مركز مديريت امداد و هماهنگي عمليات رخداد رايانه‌اي هشدار داد: نفوذ كرم جاسوس به سيستم‌‌هاي صنعتي كشور خبرگزاري فارس: اخيرا كرم رايانه‌اي Stuxnet، به كمك نرم‌افزار زيمنس اقدام به سرقت اطلاعات موجود در پايگاه داده‌هاي سيستم‌هاي صنعتي ايران مي‌كند. به گزارش خبرگزاري فارس به نقل از مركز مديريت امداد و هماهنگي عمليات رخداد رايانه‌اي (ماهر)، اخيراً يك بدافزار خطرناك به نام Stuxnet در همه كشورهاي جهان و به خصوص ايران گسترش پيدا كرده كه هدف آن ايجاد اختلال در شركت‌ها و سازمان‌هاي مرتبط با زيرساخت‌هاي حياتي مانند نيروگاه‌ها است. بدافزار مذكور با سوءاستفاده از يك حفره امنيتي در ويندوز گسترش پيدا مي‌كند و به دنبال سيستم‌هايي است كه از نرم افزار WinCC Scada كه متعلق به زيمنس است، استفاده مي‌كنند. نرم افزار WinCC Scada معمولاً توسط سازمان‌هاي مرتبط با زيرساخت‌هاي حياتي مورد استفاده قرار مي‌گيرد. بنابر اطلاعات ارائه شده توسط سيمانتك، كرم رايانه‌اي Scada كه هدف آن شركت‌ها و سازمان‌هاي مربوط زيرساخت‌هاي حياتي است، نه تنها به سرقت اطلاعات مي‌پردازد، بلكه يك back door را نيز بر روي سيستم قرباني قرار مي‌دهد تا بتواند از راه دور و به طور مخفيانه كنترل عمليات زيرساخت هاي مذكور را در اختيار گيرد. اين ويروس از طريق درايوهاي USB گسترش پيدا مي‌كند و زماني كه يك آيكون Shortcut بر روي صفحه نمايش قرباني نشان داده مي‌شود، به صورت اتوماتيك اجرا مي‌گردد. اين بدافزار از نام كاربري و كلمه عبوري كه در نرم افزار Siemens به صورت hard-coded وجود دارد، سوءاستفاده مي‌كند؛ همچنين بدافزار جديد از گواهينامه‌هاي معتبر ولي انقضاء يافته Realtek Semiconductor Corporation براي اعتباردهي به درايورهايش استفاده مي‌كند يكي از مشاوران امنيتي Sophos مي گويد: با غيرفعال كردن autorun و autoplay در ويندوز، مي‌توان از آلودگي به rootkit مذكور پيش‌گيري كرد. وي همچنين بدافزار مذكور را يك جاسوس شركتي و يا دولتي معرفي كرده كه تنها قصد آن سرقت اطلاعات است و به محض فعال شدن شروع به ربودن اطلاعات موجود در پايگاه داده‌ها مي‌كند. كرم Stuxnet، شركت‌هاي مربوط به سيستم‌هاي كنترل صنعتي در سراسر جهان را آلوده ساخته است، با اين وجود بنا‌بر گزارش‌هاي دريافت شده، بيشتر آلودگي‌ها در ايران، هند و مالزي مشاهده شده است. به گزارش فارس، صبح امروز معاون برنامه‌ريزي وزير صنايع ورود كرم جاسوس به سيستم‌هاي صنعتي كشور را تأييد كرده است. منبع: http://www.farsnews.com/newstext.php?nn=8905271242 لازم به ذکر است اطلاعات جاسوسی شده توسط این کرم مخرب به سروری نامعلوم در خارج کشور ارسال می شده.

قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهايي قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
يک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتي از فعاليتهاي بي مجوز و نا مشروع جمع آوري مي کند.
البته اين يك تعريف كلي مي باشد كه تمامي گونه هاي مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهاي مختلفي براي Honeypot ها و ارزش امنيتي آنها خواهيم آورد. همه آنها در تعريفي كه ما در بالا آورده ايم مي گنجند ، ارزش دروغين آنها براي اشخاص بدي كه با آنها در تماسند. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.

فوايد Honeypot ها

Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.

1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.

2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.

3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.

4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.

مضرات Honeypot ها

شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.

1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.

2- ريسك : همه تكنولوژيهاي امنيتي داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.

