قناني العسل (Honeypots) .. ماهي وكيف تعمل؟ انواعها؟ مميزاتها


(Mohammed Al Amin) #1

السلام عليكم ورحمة الله . أعزائي الكثير منا يسمع عن مايسمى (Honeypot) او ماتعرف بقناني العسل ولكن نجهل ماهي وظيفتها وفائدتها … اليوم ان شاء الله بتكلم قليلا عن هذه التقنية ودورها في مجال الحماية وامن المعلومات

<imgsrc="/uploads/default/original/2X/3/30d7e170784ecda891f5f0d76080e75834d57522.jpg" width=“666” height=“500”>

تقنية وعاء العسل او ال Honeypot تم اكتشافها عام 1990م من قبل شخص يدعى (Califrod Stoll) . الحديث سيكون عن المحاور التالية :

1- Honeypot
2- Honeynet
3- Honeywall

  • تعريف تقنية ال (Honeypot) :
    هي عبارة عن أنظمة ترتكز فكرتها الأساسية على تضليل المخترقين ومختبري الاختراق وتتبع تحركاتهم داخل النظام ، عبر انشاء أنظمة وهمية مليئة بالثغرات لإيهام المخترق بأنه نجح في اختراق النظام. ولكنه فعليا اخترق نظام وهمي ولم يصل لأي شيء داخل الشبكة .

  • دواعي استخدام واستعمال مثل هذه الأنظمة :
    1- تبادل المعرفة وجمع المعلومات الاستخبارية (Intelligence Information gathering) .
    2- استشعار الأخطار والانذار المبكر بها (Proactive Defense) أو ماييعرف بالدفاع من العمق (Defense in Depth) ، ويتم ذلك عبر احد هذه السيناريوهات :

  • يتم إطلاق الانذار عند مرور أي بيانات من وإلى نظام ال Honeypot وتعتبر فوراً محاولة اختراق .
  • إن لم يكن في هذه النقطة من الشبكة نظام كشف الدخلاء (IDS - Intrusion Detection System) أو لا يوجد تواقيع (Signature) لعملية الاختراق فإن Honeypot سيكون هو الطريق الأمثل لكشف هذا الاختراق و سيكون أكبر داعم لنظام (IDS) إن وجد .

3- الخداع (Deception) بحيث يشعر المخترق أو الشخص الذي يحاول الوصول لشبكتك أو أنظمتك بأنه حصل على ما يريد فعلا مما يهديء ويقلل محاولات اختراق الشبكة . وفي نفس الوقت وبنفس القدر من الأهمية تعتبر طريقة فعالة لتنبيه مراقبين الشبكة والقائمين على تأمينها بوجود خطر دون الانتظار لحدوث اختراق فعلي للشبكة قد لا تحمد عقباه ، وقد تنتج عنه نتائج كارثية من وصول لمعلومات وملفات مهمة وحساسة وتسريبها للعلن والأمثلة على ئلك كثيرة .
4- الأبحاث والتطوير ، حيث تعتبر أفضل مايمكن الحصول عليه من تفعيل هذه التقنية بحيث تستخدم في التجارب على أمن وتأمين الشبكات والأجهزة المتصلة بها . كما يمكن الاستفادة منها في تداول المعلومات بين مسؤولي الحماية من أجل رفع مستوى الأمان في الأنظمة والمساعدة على فهم وتحليل واختبار اختراق الشبكات

  • أنواع وتقسيمات ال (Honepot) : هنالك عدة تقسيمات لهذه الأنظمة ، فمنهم من صنفها تبعا لطبيعة الإستخدام و منهم صنفها حسب طريقة التصميم .
  • حسب أول تصنيف (طبيعة الإستخدام) فإنه يتم تقسيمها لقسمين و هما :
    1- مصائد الانتاج (Production Honeypots) :
    و هي تلك التي يتم استخدامها لحماية الشبكات و الأنظمة في المنظمات و المؤسسات و الشركات لزيادة تأمين هذه المؤسسة و حمايتها. يتميز هذا النوع بسهولة استخدامه لكنه يوفر معلومات قليلة عن أي هجوم.
    2- مصائد البحث (Research Honeypots) :
    وهي التي يتم استخدامها في الأبحاث من قبل الحكومات و المنظمات و الجهات العسكرية لكشف أي برامج خبيثة و تحليل الهجمات التي من الممكن أن تتعرض لها و يعتبر هذا النوع معقد و لكنه يوفر معلومات كثيرة عن الهجوم .

