لا تملك حساب؟
مقالات أمن المعلومات
ماهو الـ honeypot print email
تصنيفات: الجرائم الإلكترونية والأدلة الجنائية الإلكترونيةأمن الشبكات
تقييم المستخدمين: / 2
سيئجيد 
الكاتبة: بدور بنت محمد بن سليمان محمد سلمه

 

pdf

 

 

 

 

 

مقدمة:

في أيامنا هذه، ارتبطت غالبية دول العالم بالانترنت، فازدادت الأخطار التي تتعرض لها شبكات البيانات الخاصة بمستخدميه وذلك بسبب ضعف الجانب الأمني لتلك الشبكات، والتي قد تمكن الدخلاء من استغلال الثغرات الأمنية فيها وبالتالي سرقة المعلومات أو تدميرها.

قد يكون أمر منع المخترقين والدخلاء نهائيا شيء مستحيل، فلذلك وجد حل تضليلهم أمرا مهما جدا وهذا ما سيتناوله المقال وهو الحديث عن أنظمة وعاء العسل التي تستخدم كأحد الحلول لزيادة المستوى الأمني للشبكات.

 

نظرة عامة:

أنظمة وعاء العسل (Honeypot Systems) عبارة عن خوادم خادعة أو أنظمة إعداد لجمع المعلومات المتعلقة بالمهاجم أو الدخيل على نظامك، ومن المهم أن نتذكر أن الـ Honeypots  لا تحل محل أنظمة الانترنت الأمنية التقليدية الأخرى، بل هي مستوى أو نظام يضاف لزيادة الحماية.

يمكن إعداد الـ Honeypots  داخل، خارج، أو في المنطقة المجردة من السلاح (DMZ) من تصميم الجدار الناري(Firewall) أو حتى في أي موقع كان في الشبكة بالرغم من أنها غالبا يتم إعدادها داخل الجدار الناري لأغراض التحكم والمراقبة. وعاء العسل يعتبر تنويعات مختلفة لأنظمة كشف الهوية (IDS) ولكن بتركيز أكثر على جمع المعلومات والمخادعة.

 

مثال(1) يوضح الـ Honeypot Systems المثبتة في التصميم التقليدي لحماية الانترنت:

 

 honeypot-system

مثال(1)

 

يتم إعداد الـ Honeypot بطريقة ما بحيث يكون أسهل للمتسللين اختراقه من الأنظمة الحقيقية ولكن مع بعض التعديلات الطفيفة بحيث يمكن تسجيل نشاطهم لتتبعه، ويعتقد عموما أنه بمجرد متسلل اخترق النظام، فإنه سيعود مرة أخرى بزيارات لاحقة، ومن خلال هذه الزيارات، من الممكن جمع معلومات إضافية . كما أن محاولات المتسلل في اختراق ملف أو نظام موجود على الـ Honeypot ، يمكن رصدها وحفظها.

عامة، هناك سببين أو هدفين لإنشاء الـ Honeypot:

1. معرفة كيف قام الدخلاء بمحاولة الوصول إلى الأنظمة الخاصة بك. الفكرة العامة

هي أنه بمجرد أن يقوم الدخيل بمحاولة القيام بأي نشاط فإنه يتم تسجيله في السجل الخاص

بأنشطته، وبالتالي يمكن الحصول على معلومات حول منهجيات الاختراق المستخدمة

التي يمكن أن يتفاداها الشخص لحماية النظام الحقيقي الخاص به.

2. جمع الأدلة الجنائية المطلوبة للمساعدة في اعتقال أو مقاضاة الدخلاء. هذا النوع من المعلومات يساعد في دعم مسئولي القانون بالتفاصيل اللازمة للمقاضاة.

عند العزم على إنشاء الـ Honeypot، يجب الوضع في عين الاعتبار أنه هناك فكرة مشتركة وهي أنه من المقبول استخدام الكذب والخداع عند التعامل مع المتسللين، أي أنه عند إنشائها، هناك أهداف معينة لابد النظر فيها.

 

وهذه الأهداف هي:

 

1. يجب أن يظهر نظام وعاء العسل بصورة عامة ومعروفه قدر الإمكان. فإذا كنت تقوم

بنشر نظام مايكروسوفت ان تي، فإنه يجب أن يظهر للدخيل المحتمل أن النظام لم يتم التعديل عليه، كما انه من الممكن فصل الاتصال قبل أن يقوم الدخيل بجمع معلومات أكثر.