چگونگي و شيوه به كار بردن Honeypot ها مي باشد كه ارزش و فوايد و مضرات آنها را مشخص مي كند. در ادامه بيشتر روي آن بحث خواهد شد.
انوع Honeypot ها

Honeypot ها در اندازه و شکلهاي مختلفي هستند و همين امر باعث شده است که فهم آنها کمي مشکل شود. براي اينکه بتوان بهتر آنها را فهميد همه انواع مختلف آنها را در دو زير مجموعه آورده ايم:

1- Honeypot هاي کم واکنش

2- Honeypot هاي پرواکنش

اين تقسيم بندي به ما کمک مي کند که چگونگي رفتار آنها را بهتر درک کنيم. و بتوانيم به راحتي نقاط ضعف و قدرت آنها و توانايي ها يشان را روشن تر کنيم. واکنش در اصل نوع ارتباطي که يک نفوذگر با Honeypot دارد را مشخص مي کند.

Honeypot هاي کم واکنش داراي ارتباط و فعاليتي محدود مي باشند.آنها معمولا با سرويسها و سيستم هاي عامل را شبيه سازي شده کار مي کنند. سطح فعاليت يک نفوذگر با سطحي از برنامه هاي شبيه سازي شده محدود شده است. به عنوان مثال يک سرويس FTP شبيه سازي شده که به پورت 21 گوش مي کند ممکن است فقط يک صفحه login و يا حداکثر تعدادي از دستورات FTP را شبيه سازي کرده باشد . يکي از فوايد اين دسته از Honeypot هاي کم واکنش سادگي آنها مي باشد.

نگهداري Honeypot هاي کم واکنش بسيار راحت و آسان است و خيلي راحت مي توان آنها را گسترش داد و ريسک بسيار کمي دارند. آنها بيشتر درگير اين هستند که چه نرم افزارهايي بايد روي چه سيستم عاملي نصب شود و همچنين مي خواهيد چه سرويسهايي را براي آن شبيه سازي و ديده باني (Monitor ) کنيد.

همين رهيافت خودکار و ساده آنها است که توسعه آن را براي بسياري از شرکت ها راحت مي کند. البته لازم به ذکر است که همين سرويسهاي شبيه سازي شده باعث مي شود که فعاليت هاي فرد نفوذگر محدود شود و همين امر باعث کاهش ريسک مي گردد. به اين معني که نفوذگر نمي تواند هيچگاه به سيستم عامل دسترسي پيدا کند و به وسيله آن به سيستم هاي ديگر آسيب برساند.

يکي از اصلي ترين مضرات Honeypot هاي کم واکنش اين است که آنها فقط اطلاعات محدودي را مي توانند ثبت کنند و آنها طراحي مي شوند که فقط اطلاعاتي راجع به حملات شناخته شده را به ثبت برسانند.همچنين شناختن يک Honeypot کم واکنش براي يک نفوذگر بسيار راحت مي باشد. نگران اين نباشيد که شبيه سازي شما چه اندازه خوب بوده است زيرا که نفوذگران حرفه اي به سرعت يک Honeypot کم واکنش را از يک سيستم واقعي تشخيص مي دهند. از Honeypot هاي کم واکنش مي توان Spector , Honeyd و KFSensor را نام برد.

Honeypot هاي پر واکنش متفاتند. آنها معمولا از راه حل هاي پيچيده تري استفاده مي کنند زيرا که آنها از سيستم عاملها و سرويسهاي واقعي استفاده مي کنند. هيچ چيزي شبيه سازي شده نيست و ما يک سيستم واقعي را در اختيار نفوذگر مي گذاريم.

اگر شما مي خواهيد که يک Honeypot لينوکس سرور FTP داشته باشيد شما بايد يک لينوکس واقعي به همراه يک سرويس FTP نصب کنيد. فايده اين نوع Honeypot دو چيز است. شما مي توانيد يک حجم زيادي از اطلاعات را به دست آوريد. با دادن يک سيستم واقعي به فرد نفوذگر شما مي توانيد تمامي رفتار او از rootkit هاي جديد گرفته تا يک نشست IRC را زير نظر بگيريد. دومين فايده Honeypot هاي پرواکنش اين است که ديگر جاي هيچ فرضيه اي روي رفتار نفوذگر باقي نمي گذارد و يک محيط باز به او مي دهد و تمامي فعاليتهاي او را زير نظر مي گيرد. همين امر باعث مي شود که Honeypot هاي پرواکنش رفتارهايي از فرد نفوذگر را به ما نشان دهند که ما انتظار نداشته ايم و يا نمي توانسته ايم حدس بزنيم!!

بهترين جا براي استفاده از اين نوع Honeypot ها زماني است که قصد داريم دستورات رمز شده يک در پشتي را روي يک شبکه غير استاندارد IP به دست بياريم. به هر حال همين امور است که ريسک اينگونه Honeypot ها را افزايش مي دهد زيرا که نفوذگر يک سيستم عامل واقعي را در اختيار دارد و ممکن است به سيستم هاي اصلي شبکه صدمه بزند. به طور کلي يک Honeypot پرواکنش مي تواند علاوه بر کارهاي يک Honeypot کم واکنش کارهاي خيلي بيشتري را انجام دهد.