  • أما حسب التصنيف الثاني (وهي الذي يعتمد على طريقة التصميم) فإنه يتم تقسيم هذه الأنظمة الى ثلاثة أنواع و هي :
    1- المصائد الكاملة (Pure Honeypots) :
    و هي انظمة كاملة تستخدم الشبكات الفعالة ولا تحتاج لأي أنظمة او برامج أخرى لكي يتم تنصيبها معها . مثال عليها أداة تسمى (Sebek) هذا رابط الموقع الخاص بها (http://projects.honeynet.org/sebek) .
    2- مصائد عالية التفاعل (High-interactive Honeypots ) :
    هذا النوع يتم عن طريق تقليد الانظمة بأنظمة مماثلة بنفس العدد من الخدمات و ذلك لإشغال المخترق بفحص جميع الخدمات لإضاعة وقته و هي أكثر أمنا بحيث يصعب كشفها بسهولة و لكن تكلفتها عالية ، ومن مميزاته :

  • يعتبر نظام تشفير كامل و لا يفرض أي حدود في الاستخدام .
    -يتيح للمخترق التحكم الكامل بالنظام عند اختراقه حيث يستطيع تثبيت برامجه و أدواته عليه كما لو أنه جهازه الخاص .
    -ومن عيوبه :
  • يحتاج مراقبة قوية و حذر كبير عند وضعه في أي نقطة في الشبكة .
  • غالبا يستخدم في الأبحاث و التجارب للوصول إلى أفضل النتائج اللتي تخدم النظام .
    3- مصائد منخفضة التفاعل (Low-interaction honeypots) :
    و هي عبارة عن محاكاة للخدمات الأكثر طلبا من قبل المخترقين (او من يحاولون الإختراق) وذلك لأنها تستخدم مصادر قليلة من النظام, بحيث يمكن الإستفادة من ذلك بعمل أكثر من جهاز وهمي على نفس الجهاز الحقيقي و الإستفادة منها معا. وتستخدم هذه الأنظمة في نقاط الشبكة الحساسة حيث خطر النظام بعد الاختراق يكون أقل على الشبكة .
    كما تعتبر نقطة قوية لدعم ال (IDS) في الشبكة حيث يوفر أقصى درجات ال (False-Positive Alarm) لأن أي حركه تأني منه أو إليه تعتبر مشبوهة و بالتالي مرفوضه تماما و يتم الإبلاغ عنها و إطلاق الإنذار مباشرة .
    بالإضافة الى ما تم ذكره من أصناف سابقة يمكن تصنيفها حسب الخدمة التي تكون الغاية من جذب المخترقين اليها ، فهنالك أصناف أخرى مثل :
    (Malware Honeypots - Database Honeypots - Spam Honeypots)

** أهم الإصدارات لهذا النوع من قناني العسل **
1- نظام (Honyed) : هو نظام معياري للنوع (Low Interaction) ويوفر بيئة تفاعلية لخدمات كثيرة الاستخدام مثل (IIS - Telnet - FTP - SSH - Apache) ، ويحتوي على أدوات كثيرة لكشف البرامج الخبيثة . عيبه الوحيد انه ضعيف جدا إذا كان المخترق أو البرامج الخبيثة يقومون بتنفيذ عمليات كثيرة ومتعددة .
2- نظام (Nepenthes) : يعتبر تطويراً للنظام السابق ولكنه أقوى منه بمراحل . ويوفر خدمات أكثر للمخترق و يسمح له بعمل تحركات أكثر مع الخدمات و بالتالي جمع قدر أكبر من المعلومات عن المخترق أو البرامج الخبيثة . لديه قابلة لتنفيذ ال (Shell Codes) ويتعامل مع النظام نفسه و مع البروتوكولات و آليات النظام بشكل أفضل.

** عيوب أنظمة ال (Honeypots) :
1- صغر بؤرة أو نطاق المراقبة والفحص ، بحيث تتمركز مراقبه ما يحدث من و إلى هذا النظام فقط مما يغض الطرف عن مراقبه بقية الشبكة .
2- قد يضل النظام لمدة طويلة دون أن يخبر عن شئ وهذا يسبب استهلاك المزيد من الموارد مثل تعدد الأجهزة التي تستضيف أنظمة قناني العسل أو استهلاك الطاقة .
3- العرضة للخطر :

