By | 2 آبان 1400
0 Comment

هانی پات(honeypot) ، هانی نت(honeynet) و تله هرزنامه(Spam Trap) چیست؟

یک honeypot یا تله عسل یک مکانیسم امنیتی است که یک تله مجازی را برای جذب مهاجمان فراهم می کند. یک سیستم کامپیوتری که به طور عمدی با به خطر انداختن خود اجازه می دهد تا مهاجمان با سوءاستفاده از آسیب پذیری ها باعث شناخت بهتر و بهبود سیاست های امنیتی شوند.  شما می توانید یک honeypot را به هر منبع محاسباتی از قبیل نرم افزار، شبکه، سرورها و روترها اعمال کنید. همچنین می توان گفت که honeypotها یک نوع تکنولوژی فریب هستند که به شما اجازه می دهند تا الگوهای رفتار مهاجم را درک کنید.

تیم های امنیتی می توانند از honeypotها برای بررسی نقص امنیت و نحوه فعالیت های سایبری استفاده کنند. همچنین خطر نادیده گرفتن شما را در برابر آسیب پذیری ها کاهش می دهد. honeypotها براساس مدل های طراحی و استقرارشان با یکدیگر متفاوت هستند، اما همه آنها فریبنده هستند و قصد دارند مانند سیستم های واقعی و آسیب پذیر برای جذب حملات سایبری و مهاجمان مورد استفاده باشند.

دو نوع اصلی از طرح های honeypot وجود دارد:

  • تولید honeypot : به عنوان سیستم های فریبنده در داخل شبکه ها و سرورها و به عنوان بخشی از سیستم تشخیص نفوذ(IDS) به خدمت گرفته می شوند. همچنین در هنگام تجزیه و تحلیل فعالیت های مخرب برای کمک به کاهش آسیب پذیری، نگاه مجرمانه را از سیستم واقعی منحرف می کنند.
  • تحقیقات در زمینه honeypot : که برای اهداف آموزشی و افزایش امنیت استفاده می شود و حاوی داده های هستند که می توانید بر روی آن ها تجزیه و تحلیل نمایید.

 

انواع طرح های گسترش honeypot

– honeypot خالص : که به آن ها سیستم های تولید کامل هم می گویند که حملات را از طریق پیوندی که honeypot  را به شبکه متصل می کند، کنترل می کنند. این مدل ها غیر پیچیده هستند.

– honeypot های کم اثر : از خدمات و سیستم هایی تقلید می کنند که اغلب توجه مجرمان را به خود جلب می کند. این مدل روشی را برای جمع آوری داده ها از طریق حملات کور مانند بات نت ها(botnets) و بدافزارهای کرم ارائه می دهد.

– honeypotهای با تعامل بالا: تنظیمات پیچیده‌ای دارند که مانند زیرساخت‌های تولید واقعی عمل می‌کنند. در این مدل سطح فعالیت یک مجرم سایبری محدود نمی شود و سطح گسترده ای از امنیت سایبری را ارائه می دهند. با این حال نیاز به تعمیر و نگهداری بالاتری دارند و همچنین به دانش، تخصص و استفاده از فناوری‌های نو مانند ماشین‌های مجازی برای اطمینان از دسترسی مهاجمان به سیستم واقعی نیاز دارند.

محدودیت های هانی پات

امنیت در honeypot محدودیت هایی دارد زیرا honeypot نمی تواند نقص امنیت را در سیستم های واقعی تشخیص دهد و همچنین همیشه هم نمی تواند مهاجم را شناسایی کند. این خطر نیز وجود دارد که با بهره برداری موفقیت آمیز از هانی پات، مهاجم بتواند به صورت موازی یا جانبی حرکت کند تا به شبکه نفوذ کند. برای جلوگیری از این امر، باید مطمئن شوید که هانی پات به اندازه کافی ایزوله شده است.

برای کمک به عملیات امنیتی خود، می توانید هانی پات ها را با تکنیک های دیگر ترکیب کنید. برای مثال، استراتژی تله قناری(canary trap) با به اشتراک گذاشتن گزینشی نسخه‌های مختلف اطلاعات حساس با افراد مشکوک به نشت اطلاعات کمک می‌کند تا به امنیت بهتری برسیم.