براي فهم بهتر اينکه Honeypot کم واکنش و پرواکنش چگونه کار مي کنند بهتر است دو مثال واقعي در اين زمينه بياوريم. با Honeypot هاي کم واکنش شروع مي کنيم.

Honeyd : يک Honeypot کم واکنش

Honeyd يک Honeypot کم واکنش است که توسط Niels Provos ساخته شده است. Honeyd به صورت کد باز مي باشد و براي مجموعه سيستم عاملهاي يونيکس ساخته شده است.(فکر کنم روي ويندوز هم برده شده است ) . Honeyd بر اساس زير نظر گرفتن IP هاي غير قابل استفاده بنا شده است. هر چيزي که قصد داشته باشد با يک IP غير قابل استفاده با شبکه ارتباط برقرار کند ارتباطش را با شبکه اصلي قطع کرده و با نفوذگر ارتباط برقرار مي کند و خودش را جاي قرباني جا مي زند.

به صورت پيش فرض Honeyd تمامي پورتها TCP و يا UDP را زير نظر گرفته و تمامي درخواستهاي آنها را ثبت مي کند. همچنين براي زير نظر گرفتن يک پورت خاص شما مي توانيد سرويس شبيه سازي شده مورد نظر را پيکربندي کنيد مانند شبيه سازي يک سرور FTP که روي پروتکل TCP پورت 21 کار مي کند.وقتي که نفوذگر با يک سرويس شبيه سازي شده ارتباط برقرار مي کند تمامي فعاليتهاي او را با سرويسهاي شبيه سازي شده ديگر ثبت کرده و زير نظر مي گيرد. مثلا در سرويس FTP شبيه سازي شده ما مي توانيم نام کاربري و کلمه هاي رمزي که نفوذگر براي شکستن FTP سرور استفاده مي کند و يا دستوراتي که صادر مي کند را به دست آوريم و شايد حتي پي ببريم که او به دنبال چه چيزي مي گردد و هويت او چيست !

همه اينها به سطحي از شبيه سازي بر مي گردد که Honeypot در اختيار ما گذاشته است. بيشتر سرويسهاي شبيه سازي شده به يک صورت کار مي کنند. آنها منتظر نوع خاصي از رفتارهاي هستند و طبق راههايي که قبلا تعيين کرده اند به اين رفتارهاي واکنش نشان مي دهند.

اگر حمله A اين را انجام داد از اين طريق واکنش نشان بده و اگر حمله B اين کار را کرد از اين راه واکنش نشان بده!

محدوديت اين برنامه ها در اين است که اگر نفوذگر دستوراتي را وارد کند که هيچ پاسخي براي آنها شبيه سازي نشده باشد. بنابراين آنها نمي دانند که چه پاسخي را بايد براي نفوذگر ارسال کنند. بيشتر Honeypot هاي کم واکنش - مانند Honeyd - يک پيغام خطا نشان مي دهند. شما مي توانيد از کد برنامه Honeyd کل دستوراتي که براي FTP شبيه سازي کرده است را مشاهده کنيد.

Honeynet ها : يک Honeypot پر واکنش

Honeynet يک مثال بديهي براي Honeypot هاي پرواکنش مي باشد. Honeynet ها يک محصول نمي باشند. آنها يک راه حل نرم افزاري که بتوان روي يک کامپيوتر نصب شوند نمي باشد. Honeynet ها يک معماري مي باشند . يک شبکه بي عيب از کامپيوترهايي که طراحي شده اند براي حملاتي که روي آنها انجام مي گيرد. طبق اين نظريه ما بايد يک معماري داشته باشيم که يک کنترل بالايي را روي شبکه ايجاد کند تا تمامي ارتباطات با شبکه را بتوان کنترل کرد و زير نظر گرفت.