2. يجب عليك ضرورة توخي الحذر في ما تسمح به للدخيل عند إعادة الإرسال إلى شبكة الإنترنت لأنك لا تريد أن تصبح نقطة انطلاق للهجمات ضد الكيانات الأخرى على الشبكة.

(وهذا أحد الأسباب لتركيب وعاء العسل داخل الجدار الناري!)

3. أنت تريد أن تجعل نظام الـHoneypot  الخاص بك مثير للاهتمام وذلك يكون بوضع معلومات وهمية أو جعله يبدو كما لو أن الدخيل قد عثر على خادم الشبكة الخارجية أو غيره.

 

يجب أن تتوقع أنك ستقضي فترة من الوقت لجعل "وعاء العسل" الخاص بك أن يظهر بصورة مشروعة بحيث يقضي المتسللون وقت كافي لاكتشاف النظام والتحقق منه

وبهذه الطريقة يمكنك جمع أدلة جنائية كافية قدر الإمكان لمقاضاتهم.

 

 

مستويات التعقب:

المعلومات المقدمة عن متسلل ما تعتمد على مستويات التتبع التي قمت بتمكينها

على "وعاء العسل" الخاص بك. إن مستويات التتبع أو التعقب المعروفة تشمل الجدار الناري، سجلات النظام على "وعاء العسل" و sniffer-based tools.

 

 

والآن نقوم بتفصيل كل مستوى على حده.

 

سجلات الجدار الناري:

 

الجدران النارية مفيدة كجزء من تصميم وعاء العسل عموما لأسباب عديدة. معظم الجدران النارية توفر القدرة على تسجيل النشاطات التي يقوم بها المتسللون والتي يمكن استخدامها لتحديد كيفية المتسلل القيام بمحاولة الوصول إلى وعاء العسل. عند إقامة الجدار الناري، يجب التذكر أنك تريد تسجيل جميع الحزم (packets) الداخلة إلى نظام "وعاء العسل"، وبالتالي من المفترض أن لا يكون هناك سبب شرعي للمرور من وإلى الـ Honeypot.

 

إعادة النظر في الترتيب، والتسلسل، والزمن ونوع الحزم التي استخدمها المتسلل للوصول إلى وعاء العسل، سوف يساعدك على تحديد الأدوات والمنهجية المستخدمة من قبل الدخلاء ونواياهم (التخريب، وسرقة البيانات، الخ). وبالاعتماد على المعلومات المتضمنة في سجلات الجدار الناري الخاص بنظامك فإنه من الممكن أو غير الممكن الحصول على المعلومات التي قد تساعدك في الحماية.

 

وظيفة أخرى مفيدة تقوم بها كثير من الجدران النارية وهي قدرتها على الإخطار. معظم الجدران النارية يمكن تهيئتها لإرسال تنبيهات عبر البريد الإلكتروني أو أجهزة النداء (كالبيجر) لإعلامك بمن يقوم بالمرور من وإلى نظام "وعاء العسل" الخاص بك. هذا يمكن أن يكون مفيدا للغاية في السماح لك باستعراض نشاط الدخيل أثناء حدوثه.

 

سجلات النظام:

 

يعتبر كلا من يونيكس ومايكروسوفت ان تي مشتركة في أسواق توفير خوادم الانترنت. لحسن الحظ، كلا أنظمة التشغيل توفر سجلات لرصد الأنشطة مبنية في الأساس داخل أنظمة التشغيل الخاصة بهما، والتي تساعد في تسجيل جميع التغييرات والمحاولات التي تحدث بها. وتجدر الإشارة إلى أن يونيكس توفر قدرات تسجيل متفوقة مقارنة مع مايكروسوفت ان تي.

 

بعض قدراتهما في التسجيل تشمل:

 

مايكروسوفت ان تي (Microsoft NT):

 

أ‌)       الحماية (security): متاح من عارض الأحداث (Event viewer).

ب‌)    إدارة المستخدم(User Management): تحتاج إلى تمكين هذه الخاصية من خلال User manager.

ج) خدمات التشغيل (Running Services): Netsvc.exe يحتاج إلى تشغيله يدويا.

