علیرضا کفطوسیان
علیرضا کفطوسیان
خواندن ۵ دقیقه·۳ سال پیش

نصب و راه اندازی هانی پات همه فن حریف!

امروزه وقتی یک شبکه مثل شبکه محلی دانشگاهی هک می شود، با استفاده از ابزارهای گوناگون می توان با استفاده از شبکه هک شده به هزاران کامپیوتر دیگر نیز نفوذ کرد. بنابراین ما نیازمند حفاظت ازسرور وشبکه خود با امکانات امنیتی هستیم. یکی از این ابزارها هانی پات است. هانی پات چنانچه از نام آن نیز بر می آید قرار است مانند ظرف عسل عمل کند و نفوذگران را به سوی خود جذب کند. در واقع این کار را با مهیا ساختن امکاناتی که یک نفوذگر به دنبال آن است، مانند FTP سرور و سیستم های آسیب پذیر دیگر، مثل آنچه در حملات معروف به زامبی که جهت آسیب رساندن به سایر سیستم ها از یک سیستم آسیب پذیر به عنوان ابزاری جهت انتشار کدهای مخرب در سرتاسر اینترنت استفاده می شود، انجام می دهد.

تعریف هانی پات به نقل از ویکی‌پدیای فارسی

هانی‌پات (به انگلیسی: Honeypot) یک منبع سیستم اطلاعاتی با اطلاعات کاذب است که برای مقابله با هکرها و کشف و جمع‌آوری فعالیت‌های غیرمجاز در شبکه‌های رایانه‌ای بر روی شبکه قرار می‌گیرد.
هانی‌پات‌ها ابزاری برای مصالحه هستند؛ کامپیوترهایی که یا واقعی هستند یا شبیه‌سازی شده‌اند. در نمونه‌های اولیه، هانی‌پات‌ها گرایش به مطالعه و طعمه دادن به مهاجمین انسانی داشته‌اند؛ اما به همان اندازه می‌توانند برای دستگیری کرم‌ها نیز استفاده شوند.

اهداف هانی پات

  1. پیشگیری: با منابع غیرمعتبری که در اختیار حمله کنندگان قرار می‌دهد، در واقع از در خطر قرار گرفتن سیستم واقعی جلوگیری می‌شود و این یک عمل پیشگیرانه است.
  2. کشف: در اغلب شبکه‌های موجود در سازمان‌ها، فعالیت محصولات دارای پیچیدگی فراوانی می‌باشد که کشف حملات را مشکل می‌سازد. حال آن که در هانی‌پات این پیچیدگی وجود ندارد و جریان‌های ورود و خروج به آن کاملاً روشن است.
  3. واکنش: فعالیت محصولات اشاره شده در بالا، باعث می‌شود تیم پاسخگویی به حوادث، نتواند به درستی تشخیص دهد که چه اتفاقی افتاده‌است. از طرف دیگر در اغلب مواقع تیم پاسخگویی به اختلالات، قادر نیست اطلاعاتی را که از سیستم در معرض خطر قرار گرفته، جمع‌آوری کند ولی برای سیستم هانی‌پات چنین محدودیتی وجود ندارد.
  4. پژوهش:یکی از مهم‌ترین مباحث در امنیت، گردآوری (داشتن) اطلاعات دشمن است. هانی‌پات به عنوان یک ابزار پژوهشی، در نیل به این هدف، کمک شایانی به سازمان‌های پژوهشی و دانشگاهی می‌کند.

نحوه کار هانی پات

هانی پات ها مشابه یک سیستم قربانی در برابر نفوذگر ظاهر می شوندو مانند یک چنین سیستمی بایستی رفتار کنند اما در عین حال بدون آگاه نمودن نفوذگر با انواع روش های کنترلی و ثبت و ضبط داده خود او را تحت نظردارند. این اطلاعات ثبت شده و بعدا جهت آنالیز می توانند مورد استفاده قرار گیرند و از آنها برای یادگیری روش های ناشناخته حملات و نفوذها بهره برد. فرق آن با سایر سیستم ها و فناوری های امنیتی مشابه در عملکرد سریعتر و بهینه آن است.قرار نیست تا دوباره سناریو های فایروال و سیستم های تشخیص نفود متداول را تکرار کنیم.

همگی این روش ها به دلیل حجم داده تولیدی بالا و غیر صحیح ناکارآمد به حساب می آیند.هانی پات مانند این سیستم ها تدافعی عمل نمی کنند یعنی منتظر پیشقدم شدن نفوذگر در شروع حمله نمی ماند.بلکه سعی در جمع آوری اطلاعات در مورد سبک ها و فنون آنها دارد.هانی پات مانند فایروال تنها به شناسایی حملات شناخته شده محدودنیست واین ویژگی یک هانی پات است که روشهای نفوذ جدیدرا کشف کند.

