محلی، مودم های کابلی یا DSL و میزبان جمع آوری کننده داده ها) انجام دهید. در زیر، دو نمونه معماری شبکه مورد استفاده در به کارگیری Honeypot را مشاهده می کنید.

دو نمونه معماری شبکه مورد استفاده در به کار گیری Honeypot

 

 

4- هشدارها و تشخیص نفوذ

 

چهارمین گام، مشخص کردن این است که چگونه می خواهید هشدارها را در زمانی که Honeypot با فعالیت های خرابکارانه ای مانند اسکن کردن پورت ها، اتصال به اشتراک شبکه، یا سایر ترافیک های خرابکار روبرو شده است، بررسی کرده، ثبت و دریافت نمایید و در نهایت فعالیت Honeypot را کنترل کنید. Snort و Ethereal برنامه های رایگانی هستند که از طریق اینترنت قابل دسترسی هستند. نصب Ethereal بسیار ساده است، اما نصب Snort ممکن است برای برخی افراد کمی سخت باشد. برای تحلیل کامل ترافیک، نصب کل بسته گزارش گیری Snort/ACID توصیه می شود. کل این بسته را می توان از سایت www.winSnort.com دانلود کرد. پیکربندی Ethereal برای نظارت بر ترافیک ورودی و خروجی شبکه به Honeypot، کار ساده ای است. شکل زیر نشان دهنده این است که چگونه می توانید یک فیلتر ساده را در Ethereal برای کنترل یک میزبان پیکربندی نمایید.

 

 

 

پیکربندی Snort برای کنترل ترافیک ورودی و خروجی شبکه به Honeypot، در مقایسه با پیکربندی مجموعه قوانین Snort ساده است. توجه داشته باشید که پیکربندی این سیستم تشخیص نفوذ بدون اطلاع از گزینه های قوانین Snort نباید انجام شود. Snort مجموع بزرگی از قوانین دارد که شما می توانید آنها را تغییر داده، اضافه یا حذف نمایید و به این ترتیب حجم خطاهای تشخیص اشتباه را کاهش دهید.