کندو

هانی ‏پات سیستم امنیتی نسبتاً جدیدی است که بسته به نیاز می تواند برای مقاصد و کاربردهای متفاوتی مورد استفاده قرار گیرد. برای مثال می توان از هانی‏پات برای کشف و بررسی حملات نفوذگران، کشف بدافزارها، آگاهی از آسیب پذیریها و ضعفهای جدید، فریب دادن نفوذگران و کند کردن روند حملات استفاده کرد. به طور کلی هانی‏پات را می توان به این صورت تعریف کرد: “هانی‏پات یک ابزار امنیتی است که ارزش آن در کشف و بررسی شدن، مورد حمله قرار گرفتن و به خطر افتادن است”.
اساس کار هانی‏پات مبتنی بر فریب دادن نفوذگر یا Deception است. در واقع ما با استفاده از هانی‏پات، با در معرض خطر قرار دادن یک یا چند سیستم آسیب پذیر یا به ظاهر آسیب پذیر (شبیه سازی شده)، منتظر حمله به این سیستمها می شویم و هر گونه فعالیتی بر روی آنها را به عنوان عملی مشکوک یا حمله در نظر می گیریم. از آنجا که هانی‏پات هیچ کاربرد عملیاتی در سازمان ندارد، هر فعالیتی که بر روی آن انجام شود و یا هر ترافیک ورودی و خروجی از آن می تواند نشان دهنده حمله باشد. از این رو، هانی‏پاتها تشخیص غلط یا False Positive بسیار کمتری نسبت به سیستم های کشف نفوذ (IDS) دارند.
هانی‏پات را می توان بر اساس سطح تعاملش با نفوذگر به دو دسته High-Interaction و Low-Interaction تقسیم کرد. هانی‏پات High-Interaction یک سیستم واقعی را برای تعامل با نفوذگر فراهم می کند. در مقابل، هانی‏پات Low-Interaction فقط بعضی از قسمتهای یک سیستم را شبیه سازی می کند، برای مثال شبیه سازی یک آسیب پذیری یا سرویس خاص. هانی‏پات High-Interaction می تواند به طور کامل مورد تهاجم واقع شود و در صورتی که نفوذگر به هانی‏پات دسترسی کامل بگیرد، می تواند از آن برای حمله به شبکه و سایر سیستمها استفاده کند. اما همانطور که اشاره شد، در هانی‏پات Low-Interaction سرویسها یا آسیب پذیریهای سیستم شبیه سازی شده است و در نتیجه نمی تواند به راحتی مورد نفوذ کامل قرار گیرد. بنابراین ریسک استفاده از این هانی‏پات بسیار کمتر از نوع High-Interaction است. علاوه بر این، پیاده –سازی و نگهداری هانی‏پات High-Interaction و شناسایی حملات بر روی آن بسیار مشکل است و معمولاً فقط سازمانهای تحقیقاتی و امنیتی از آن استفاده می کنند.

ویژگی ها و مزایا

• امکان پیاده سازی به صورت مستقل و توزیع شده: در حالت مستقل، سیستم مدیریت و پیکربندی همراه با سنسور هانی‏پات بر روی یک تجهیز سخت افزاری پیاده سازی شده است. در مدل پیشرفته این محصول که دارای معماری توزیع شده است، سرور مدیریت و سنسورهای هانی‏پات در تجهیزات مجزایی پیاده سازی شده است. در این حالت، سنسورهای هانی‏پات می توانند به صورت توزیع شده در شبکه محلی یا شبکه گسترده (WAN) پیاده سازی شوند.
• مدیریت و پیکربندی متمرکز سنسورهای هانی‏پات: در صورتی که سنسورهای هانی‏پات به صورت توزیع شده پیاده سازی شوند، امکان مدیریت و پیکربندی متمرکز آنها از طریق رابط کاربری گرافیکی وجود دارد. امکان فعال یا غیرفعال کردن هر کدام از سرویس های هانی‏پات بر روی هر سنسور به طور مجزا وجود دارد. همچنین، در صورت تغییر آدرس IP سرور مدیریت هانی‏پات، این تغییر به طور خودکار به تمام سنسورها اعمال شده و در نتیجه لاگ حملات به آدرس جدید سرور مدیریت ارسال خواهد شد.
• نمایش بلادرنگ حمله های شناسایی شده: حمله ها، ارتباطات و بدافزارهای شناسایی شده در تمام سنسورهای توزیع شده، به صورت بلادرنگ و از طریق پروتکل امن به سرور مدیریت مرکزی منتقل شده و قابل مشاهده و تحلیل است.
• ارسال فایلهای بدافزار و دیگر فایلهای مربوط به حمله به سرور مرکزی: امکان ارسال بلادرنگ این فایلها از سنسورهای توزیع شده هانی‏پات به سرور مدیریت مرکزی وجود دارد. اما به منظور بهینه کردن و کاهش ارتباطات شبکه و حجم داده های انتقالی، امکان Sync کردن به صورت دستی و همچنین زمانبندی شده نیز به سیستم اضافه شده است (لازم به ذکر است که لاگهای سنسورها، مستقل از این فایلها و به صورت بلادرنگ در سرور مرکزی ثبت می شوند).

• سرویس های شبیه سازی شده: در هانی‏پات کندو، پروتکل های SSH، SMB، SIP (VoIP)، MySQL، MSSQL، HTTP/HTTPS، FTP و TFTP که از پرکاربردترین پروتکل های شبکه هستند شبیه سازی شده و حمله های انجام شده به این پروتکل ها با جزئیات کامل قابل مشاهده و گزارش گیری است. امکان اضافه کردن سرویس های جدید هم بنا به درخواست وجود دارد. استفاده از رویکرد شبیه سازی سرویس، ریسک پیاده سازی هانی‏پات را تا حد زیادی کاهش داده است. همچنین به دلیل شبیه سازی سرویس (در مقابل شبیه سازی آسیب پذیری)، امکان کشف حملات جدید و ناشناخته هم وجود دارد.