درون اين شبکه ما چندين قرباني خيالي در نظر مي گيريم البته با کامپيوترهايي که برنامه هاي واقعي را اجرا مي کنند. فرد هکر اين سيستم ها را پيدا کرده و به آنها حمله مي کند و در آنها نفوذ مي کند اما طبق ابتکار و راهکارهاي ما ! يعني همه چيز در کنترل ما مي باشد. البته وقتي آنها اين کارها را انجام مي دهند نمي دانند که در يک Honeynet گرفتار شده اند. تمامي فعاليت هاي فرد نفوذگر از نشست هاي رمز شده SSH گرفته تا ايميل ها و فايلهايي که در سيستم ها قرار مي دهند همه و همه بدون آنکه آنها متوجه شوند زير نظر گرفته و ثبت مي شود. در همان زمان نيز Honeynet تمامي کارهاي نفوذگر را کنترل مي کند. Honeynet ها اين کارها را توسط دروازه اي به نام Honeywall انجام مي دهند. اين دروازه به تمامي ترافيک ورودي اجازه مي دهد که به سمت سيستم هاي قرباني ما هدايت شوند ولي ترافيک خروجي بايد از سيستم هاي مجهز به IDS عبور کند. اين کار به نفوذگر اين امکان را مي دهد که بتواند ارتباط قابل انعطاف تري با سيستم هاي قرباني داشته باشد اما در کنار آن اجازه داده نمي شود که نفوذگر با استفاده از اين سيستم ها به سيستم هاي اصلي صدمه وارد کند.

جايگاه Honeypot ها

حال كه آشنايي ابتدايي با هر دو نوع Honeypot داريم لازم است كه ارزش و جايگاه آنها را در دنياي امنيتي بيان كنيم ، به خصوص در ادامه بيان خواهيم كرد كه چگونه بايد از Honeypot استفاده كنيم.

همانطور كه قبلا اشاره كرديم دو دسته Honeypot داريم كه براي اهداف و تحقيقات ما مورد مطالعه قرار مي گيرند. وقتي از Honeypot ها به صورت محصولات توليد شده براي محافظت از سازمان ها استفاده مي كنيم مي توانند ما را در موارد مختلفي محافظت كنند از جمله مي توان محافظت ، كشف و پاسخ مناسب به يك حمله را بيان كرد. وقتي آنها را در جهت امور تحقيقاتي به كار مي بريم Honeypot ها اطلاعات لازم را براي ما جمع آوري مي كنند. البته اين اطلاعات براي سازمانهاي مختلف فرق مي كند. عده اي شايد بخواهند دشمنان بيروني خود را شناسايي كنند ، يا كارمندان و خريداران خرابكار خود را بشناسند اين سازمانها نيز مي توانند از اين دسته Honeypot ها استفاده كنند.

اگر بخواهيم به صورت كلي بيان كنيم Honeypot هاي كم واكنش به عنوان محصولات توليدي به كار مي روند در صورتيكه Honeypot هاي پرواكنش براي عملياتهاي تحقيقاتي روي شبكه به كار گرفته مي شوند. البته هر كدام از آنهامي توانند در اهداف ديگر نيز به كار روند .

Honeypot هاي توليداتي مي توانند ما را در سه رده زير كمك كنند:

1- پيشگيري (Prevention )

2- رديابي يا كشف( Detection )

3- پاسخ ( Response )

كه در ادامه به صورت عميق تري روي آنها بحث مي كنيم.

Honeypot ها از راههاي مختلفي مي توانند ما را از حملات حفظ كنند. ابتدا حملاتي كه به صورت اتوماتيكي انجام مي شود مثل كرمها و يا Auto-rooter ها . اين حملات به اين صورت كار مي كنند كه نفوذگران با استفاده از بعضي از ابزارها يك رنجي از شبكه ها را پويش كرده تا آسيب پذيري سرورهاي موجود در اين شبكه را پيدا كنند اين ابزارها پس از پيدا كردن آسيب پذيريهاي موجود ، به اين سيستم ها حمله مي كنند. (مانند كرم ساسر كه وقتي سيستمي را آلوده مي كرد به صورت اتوماتيك و به وسيله يك آدرس IP تصادفي ، سيستم ديگري را نيز آلوده مي كرد). روشي كه Honeypot ها براي محافظت شبكه ما از اين گونه حملات استفاده مي كنند اين است كه مي توانند سرعت اينگونه حملات را كند كنند و يا حتي آنها را متوقف كنند! به اين دسته از Honeypot ها Honeypot هاي چسبنده (Sticky ) مي گويند. در اين راه حل Honeypot ها ، آن دسته از آدرس هايي را كه در شبكه استفاده نمي شوند ، در نظر مي گيرند و به آنها واكنش نشان مي دهند. يعني هنگاميكه يك برنامه مخرب يا نفوذگر قصد پويش رنجي از آدرس ها را دارد ، Honypot به آن دسته از آدرس هايي كه در شبكه موجود نمي باشند واكنش نشان مي دهد براي مثال با استفاده از پيغامهاي TCP روند اين گونه حملات را آهسته تر مي كند. (براي نمونه، با دادن پيغام پنجره صفر ، نفوذگر را در يك گودال هل مي دهد تا نتواند بسته هاي ديگر را ارسال كند) اين امر براي آهسته كردن سرعت انتشار و يا محافظت در برابر كرمهايي كه شبكه داخلي ما را مورد هجوم قرار مي دهند بسيار مناسب است. LaBrea جزو اين دسته از Honeypot ها مي باشد.