بر خلاف Firewall یا IDS ،هانی پات قرار نیست تا یک مساله ی بخصوص و معین را حل کند بلکه ابزاری بسیار انعطاف پذیر بشمار میرود که قادر است از حملات IPv6 تا انواع روش های فریب و تقلب در کارت های اعتباری را شناسایی کند.  یک هانی پات را یک Information system resource (منبع سیستم اطلاعاتی) به شمار آورده اند که ارزش و مقادیر آن وابسته به منابع بدون مجوز(unauthorized) و غیر قانونی است. این تعریف تمامی جنبه های موجود در هانی پات را در بر می گیرد.در تعریف بالا ارزشها بوسیله نفوذگران که با هانی پات به نوعی محاوره برقرار میکنند تامین میشود.به این معنی که برقراری هر محاوره ای با هانی پات بسیار مستعد این است که یک فعالیت مشکوک و یا غیر مجاز باشد. این فعالیت میتواند شامل نفوذیا حمله و یا جمع آوری اطلاعات بوسیله نفوذگر باشد.
منبع : Technet24.ir


دسته بندی هانی پات ها به دو مدل کلی low interaction یا هانی پات با سطح تعامل پایین و high interaction یا هانی پات با سطح تعامل بالا تقسیم میشوند که توضیحات بیشتر آن در ویکی‌پدیای فارسی هم آمده است.

پیدا کردن یک Honeypot همه فن حریف

معمولا هانی‌پات های Enterprise هزینه‌های گزافی برای هر سازمان دارند و با توجه به نوسانات قیمت دلار در کشورمان، توجیح اقتصادی برای راه اندازی آن‌ها وجود ندارد.
بهترین انتخابی که میتوان داشت گزینه های اپن سورس موجود هستند که برای خرید آن‌ها نیاز به صرف هزینه نبوده و فقط هزینه زیرساخت آن یعنی سرور باید پرداخت شود.

در میان گزینه های موجود، مواردی که تمامی سرویس‌های پر استفاده را بر روی یک سرور جمع آوری کرده و بتوان هانی پات را به سرعت راه اندازی کرد، به Chameleon رسیدم که بسیار کامل و البته به روز میباشد.

هانی پات (honeypot) Chameleon
هانی پات (honeypot) Chameleon

ویژگی های Chameleon

  • ساختار ماژولار با قابلیت راه اندازی هانی پات های متعدد با استفاده از اسکریپت های تعریف شده
  • آماده سازی اکثر هانی پات ها به صورت سرور
  • قابلیت تنظیم سرور ها به همراه یوزر و پسورد (به صورت پیشفرض هردو test میباشد.)
  • بررسی payload ها در TCP, UDP, DNS و ICMP
  • پنل گرافانا (Grafana) برای مانیتورینگ نتایج و قابلیت فیلتر بر اساس IP
  • تجزیه‌ی تمامی لاگ‌های ساختاربندی شده و ساختار بندی نشده در postgres
  • تمامی هانی پات ها دارای کلاینت برای تست سرور هستند.
  • راه اندازی خودکار هانی پات ها با استفاده از Automation
پنل مانیتورینگ
پنل مانیتورینگ

هانی پات های موجود در Chameleon

  • DNS
  • HTTP Proxy
  • HTTP
  • HTTPS
  • SSH
  • POP3
  • IMAP
  • STMP
  • RDP
  • SMB
  • SOCK5
  • TELNET
  • VNC
  • Postgres
  • Redis
  • Mysql
  • Elasticsearch (http.server)
  • Mssql


اسکنر Nmap
اسکنر Nmap

نصب و راه اندازی سریع هانی پات ها به صورت ساده
در حال حاضر Chameleon بر روی اوبونتو سرور 20 / 19 / 18 تست شده است.
برای نصب ابتدا با استفاده از دستورات زیر اقدام به آپدیت سرور و نصب پیش نیاز ها خواهیم کرد : 

apt-get update -y && apt-get install -y iptables-persistent tcpdump nmap iputils-ping python python-pip python-psycopg2 lsof psmisc dnsutils
pip install scapy==2.4.4 netifaces==0.10.9 pyftpdlib==1.5.6 sqlalchemy==1.3.23 pyyaml==5.4.1 paramiko==2.7.1 impacket==0.9.22 twisted==20.3.0 psutil==5.8.0 requests==2.25.1 redis==3.5.3 mysql-connector-python==8.0.23 pygments==2.5.2
pip install -U requests[socks]
pip install -Iv rsa==4.0
pip install rdpy==1.3.2

سپس از با استفاده از دستورات زیر سرور هانی پات ها راه اندازی خواهند شد : 

git clone https://github.com/qeeqbox/chameleon.git
cd chameleon
chmod +x ./run.sh
./run.sh

پس از اجرای دستور آخر، اسکریپت راه اندازی سرور در پیش روی شما قرار خواهد گرفت که گزینه های تست راه اندازی هانی پات ها و نمایش خطاها، مستقر کردن (Deploy) هانی پات ها و همچنین نصب پیش نیازها در اختیار ما قرار خواهد گرفت.

پنل گرافانا را هم میتوانیم از طریق آدرس http://localhost:3000 مشاهده کنیم. (یوزرنیم و پسورد پیشفرض در حالت تست admin میباشد)

زمانی که پروژه را Deploy کنید، یوزر و پسورد به موارد زیر تغییر خواهند کرد :
username : changeme457f6460cb287
password : changemed23b8cc6a20e0



لینک گیت‌هاب پروژه

هانی پاتhoneypotchameleonامنیتشبکه
شاید از این پست‌ها خوشتان بیاید