هانی نت ها بصورت ساده مجموعه ای از هانی پاتها هستند که طراحی آن ها بصورتی است که شبیه به سرویسها و سرورهای تحت شبکه به نظر میرسند. به عنوان مثال ممکن است شما هانی پاتی داشته باشید که خود را شبیه به یک دومین کنترلر (DC) نشان دهد یا هانی پات دیگر خود را بجای یک وب سرور اینترنتی، میل سرور و یا سرورهای دیگر جا بزند. هانی نت ها میتوانند از هانی پات های قوی، ضعیف و یا ترکیبی از ایندو تشکیل شوند. هانی نت ها معمولا در پشت سیستمی که اصطلاحا “Honeywall” نامیده میشوند، پیاده سازی میشوند. هانیوال یک مسیر bridge شده را برای هانی نت ایجاد کرده و قابلیت های مانیتورینگ شبکه، کپچر کردن بستهها و IDS/IPS را از خود ارائه میدهد.
مزیت های استفاده از هانی پاتها در شبکههای SCADA
نکته: شبکه های (SCADA (Supervisory Control and Data Acquisition، شبکه هایی هستند که در آن ها از تجهیزاتی استفاده میشود که از آن ها در امر کنترل و نظارت بر داده ها استفاده میشود.
مزیت های مختلفی در استفاده از هانی پاتها در شبکه های SCADA به عنوان سپری در مقابل سایر اقدامات پیشگیرانه امنیتی وجود دارد. یک هانی پات، به تنظیمات فعلی یک شبکه SCADA مانند فایروال و UTM کاری نداشته و نیازی به اضافه کردن دیوایسی بر روی مسیر شبکه ندارد. چون که نصب دیوایس بر روی مسیر شبکه مستلزم قطعی هرچند کوتاه مدت شبکه است و بسته به نوع معماری شبکه، ممکن است حتی بجای مفید بودن، نقطه انفصال شبکه نیز محسوب شود.
هانی پات خیلی ساده مانند دیوایس های دیگر به شبکه اضافه میشود و طوری تنظیم میشود تا سرویس هایی را اجرا کند تا بدینوسیله شبیه دیگر دیوایس های موجود در شبکه SCADA، بنظر برسد. بخاطر آن که هانی پات مستقیما روی مسیر شبکه قرار نگرفته و واقعا مانند IPS جلوی ترافیک آلوده را نمیگیرد، سبب میشود که تا حد بسیار زیادی از کاهش کارایی شبکه بکاهد.
مزیت دیگری که هانی پات دارد، اینست که طوری پیکربندی میشود که شبیه به دیوایس های خاصی در یک شبکه SCADA به نظر برسد. به همین علت اجباری نیست که حتما هانی پات شبیه به یک سرویس IIS روی ویندوز، یک سرویس OpenSSH روی لینوکس و یا حتی سرویس تلنت روی یک روتر سیسکو باشد. میتوان طوری هانی پات را ساختاربندی کرد که شبیه به یک سیستم گرمایشی، تهویه و سرمایشی (HVAC)، سیستم کنترل دسترسی ساختمان (BACS) یا سیستم کنترل صنعتی (ICS) نقش بازی کند. این قابلیت این امکان را میدهد تا بتوان حملاتی را که بطور خاص زیرساخت شبکه را هدف گرفتهاند، مانیتور کرد. در کنار تمام مزیت های موجود، هانی پات ها یک مشکل عمده دارند: سیستم، عملی که رخ داده است، را مانیتور کرده و الارم میدهد. بر خلاف یک IPS، یک هانی پات نمیتواند بطور خودکار جلوی حملات را بگیرد.
هانی پات های (Honeypots) موجود در شبکههای SCADA
نمیتوان گفت که استفاده از هانی پات برای کمک به امن کردن یک شبکه SCADA، کاملا یک ایده جدید و نو است. چون Pothamesty و Franz از شرکت سیسکو پیش از این در سال 2004 این ایده را مطرح کرده و پروژه SCADA Honeypot را استارت زدند. هدف آنها ایجاد و شبیه سازی ماژولی بود که بتواند با Honeyd کار کند و یک کنترلر منطقی قابل برنامه ریزی (PLC) باشد که بطور خاص بتوان از کامپیوتر برای کنترل آن استفاده کرد. در این مرحله پروتکل های خاصی شبیه به FTP ،HTTP ،Modbus TCP و Telnet شبیه سازی شدند. Modbus، پروتکل ارتباطات سریالی است که در PLC ها برای ایجاد ارتباط با دیگر دیوایس های الکترونیک صنعتی، در سال 1979 توسعه داده شده است. این پروژه جالب، امروزه نیز میتواند در شبیه سازی PLC ها هنوز بکار رود و این در حالی است که از سال 2005 به بعد هیچ آپدیتی بروی سورس کد آن انجام نشده است.
شرکت تحقیقاتی و امنیتی Digital Bond دیگر شرکتی است که یک SCADA Honeynet، شامل دو ویرچوال ماشین را ساخته و آن ها را در سال 2014 قابل استفاده عموم کرده است. یکی از ویرچوال ماشین ها زمانی که هانیوال به منظور مانیتور ترافیک شبکه اجرا میشود، به عنوان یک PLC Honeypot عمل میکند. این نکته هم فراموش نشود که هانیوال علاوه بر این میتواند یک هانی پات با ریسک بالا که در فرم یک PLC واقعی کار میکند را مانیتور کند. در این پروژه بر روی هانیوال، شرکت Digital Bond یک snort IDS و تعدادی از signature های مخصوص PLC را نیز قرار داده است. سرویس هایی که در این پروژه شبیه سازی شدهاند شامل FTP، Telnet، HTTP، SNMP و Modbus TCP است. آخرین نسخه هانی نت که نوشته شده است، 0.8 و مربوط به سال 2011 است.
دیگر SCADA Honeypot ای که اخیرا تولید شده است، مربوط به شرکت Conpot است که یک Simens SIMATIC S7-200 PLC را شبیه شازی کرده است. این PLC شامل پروتکل های Modbus TCP، SNMP و HTTP است. این پروژه وابسته به پروژه هانی نت است و میتواند طوری کانفیگ شود که گزارش داده های اتک را گرفته و به پروژه برگرداند. این گزارش دهی به منظور تحقیق درباره نحوه عملکرد حملات گسترده انجام میشود.
نویسنده: احسان امجدی
