چگونه نفوذگران را فريب دهيم؟(بخش دوم)

نام نویسنده: حسن تكابى

همکاران سیستم – در بخش اول اين مقاله به Honeypotها، کاربردها و محل قرار گرفتن­شان در شبکه پرداختيم. در اين بخش انواع مختلف Honeypot و ويژگي­هاى هرکدام را بررسى مي­کنيم.

تقسيم­بندى Honeypotها از نظر کاربرد

از ديدگاه کاربرد و استفاده­اى که قرار است از سيستم شود Honeypotها به دو دسته تقسيم مي­شوند :

Production Honeypot : اين نوع سيستم وقتى که سازمان مي­خواهد شبکه و سيستم­هايش را با کشف و مسدود کردن نفوذگران حفاظت کند و نفوذگر را از طريق قانونى در دادگاه مورد پيگرد قرار دهد، مورد استفاده قرار مي­گيرد.
Research Honeypot : اين نوع سيستم وقتى که سازمان مي­خواهد فقط امنيت شبکه و سيستم­هاى خود را با آموختن روش­هاى نفوذ، منشا نفوذ، ابزارها و exploitهاى مورد استفادة نفوذگر مستحکم­تر کند، استفاده مي­شود.
بسته به هدف سازمان و اين که از يک Honeypot چه مي­خواهيد، مي­توانيد يکى از دو نوع Honeypot ذکر شده را انتخاب کنيد.

تقسيم­بندى Honeypotها از نظر ميزان تعامل با نفوذگر

Honeypotها از لحاظ ميزان تعامل و درگيرى با نفوذگر به سه دسته تقسيم مي­شوند :

دستة اول : Honeypot با تعامل کم[1] دستة دوم : Honeypot با تعامل متوسط[2] دستة سوم : Honeypot با تعامل زياد[3]

Honeypot با تعامل کم

در دستة اول، بر روى ماشين سرويس­هاى جعلى و ابتدايى مشخصى مثل Telnet و Ftp نصب مي­شود. اين سرويس­ها با استفاده از پروسه­اى که روى درگاه مشخصى گوش مي­کند، پياده­سازى مي­شوند. نفوذگر فقط قادر است با اين سرويس­ها ارتباط برقرار کند. به عنوان مثال يک Honeypot با تعامل کم مي­تواند شامل يک Windows 2000 Server به همراه سرويس­هايى مثل Telnet و Ftp باشد. يک نفوذگر مي­تواند ابتدا با استفاده از Telnet روى Honeypot نوع سيستم عامل آن را تشخيص دهد، سپس با يک صفحة ورود روبرو مي­شود. نفوذگر دو راه براى دسترسى به Honeypot دارد يکى ورود به زور[4] و ديگرى حدس زدن کلمة عبور[5]. Honeypot مي­تواند تمام تلاش­هاى نفوذگر را جمع­آورى کند.

متن کامل این مقاله را در سایت مشورت همکاران بخوانید