• گزارش گیری و ذخیره رخدادها در قالب های مختلف: امکان گزارش گیری کامل از حمله ها همراه با قابلیت رسم دیاگرام و نمایش اطلاعات آماری مختلف و ذخیره رخدادها در قالبهای مختلف از جمله PDF و IDMEF وجود دارد.

• شناسایی تمام ارتباطات ورودی به هانی‏پات: علاوه بر پروتکل های شبیه سازی شده مذکور، سیستم هانی ‏پات تمام ارتباطات ورودی به پورت های دیگر را نیز گزارش می کند. اما اطلاعات ثبت شده در مورد این ارتباطات فقط به آدرس IP مبدا و مقصد، پورت مبدا و مقصد و زمان ارتباط خلاصه می شود.
• شبیه سازی ساختار فایل سیستم لینوکس: در پشت سرویس SSH هانی‏پات کندو، فایل سیستم لینوکس دبیان شبیه سازی شده و امکان تعامل کامل نفوذگر با خط فرمان وجود دارد. نفوذگر بعد از ورود به سیستم از طریق پروتکل SSH (حدس زدن کلمه عبور یا Bruteforce /Dictionary ) می تواند با خط فرمان لینوکسی و دستورات شبیه سازی شده آن کار کند.
• بازپخش نشست های SSH: نشست SSH که شامل تمام تعاملات نفوذگر با خط فرمان شبیه سازی شده هانی‏پات است، در فایلی ذخیره شده و امکان پخش مجدد و مشاهده آن در رابط کاربری تحت وب وجود دارد.
• ذخیره جریان ترافیک حمله ها و امکان اجرای مجدد: جریان شبکه مربوط به حمله های شناسایی شده در فایل هایی با حجم کم (در قالب پایتون) ذخیره شده و امکان اجرای مجدد آن ها برای تحلیل بیشتر وجود دارد.
• تشخیص کدهای مخرب: برای کدهای نفوذی که با موفقیت بر روی سرویس های هانی‏پات اجرا می شوند، امکان تشخیص کد مخرب (Shellcode) نیز وجود دارد.

• جمع آوری و ذخیره بدافزار: هانی‏پات کندو قادر است که بدافزارهای فعال در شبکه، که به قصد آلوده کردن هانی‏پات با آن تعامل می کنند را جمع آوری و ذخیره کند.
• پویش بدافزارهای جمع آوری شده: قابلیت پویش خودکار بدافزارها توسط بیش از 40 آنتی ویروس مختلف و نمایش نتایج در قسمت جزئیات بدافزار وجود دارد (استفاده از سرویس VirusTotal). امکان استفاده از سیستم های Multi-AV دیگر (آنلاین یا محلی) نیز برای پویش بدافزار وجود دارد.
• ارسال بدافزار به سیستم های تحلیل بدافزار: امکان ارسال خودکار بدافزارهای جمع آوری شده به سیستم های تحلیل بدافزار (Sandbox) آنلاین و محلی، و همچنین نمایش نتایج تحلیل در قسمت جزئیات بدافزار وجود دارد.
• نمایش حمله ها بر روی نقشه: مبداء حمله های شناسایی شده را می توان بر روی نقشه مشاهده کرد.
• شناسایی کشور و سیستم عامل نفوذگر: در بخش حمله های شناسایی شده، سیستم عامل نفوذگر و کشور مبداء حمله قابل مشاهده است.
• اطلاع رسانی رخدادها: علاوه بر امکان مشاهده حمله ها در رابط تحت وب، امکان اطلاع رسانی رخدادها از طریق ایمیل و همچنین ارسال آنها به سیستم های مدیریت اطلاعات و رخدادهای امنیتی (SIEM) -از طریق Syslog- نیز وجود دارد. قالبهای استفاده شده برای ارسال لاگ، قالبهای استانداری از جمله IDMEF و CEE است.

مزایای هانی‌پات کندو

ذخیره بد افزار

از جمله قابلیت هانی پات کندو می‌توان به ذخیره بدافزار اشاره کرد. این قایلیت اجازه می‌دهد تا تیم امنیت بدافزار دریافت شده را تحلیل کرده و هدف و نحوه عملکرد آن را بدست بیاورد.

مطالعه بیشتر

گزارش‌های متعدد و پیشرفته

سرور مدیریت‌های کندو دارای یک واسط تحت وب بوده که این واسط حاوی گزارش‌های متعددی می‌باشد. از جمله این گزارش‌ها می توان به نمایش بلادرنگ حملات، بازپخش حملات به صورت فیلم برای سرویس SSH، نمایش حملات بر روی نقشه جغرافیایی، گراف حملات و غیره اشاره کرد.

مطالعه بیشتر

معماری

هانی پات کندو دارای سه معماری متمرکز، توزیع شده و سلسله مراتبی برای پیاده سازی است که هر سازمان با توجه به نیاز خود می‌تواند یکی از این سه معماری را اتخاذ کند. معماری توزیع شده یکی از پر کاربردترین پیاده سازی‌ها محسوب می‌شود. در این معماری در هر منطقه‌ی شبکه یک سنسور قرارگرفته که حملات دریافتی را به سرور مدیریت ارسال می‌کند.

مطالعه بیشتر