Honeypot هاي چسبنده اغلب به عنوان يك Honeypot كم واكنش شناخته مي شوند. (البته شما مي توانيد آنها را Honeypot هاي بدون واكنش بناميد زيرا كه آنها فقط سرعت نفوذ يك نفوذگر را در شبكه كند مي كنند )

Honeypot همچنين مي توانند سازمان شما را از اشخاص نفوذگر محافظت كنند. البته اين كار فقط حيله اي مي باشد كه باعث تهديد و ارعاب نفوذگر مي شود. يعني نفوذگر را گيج و دست پاچه كنيم تا بتوانيم از اين طريق وقت او را به وسيله درگير شدنش با Honeypot بگيريم. در ضمن سازمان شما مي تواند با كشف فعاليتهاي نفوذگر و داشتن زمان لازم براي پاسخ ، اين گونه جملات را متوقف كند.

حتي مي توان يك مرحله بالاتر رفت . اگر نفوذگر بداند كه سازمان شما از Honeypot استفاده مي كند ولي نداند كه كدام سيستم Honeypot مي باشد هميشه يك نگراني در ذهن خود دارد كه « آيا اين يك سيستم حقيقي است يا در يك Honeypot گرفتار شده ام !! » و ممكن است همين نگراني باعث شود كه هيچگاه به فكر نفوذ در شبكه شما نيفتد. بنابراين Honeypot مي توانند نفوذگران را بترسانند. Deception Toolkit يكي از همين نوع Honeypot هاي كم واكنش مي باشد.

راه دومي كه Honeypot ها به محافظت سازمانها كمك مي كنند از طريق كشف يا رديابي است.عمل كشف خيلي بحراني مي باشد كه وظيفه اش شناسايي ناتواني ها و از كار افتادگي هاي بخش پيشگيري مي باشد. صرف نظر از اينكه امنيت يك سازمان به چه صورت مي باشد معمولا اتفاقي براي شبكه هاي آنها مي افتد كه باعث بعضي از شكست ها مي گردد. صرف نظر از مشكلات و درگيري هايي كه اشخاص براي كشف يك حمله انجام مي دهند، وقتي يك حمله شناسايي شود مي توان خيلي سريع به آن واكنش نشان داد و آن را متوقف كرد و يا حداقل اثر آن را كمتر كرد. متاسفانه كشف يك حمله بسيار كار مشكلي مي باشد. تكنولوژي هايي مانند IDS ها و فايلهاي ثبت وقايع(log) از جهاتي بدون اثر مي باشند. آنها داده هاي فراواني را توليد مي كنند كه خواندن تمامي آنها زمان فراواني را مي طلبد و بسياري از اين داده ها نيز بيهوده و به درد نخور مي باشند. همچنين آنها در كشف حملات جديد نيز ناتوان مي باشند. حتي نمي توانند با محيط هاي رمز شده و يا IPV6 كار كنند. Honeypot ها براي كشف و رديابي يك حمله نسبت به اين تكنولوژيهاي قديمي برتري دارند. Honeypot داده هاي كم و با قطع و يقين بيشتري جمع آوري مي كند كه ارزش بسيار فراواني دارد.آنها حتي مي تواند حملات جديد و يا كدهاي چند شكلي را به راحتي كشف كنند و مي توانند در محيطهاي رمز شده و IPv6 نيز استفاده شوند.

براي اينكه اطلاعات بيشتري راجع به اين دسته از Honeypot كسب كنيد مي توانيد مقاله Honeypot:Simple,Cost Effective Detection را مطالعه كنيد. به هر جهت Honeypot هاي كم واكنش بهترين راه حل براي كشف مي باشند. ساخت و نگهداري آنها آسان تر از Honeypot هاي پر واكنش مي باشد و همچنين ريسك كمتري نسبت به آنها دارد.

سومين و آخرين راهي كه honeypot ها سازمانهاي ما را محافظت مي كنند پاسخ( Response ) است. هر زماني كه يك سازمان يك خطا و مشكلي را در شبكه خود تشخيص داد حال چگونه بايد پاسخ دهد؟ همين موضوع مي تواند يكي از چالش هايي باشد كه يك سازمان با آن مواجه مي باشد. معمولا اطلاعات كمي درباره اينكه نفوذگر چه كسي است! و چه كاري مي خواهد انجام دهد!، وجود دارد. در اين وضعيت كوچكترين اطلاعات درباره فعاليت هاي نفوذگر، مهم و حيلاتي است.