هانی نت: شبکه ای از هانی پات ها

هانی نت(honeynet) شبکه ای است که حاوی یک یا چند هانی پات است. که شبیه یک شبکه واقعی به نظر می رسد و شامل چندین سیستم است اما با این تفاوت که بر روی یک یا چند سرور میزبانی می شود که هر یک نشان دهنده یک محیط است. به عنوان مثال، یک دستگاه هانی پات ویندوز، یک دستگاه هانی پات مک و یا یک دستگاه هانی پات لینوکس.

هانی وال(honeywall)

یک “honeywall” ترافیک ورودی و خروجی شبکه را مانیتور یا نظارت می کند و آن را به نمونه های هانی پات هدایت می کند. شما می‌توانید آسیب‌پذیری‌ها را به هانی‌نت تزریق کنید تا دسترسی مهاجمان به تله را آسان تر نمایید.

نمونه ای از توپولوژی honeynet

هر سیستمی در honeynet ممکن است به عنوان نقطه ورود مهاجمان عمل کند. هانی نت اطلاعاتی را در مورد مهاجمان جمع آوری می کند و آنها را از شبکه واقعی منحرف می سازد. مزیت هانی نت نسبت به هانی پات ساده این است که بیشتر شبیه به یک شبکه واقعی است و دارای حوضه کاری بزرگ تری است. این موضوع هانی‌نت را به راه‌حل بهتری برای شبکه‌های بزرگ و پیچیده تبدیل می‌کند. این شبکه جایگزینی را به مهاجمان ارائه می‌دهد که می‌تواند جایگزینی جذاب برای شبکه واقعی باشد.

تله هرزنامه(Spam Trap): یک هانی پات ایمیل

تله‌های هرزنامه ابزارهایی برای فریب هستند که به ارائه‌دهندگان خدمات اینترنتی (ISP) کمک می‌کنند تا هرزنامه‌ها را شناسایی و مسدود کنند. آنها با مسدود کردن آسیب‌پذیری‌ها به ایمن‌تر کردن صندوق ورودی(inbox) شما کمک می‌کنند. تله هرزنامه یک آدرس ایمیل جعلی است که برای طعمه اسپم ها استفاده می شود. بعید است ایمیل قانونی به آدرس جعلی ارسال شود بنابراین وقتی ایمیلی دریافت می شود، به احتمال زیاد اسپم است.

انواع تله های هرزنامه(Spam Trap)

انواع تله های هرزنامه عبارتند از:  

  • اشتباهات تایپی ایمیل : فیلتر هرزنامه اشتباهات تایپی ناشی از خطای انسانی یا ماشینی را شناسایی کرده و ایمیل را به پوشه هرزنامه(Spam) ارسال می کند. این شامل آدرس‌های ایمیلی که دارای غلط املایی هستند نیز می شود. مانند jhon@yahoo.com که ایمیل صحیح آن john@yahoo.com می باشد.
  • حساب‌های ایمیل منقضی شده : برخی از افراد از حساب‌های ایمیل بلا استفاده و قدیمی و یا نام‌های دامنه منقضی شده به عنوان تله‌های هرزنامه استفاده می‌کنند.
  • لیستهای ایمیل خریداری شده : اغلب حاوی تعداد زیادی آدرس ایمیل نامعتبر هستند که می توانند تله های هرزنامه را ایجاد کنند. علاوه بر این، از آنجایی که فرستنده مجوز ارسال ایمیل به حساب های موجود در لیست را دریافت نکرده است، می توان آنها را به عنوان هرزنامه تلقی کرد و در لیست سیاه قرار داد.

تله هرزنامه شامل backscatter (پیام‌هایی که به اشتباه بصورت خودکار برگشت داده می شوند) و آسیب‌پذیری آدرس‌های ایمیل واقعی نیر هستند که به پیام پاسخ می‌دهند و یا آن را مجددا ارسال یا forward می‌کنند.

پس از افشای تله هرزنامه، اسپمرها می توانند با ارسال محتوای واقعی آن، از آن سوءاستفاده کرده و باعث شوند که تله هرزنامه کارایی خود را از دست بدهد. خطر دیگر این است که برخی افراد ممکن است به یک آدرس ایمیلی ارسال کنند بدون اینکه متوجه باشند که تله هرزنامه است. اشتباهات تصادفی با یک تله هرزنامه می تواند به شما و سازمانتان آسیب برساند. به عنوان مثال یک ISP ممکن است آدرس IP شما را مسدود یا در لیست سیاه قرار دهد و همچنین شرکت هایی که از پایگاه داده های ضد هرزنامه استفاده می کنند ایمیل های شما را فیلتر نمایند.

 

منبع: imperva.com

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *