هانی نت Honeynet چیست؟

1 1,192
Telegram_GEEKBOY

هانی نت ها بصورت ساده مجموعه ای از هانی‌ پات‌ها هستند که طراحی آن ها بصورتی است که شبیه به سرویس‌ها و سرورهای تحت شبکه به نظر میرسند. به عنوان مثال ممکن است شما هانی‌ پاتی داشته باشید که خود را شبیه به یک دومین کنترلر (DC) نشان دهد یا هانی پات دیگر خود را بجای یک وب سرور اینترنتی، میل سرور و یا سرورهای دیگر جا بزند. هانی نت ها میتوانند از هانی‌ پات های قوی، ضعیف و یا ترکیبی از ایندو تشکیل شوند. هانی نت ها معمولا در پشت سیستمی که اصطلاحا “Honeywall” نامیده میشوند، پیاده سازی میشوند. هانی‌وال یک مسیر bridge شده را برای هانی نت ایجاد کرده و قابلیت های مانیتورینگ شبکه، کپچر کردن بسته‌ها و IDS/IPS را از خود ارائه می‌دهد.

مزیت های استفاده از هانی‌ پات‌ها در شبکه‌های SCADA

نکته: شبکه های (SCADA (Supervisory Control and Data Acquisition، شبکه هایی هستند که در آن ها از تجهیزاتی استفاده میشود که از آن ها در امر کنترل و نظارت بر داده ها استفاده میشود.

مزیت های مختلفی در استفاده از هانی‌ پات‌ها در شبکه های SCADA به عنوان سپری در مقابل سایر اقدامات پیشگیرانه امنیتی وجود دارد. یک هانی‌ پات، به تنظیمات فعلی یک شبکه SCADA مانند فایروال و UTM کاری نداشته و نیازی به اضافه کردن دیوایسی بر روی مسیر شبکه ندارد. چون که نصب دیوایس بر روی مسیر شبکه مستلزم قطعی هرچند کوتاه مدت شبکه است و بسته به نوع معماری شبکه، ممکن است حتی بجای مفید بودن، نقطه انفصال شبکه نیز محسوب شود.

هانی‌ پات خیلی ساده مانند دیوایس های دیگر به شبکه اضافه میشود و طوری تنظیم میشود تا سرویس هایی را اجرا کند تا بدینوسیله شبیه دیگر دیوایس های موجود در شبکه SCADA، بنظر برسد. بخاطر آن که هانی‌ پات مستقیما روی مسیر شبکه قرار نگرفته و واقعا مانند IPS جلوی ترافیک آلوده را نمیگیرد، سبب میشود که تا حد بسیار زیادی از کاهش کارایی شبکه بکاهد.

hpot-web-new-4

مزیت دیگری که هانی پات دارد، اینست که طوری پیکربندی میشود که شبیه به دیوایس های خاصی در یک شبکه SCADA به نظر برسد. به همین علت اجباری نیست که حتما هانی پات شبیه به یک سرویس IIS روی ویندوز، یک سرویس OpenSSH روی لینوکس و یا حتی سرویس تلنت روی یک روتر سیسکو باشد. میتوان طوری هانی پات را ساختاربندی کرد که شبیه به یک سیستم گرمایشی، تهویه و سرمایشی (HVAC)، سیستم کنترل دسترسی ساختمان (BACS) یا سیستم کنترل صنعتی (ICS) نقش بازی کند. این قابلیت این امکان را میدهد تا بتوان حملاتی را که بطور خاص زیرساخت شبکه را هدف گرفته‌اند، مانیتور کرد. در کنار تمام مزیت های موجود، هانی پات ها یک مشکل عمده دارند: سیستم، عملی که رخ داده است، را مانیتور کرده و الارم میدهد. بر خلاف یک IPS، یک هانی پات نمیتواند بطور خودکار جلوی حملات را بگیرد.

هانی پات های (Honeypots) موجود در شبکه‌های SCADA

نمیتوان گفت که استفاده از هانی پات برای کمک به امن کردن یک شبکه SCADA، کاملا یک ایده جدید و نو است. چون Pothamesty و Franz از شرکت سیسکو پیش از این در سال 2004 این ایده را مطرح کرده و پروژه SCADA Honeypot را استارت زدند. هدف آن‌ها ایجاد و شبیه سازی ماژولی بود که بتواند با Honeyd کار کند و یک کنترلر منطقی قابل برنامه ریزی (PLC) باشد که بطور خاص بتوان از کامپیوتر برای کنترل آن استفاده کرد. در این مرحله پروتکل های خاصی شبیه به FTP ،HTTP ،Modbus TCP و Telnet شبیه سازی شدند. Modbus، پروتکل ارتباطات سریالی است که در PLC ها برای ایجاد ارتباط با دیگر دیوایس های الکترونیک صنعتی، در سال 1979 توسعه داده شده است. این پروژه جالب، امروزه نیز میتواند در شبیه سازی PLC ها هنوز بکار رود و این در حالی است که از سال 2005 به بعد هیچ آپدیتی بروی سورس کد آن انجام نشده است.

شرکت تحقیقاتی و امنیتی Digital Bond دیگر شرکتی است که یک SCADA Honeynet، شامل دو ویرچوال ماشین را ساخته و آن ها را در سال 2014 قابل استفاده عموم کرده است. یکی از ویرچوال ماشین ها زمانی که هانی‌وال به منظور مانیتور ترافیک شبکه اجرا میشود، به عنوان یک PLC Honeypot عمل میکند. این نکته هم فراموش نشود که هانی‌وال علاوه بر این میتواند یک هانی پات با ریسک بالا که در فرم یک PLC واقعی کار میکند را مانیتور کند. در این پروژه بر روی هانی‌وال، شرکت Digital Bond یک snort IDS و تعدادی از signature های مخصوص PLC را نیز قرار داده است. سرویس هایی که در این پروژه شبیه سازی شده‌اند شامل FTP، Telnet، HTTP، SNMP و Modbus TCP است. آخرین نسخه هانی‌ نت که نوشته شده است، 0.8 و مربوط به سال 2011 است.

دیگر SCADA Honeypot ای که اخیرا تولید شده است، مربوط به شرکت Conpot است که یک Simens SIMATIC S7-200 PLC را شبیه شازی کرده است. این PLC شامل پروتکل های Modbus TCP، SNMP و HTTP است. این پروژه وابسته به پروژه هانی‌ نت است و میتواند طوری کانفیگ شود که گزارش داده های اتک را گرفته و به پروژه برگرداند. این گزارش دهی به منظور تحقیق درباره نحوه عملکرد حملات گسترده انجام می‌شود.

نویسنده: احسان امجدی

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.