معمولا در پاسخ مناسب به يك حمله دو تا مشكل وجود دارد؛ ابتدا اينكه ، بيشتر سيستم هايي كه مورد هجوم قرار گرفته اند را نمي توان براي يك تجزيه و تحليل مناسب ، از كار انداخت . سيستم هاي توليداتي ، مانند سرور پست الكترونيكي براي يك سازمان بسيار مهم و حياتي مي باشند و حتي اگر متوجه بشوند كه سرور آنها هك شده است باز هم حاضر نيستند اين سيستم ها را از كار بياندازند تا تجزيه و تحليل دقيقي روي آنها انجام شود و پاسخ مناسبي به آن داده شود. در عوض بايد در هنگامي كه اين سيستم ها در حال كار مي باشند آنها را بررسي كرد. همين امر باعث مي شود كه نتوان به درستي پي برد كه چه اتفاق افتاده است و چه مقدار خسارت توسط هكر به سيستم وارد شده است و آيا نفوذگر به سيستم هاي ديگر وارد شده است؟ و يا مي تواند وارد شود!؟

مشكل ديگر در اينجا مي باشد كه حتي اگر سيستم را نيز از كار بياندازيم آنقدر داده در سيستم وجود دارد كه نمي توان به درستي متوجه شد كه كداميك متعلق به نفوذگر است. در عوض Honeypot ها براي چنين كارهايي بسيار عالي مي باشند، زيرا كه آنها را مي توان به آساني از كار انداخت تا تجزيه و تحليل كاملي روي آنها انجام گيرد بدون اينكه به روند كاري سازمان صدمه اي وارد شود. همچنين Honeypot ها تنها فعاليت هاي غير قانوني و بد انديشانه را در خود ذخيره مي كنند و به همين دليل است كه تجزيه و تحليل يك Honeypot هك شده بسيار آسان تر از يك سيستم واقعي مي باشد. هر داده اي كه در Honeypot ذخيره شده است مربوط به فعاليت هاي فرد نفوذگر مي باشد و همين موضوع اين امكان را به يك سازمان مي دهد كه خيلي راحت به اطلاعات مفيدي درباره نوع حمله و هويت نفوذگر پي برده و پاسخ سريع و موثري را به آن دهد. به صورت كلي Honeypot پرواكنش براي پاسخ بهترين گزينه مي باشند. براي پاسخ به يك اخلال ابتدا بايد دانست كه اخلال گر قصد چه كاري را داشته است و چگونه توانسته است كه اخلال ايجاد كند، همچنين از چه ابزارهايي استفاده كرده است. پس براي اين مرحله نياز به Honeypot پرواكنش داريم.

آنچه كه مسلم است ، Honeypot ها يك تكنولوژي جديد مي باشند و هنوز راه فراواني را بايد بپيمايند تا به تكامل برسند. اما آنها براي بسياري از اهدافي كه يك سازمان براي مسايل امنيتي نياز دارد ، مناسب مي باشند و ما را براي براي پيشگيري از يك نفوذ ، كشف نفوذ و پاسخ به آن كمك مي كنند.

 چند مورد از سایت هایی که توسط m0riiii یکی از اعضای انجمن هک شده رو که در سایت zone-h.org هم ثبت شده

 

  ۱and 1  http://zone-h.org/mirror/id/10248247

sherkate sepehr Dizel     http://zone-h.org/mirror/id/10248845

International Journal of Engineering  http://zone-h.org/mirror/id/9306398

 

http://zone-h.org/mirror/id/10252793
http://zone-h.org/mirror/id/10199220
http://zone-h.org/mirror/id/9303289
http://zone-h.org/mirror/id/9303281
http://zone-h.org/mirror/id/9303272
http://zone-h.org/mirror/id/9303271
http://zone-h.org/mirror/id/9303267
http://zone-h.org/mirror/id/9303258
http://zone-h.org/mirror/id/9303256
http://zone-h.org/mirror/id/9303245
http://zone-h.org/mirror/id/9303237
http://zone-h.org/mirror/id/9304694
http://zone-h.org/mirror/id/9304770
http://zone-h.org/mirror/id/9304910
http://zone-h.org/mirror/id/9304903
http://zone-h.org/mirror/id/9304900
http://zone-h.org/mirror/id/9304872
http://zone-h.org/mirror/id/9304869
http://zone-h.org/mirror/id/9304863
http://zone-h.org/mirror/id/9304857
http://zone-h.org/mirror/id/9405003
http://zone-h.org/mirror/id/9470253
http://zone-h.org/mirror/id/10104647
http://zone-h.org/mirro r/id/9742609
http://zone-h.org/mirror/id/10104420

امنیت شبکه

امنیت شبکه ها

وقتی بحث امنیت شبکه پیش می اید ، مباحث زیادی قابل طرح و ارائه هستند ، موضوعاتی که هر کدام به تنهایی می توانند جالب ، پرمحتوا و قابل درک باشند ، اما وقتی صحبت کار عملی به میان می اید ، قضیه یک جورایی پیچیده می شود . ترکیب علم و عمل ، احتیاج به تجربه دارد و نهایت هدف یک علم هم ، به کار امدن ان هست .