  • وجود نظام زائد في الشبكة يعني وجود خطر زائد على الشبكة حيث يتطلب حماية و مراقبة و اهتمام أيضا .
  • نسبة ازدياد الخطر تعتمد على طريقة إعداد النظام نفسه من قِبل مدير الشبكة .
    -قد يستغل المخترق هذا النظام كنقطة أمنة وهادئه له لبدء هجومة على الشبكة الداخلية الحقيقية كهجمات حجب الخدمة (DDOS - Distributed Denail of Service) وغيرها .
  • قد يستغل المخترق هذا النظام ويستخدمه ك (VPS - Virtual Private Server) أو (Proxy) لاختراق منظمة أو شبكة أو أي موقع على الانترنت بغرض إخفاء هويته .
  • يستطيع المخترق أن يعرف أنه في بيئة تخيلية إذا تم استخدام برامج المحاكاة مثل (VMware) أو (Virtual Box) بسبب أسماء الأجزاء المادية مما يجعله يغير وجهته أو طريقته في الاختراق .
  • ماهي ال (Honeynets) : هي عبارة عن شبكة مكونة من العديد من قناني العسل أو المصائد (Honeypots) متصلة فيما بينها كشبكة وهمية كاملة ومتعددة الأنظمة .
  • أنواع ال (Honeynets) :
    1- شبكات الجيل الأول (Gen 1 Honeynets) :
    تم اصدارها في العام 2000 وتستخدم كراوتر لتوصيل شبكة ال (Honeynet) بالشبكة الأساسية و لعرض بعض المعلومات الخفيفة عن الاتصال في الشبكة الوهمية .
    2- شبكات الجيل الثاني (Gen 2 Honeynets) :
    تم اصدارها في العام 2003 عندما تم اطلاق مشروع (honeynet.org) بشكل رسمي . وهذا النوع يستخدم تقنية الجسور (Bridging) لكي يسمح للشبكة الوهمية بأن تكون بجانب أو داخل الشبكة الحقيقية وهذا يثبت مبدأ الدفاع من العمق (Defense in Depth) . وعندما تعمل هذه الشبكة كجسر فإنها تعمل كجدار ناري وهمي في نفس الوقت و يسمى (Honeywall) ، حيث يوفر قابلية جمع و تحكم في البيانات العابرة من وإلى الشبكة الوهمية .
    3- شبكات الجيل الثاني (Gen 3 Honynets) :
    تم اصدارها في العام 2005 ، وتم تطويرها في منتج يسمى (roo) وهو بالفعل متطور في طريقة جمع البيانات و التحكم فيها و يوفر طرق أكثر في تحيليل البيانات و الأحداث و بواجهة رسومية عن طريق المتصفح (Web Interface) وتسمى (Walleye) .
  • بنية الشبكة الوهمية (Honeynet) :
  • إن وجود الجدار الناري (Honeywall roo) يكون بمثابة بوابة غير مرئية للشبكة (Honeynet) .
  • فرص جمع البيانات أصبحت أكثر بوجود تقنية الجسور (Bridging) .
  • أصبحت أنظمة شبكات المصائد (Honeynets) أكثر أمانا و نستطيع وضعها بجانب الشبكات المحلية الحقيقة .
  • طرق التحكم في البيانات وجمعها :
  • يوفر الجدار الناري (Honeywall) التحكم ، و منع أي نشاط يخرج من شبكة (Honeynet) .
  • تزداد الحاجه لاستخدام الجدار الناري عند الحاجه إلى التحكم في قابلية تنصيب البرامج و تحميل أدوات إضافية داخل الأنظمة الوهمية من قِبل المخترق .
  • من أهم أدوات التحكم في البيانات و جمعها :
    (Rootkit - IPtables - Snort - TCPdump - Nagios - p0f - Sebek)
  • يتم جمع معلومات ال (Snort) الخاص بال (Honeynet) بهيئة تسمى (hflow) .
  • الجدار الناري (Honeywall) :
    يعتبر من تطويرات الجيل الثالث لمشاريع ال (Honeynets) ، ويأتي على شكل نظام تشغيل متكامل على شكل صورة (ISO Image) و أيضا يأتي على شكل قرص وهمي (VMware HDD) . وهو مبنيى على توزيعة (CentOS 5.X) .

  • مميزاته :

  • مفتوح المصدر وسهل التنصيب ولا يحتاج لدراية أو خبرة عالية لتنصيبه .
  • لا يحتاج لأجهزة بمواصفات عالية .
  • واجهة رسومية متكاملة للإدارة (Walleye) .
  • رسم بياني لتمثيل الأحداث .
  • إحتوائه على نظام كشف الدخلاء (IDS) ويستخدم برنامج (Snort) الغني عن التعريف .
  • إحتوائه على برنامج مسح الشبكات (Nessus) الشهير والمعروف .
  • إمكانية الإدارة عن بعد وبشكل آمن عن طريق (SSH - Secure Shell) .