 

 

يونيكس (Unix):

 

أ‌)       سجلات نشاط المستخدم(User activity logs): utmp، wtmp، btmp، lastlog، والرسائل.

ب‌)    Syslogd: خيار مهم وهو أنه يمكن تسجيل الدخول إلى ملقم بعيد. إن المجال الذي يقدمه من خلال إتاحته لبعض الخدمات والأوليات جيد جدا.

 

هناك أيضا العديد من الأدوات المتاحة التي تزيد كثيرا من المعلومات التي يمكن جمعها. العديد من أدوات يونيكس تعتبر مجال عام (public domain)، بعكس مايكروسوفت ان تي.

 

 

أدوات الشم(Sniffer Tools)

أدوات الشم توفر القدرة على رؤية كل المعلومات أو الحزم المتنقلة بين الجدار الناري ونظام "وعاء العسل". معظم أدوات الشم المتاحة قادرة على فك حزم الـ tcp مثل التلنت ((Telnet، HTTP، وSMTP. استخدام أداة الشم يسمح لك بالحصول على تفاصيل لتحديد الأساليب التي يحاول المتسلل استخدامها للاختراق أكثر مما قد يوفرها الجدار الناري أو سجلات النظام وحدها.

فائدة إضافية لأدوات الشم هي أنه يمكن أيضا إنشاء وتخزين ملفات السجل. كما يمكن لملفات السجل أن تخزن وتستخدم لأغراض جنائية.

 

حلول الـ Honeypot

تنفيذ حل الـ oneypot كجزء من النظام الأمني يتعلق بالقرار ما إذا كنت تريد الحصول على حل تجاري متواجد أو تصميم الـ honeypot  الخاص بنظامك.

 

بناء الـ Honeypot:

هناك مجموعة متنوعة من أدوات المجال العام(public domain)، والبرمجيات (software) المتاحة والتي يمكن أن تكون مفيدة لمساعدتك في إعداد الـ Honeypot. كذلك هناك العديد من المواقع على الانترنت المكرسة كدليل مساعد لك خلال هذه العملية. في حين أن معظم الأدوات نشأت على منصة يونيكس ، إلا أن الكثيرين قد اتجهوا إلى مايكروسوفت إن تي.

 

ما ستحتاجه لإنشاء الـ Honepot System الخاص بك

هو الحد الأدنى من العناصر التالية مع الوضع في الاعتبار الوقت الكافي لتكوينه:

1. محطة عمل (Workstation) أو جهاز حاسب آلي.

2. نظام تشغيل (Operating System)

3. حزمة Sniffer

 

 

أنظمة الـ Honeypot التجارية:

هناك مجموعة متنوعة من نظم وعاء العسل التجارية المتاحة، وتعتبر مايكروسوفت ان تي ويونيكس أنظمة التشغيل الأكثر تأييدا عن غيرهما.

وبالرغم من أن الكثير من المنتجات التجارية قد أطلقت قبل 12 - 18 شهر، إلا أن بعضها

لا يزال في إصدار مبكر نسبيا.

 

بعض أنظمة الـ Honeypot التجارية المتوفرة هي:

1.Network Associates, Cybercop Sting

2.Tripwire, Tripwire

3.Fred Cohen and Associates, Deception Toolkit

4.Recourse Technologies, ManTrap

 

الخلاصة:

 

تعتبر أنظمة "وعاء العسل" أحد الحلول لزيادة المستوى الأمني للشبكة، كما أن بإمكانك من خلالها إثبات إدانة المخترق من خلال الأدلة التي توفرها هذا الأنظمة والتي تثبت على المخترق جريمته.

 

المراجع:

http://www.sans.org/security-resources/idfaq/honeypot3.php

كلمات رئيسية (مفتاحية):

أوعية العسل، Honeypot، نظام وعاء العسل، نظام حماية

 

 

أنظمة الصوت عبر الإنترنت (VoIP) المشاكل الأمنية الخاصة بها وطرق الحماية< السابق   التالي >مقدمة حول الشبكات السلكية وأنواعها
  لا يتحمل المركز ما يُكتب في المقالات المنشورة و يتحمّل كاتب المقال المسئولية الكاملة حول حفظ الحقوق الملكية.