وقتی دوره تئوری امنیت شبکه را با موفقیت پشت سر گذاشتید و وارد محیط کار شدید ، ممکن است این سوال برایتان مطرح شود که " خب ، حالا از کجا شروع کنم ؟ اول کجا را ایمن کنم ؟ چه استراتژی را پیش بگیرم و کجا کار را تمام کنم ؟ " انبوهی از این قبیل سوالات فکر شما را مشغول می کند و کم کم حس می کنید که تجربه کافی ندارید و این البته حسی طبیعی هست . پس اگر این حس رو دارید و می خواهید یک استراتژی علمی - کاربردی داشته باشید ، تا انتهای این مقاله با من باشید تا قدم به قدم شما رو به امنیت بیشتر نزدیک کنم.

همیشه در امنیت شبکه موضوع لایه های دفاعی ، موضوع داغی هست و نظرات مختلفی وجود دارد . عده ای فایروال را اولین لایه دفاعی می دانند ، بعضی ها هم Access List رو اولین لایه دفاعی می دانند ، اما واقعیت پنهان این هست که هیچکدام از اینها ، اولین لایه دفاعی نیستند . یادتون باشد که اولین لایه دفاعی در امنیت شبکه و حتی امنیت فیزیکی ، Policy هست . بدون policy ، لیست کنترل ، فایروال و هر لایه دیگر ، بدون معنی می شود و اگر بدون policy شروع به ایمن کردن شبکه کنید ، محصول یک آبکش واقعی از کار در می اید .

با این مقدمه ، و با توجه به این که شما policy مورد نظرتان را کاملا تجزیه و تحلیل کردید و دقیقا می دانید که چه چیزی رو می خواهید و چی را احتیاج ندارید ، کار را شروع می کنیم . ما باید پنج مرحله رو پشت سر بگذاریم تا کارمان تمام بشود . این پنج مرحله عبارتند از :

1- Inspection ( بازرسی )

2- Protection ( حفاظت )

3- Detection ( ردیابی )

4- Reaction ( واکنش )

5- Reflection ( بازتاب)

در طول مسیر ، از این پنج مرحله عبور می کنیم ، ضمن اینکه ایمن کردن شبکه به این شکل ، احتیاج به تیم امنیتی دارد و یک نفر به تنهایی نمی تواند این پروسه رو طی کند و اگر هم بتواند ، خیلی طولانی می شود و قانون حداقل زمان ممکن را نقض می کند .

1- اولین جایی که ایمن کردن رو شروع می کنیم ، ایمن کردن کلیه authentication های موجود هست . معمولا رایج ترین روش authentication که مورد استفاده قرار می گیرد ، استفاده از شناسه کاربری و کلمه رمز هست.

مهمترین جاهایی که باید authentication را ایمن و محکم کرد عبارتند از :

- کلمات عبور کاربران ، به ویژه مدیران سیستم .

- کلمات عبور سوییچ و روتر ها ( من روی سوییچ خیلی تاکید میکنم ، چون این device به صورت plug and play کار می کند ، اکثر مدیرهای شبکه از config کردن ان غافل می شوند ، در حالی که می تواند امنیت خیلی خوبی به شبکه بدهد ، به مدیران امنیتی توصیه میکنم که حتما این device رو کنترل کنند ) .

- کلمات عبور مربوط به SNMP .

- کلمات عبور مربوط به پرینت سرور .

- کلمات عبور مربوط به محافظ صفحه نمایش .

آنچه که شما در کلاسهای امنیت شبکه در مورد Account and Password Security یاد گرفتید را اینجا به کار می برید . که من به خاطر طولانی نشدن بحث به انها اشاره نمیکنم .

2- قدم دوم نصب و به روز کردن آنتی ویروس بر روی همه دسکتاپ ، سرور و میل سرورها هست . ضمن اینکه آنتی ویروس های مربوط به کاربران باید به طور اتوماتیک به روز رسانی بشود و آموزشهای لازم در مورد فایلهای ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشکوک یا اضطراری به کاربران هم داده بشود .

3 - مرحله سوم شامل نصب آخرین به روز رسانی های امنیتی سیستم عامل و سرویسهای موجود هست . در این مرحله علاوه بر کارهای ذکر شده ، کلیه سرورها و device ها و دسک تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی ، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند .

4-در این مرحله نوبت گروه بندی کاربران و اعطای مجوزهای لازم به فایلها و دایرکتوری ها میباشد . ضمن اینکه account های قدیمی هم باید غیر فعال شوند . گروه بندی و اعطای مجوز بر اساس یکی از سه مدل استاندارد Access Control Techniques یعنی MAC , DAC یا RBAC انجام می شود . بعد از پایان این مرحله ، یک بار دیگه امنیت سیستم عامل باید چک بشود تا چیزی فراموش نشده باشد .

5- حالا نوبت device ها هست که معمولا شامل روتر ، سوییچ و فایروال می شود . بر اساس policy موجود و توپولوژی شبکه ، این box ها باید config بشوند . تکنولوژی هایی مثل NAT , PAT و filtering و غیره در این مرحله مطرح می شود و بر همین اساس این مرحله خیلی مهم هست. حتی موضوع مهم IP Addressing که از وظایف مدیران شبکه هست می تواند مورد توجه قرار بگیرد تا اطمینان حاصل بشود که از حداقل ممکن برای IP Assign به شبکه ها استفاده شده است.

6- قدم بعد تعیین استراژی backup گیری هست . نکته مهم که اینجا وجود دارد این هست که باید مطمئن بشویم که سیستم backup گیری و بازیابی به درستی کار می کند و بهترین حالت ممکن باشد .

7- امنیت فیزیکی . اول از همه به سراغ UPS ها می رویم . باید چک کنیم که UPS ها قدرت لازم رو برای تامین نیروی الکتریکی لازم جهت کار کرد صحیح سخت افزار های اتاق سرور در زمان اضطراری رو داشته باشند . نکات بعدی شامل کنترل درجه حرارت و میزان رطوبت هست. همینطور ایمنی در برابر سرقت و آتش سوزی. سیستم کنترل حریق باید به شکلی باشد که به نیروی انسانی و سیستم های الکترونیکی آسیب وارد نکند . به طور کل آنچه که در مورد امنیت فیزیکی یاد گرفتید را در این مرحله به کار می برید .

8- امنیت وب سرور یکی از موضوعاتی هست که روش باید وسواس داشته باشید. به همین دلیل در این قسمت کار ، مجددا و با دقت بیشتر وب سرور رو چک و ایمن می کنیم . در حقیقت ، امنیت وب رو اینجا لحاظ می کنیم .

( اسکریپت های سمت سرویس دهنده رو هیج وقت فراموش نکنید )

9 - حالا نوبت چک ، تنظیم و تست سیستم های Auditing و Logging هست . این سیستم ها هم می تواند بر پایه host و هم بر پایه network باشد . سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید که تمام اطلاعات لازم ثبت و به خوبی محافظت می شود . در ضمن ساعت و تاریخ سیستم ها درست باشد ، مبادا که اشتباه باشه که تمام زحماتتان در این مرحله به باد میرود . و امکان پیگیری های قانونی در صورت لزوم دیگر وجود ندارد .

10- ایمن کردن Remote Access با پروتکل ها و تکنولوژی های ایمن و Secure قدم بعدی رو تشکیل می دهد. در این زمینه با توجه به شرایط و امکانات ، ایمن ترین پروتکل و تکنولوژی ها رو به خدمت بگیرید .

11 - نصب فایروال های شخصی در سطح host ها ، لایه امنیتی مضاعفی به شبکه شما میدهد . پس این مرحله رو فراموش نکنید .

12 - شرایط بازیابی در حالت های اضطراری رو حتما چک و بهینه کنید . این حالت ها شامل خرابی قطعات کامپیوتری ، خرابکاری کاربران عادی ، خرابی ناشی از بلایای طبیعی ( زلزله - آتش سوزی - افتادن - سرقت - سیل و ... ) و خرابکاری ناشی از نفوذ هکرها ، میباشد . استاندارد های warm site و hot site را در صورت امکان رعایت کنید.

یادتون باشد که " همیشه در دسترس بودن اطلاعات " ، جز، قوانین اصلی امنیتی هست .

13- و قدم آخر این پروسه که در حقیقت شروع یک جریان همیشگی هست ، عضو شدن در سایتها و بولتن های امنیتی و در جریان آخرین اخبار امنیتی قرار گرفتن هست .

---

همچنین ببینید

• شبکه عصبی
• هوش جمعی
• تهدیدهای کامپیوتری
• نقاط ضعف امنیتی شبکه های وب
• معرفی دو نرم افزار مفید