سلام
با توجه به سکوت غم انگیز بخش امنیت شبکه ،
می خواستم با کمک دوستان علاقمند به این بحث،
آموزش و بحث پیرامون مسائل مهم امنیتی شبکه های رایانه ای
رو شروع کنم.l
موضوعات مشابه:
- شروع دوره آموزش Sps & Spf 2010
- نظر خواهی در مورد شروع آموزش جامع دستوات خط فرمان ( Command Line )
- قانون کپی رایت ممنوع
- یک موضوع جالب از طرف مدیریت و تشکر از ایشون
سلام
آشنایی با Netstat و دستورات آن:
Netstat هم مثل Netbios یک برنامه خدماتی هست که در خود سیستم عاملها گذاشته شده ، مثلاً در ویندوز 9x و Me در پوشه Windows با اسم Netstat.exe قرار گرفته و در ویندوزهای بر پایه NT مثل 2000 نیز در پوشه D:WinNTSystem32 قرار گرفته و کلاً برای نمایش تمام ارتباطات ما در شبکه و فهمیدن پورتها و آیپی های سیستمها و ماشین هایی که ما با آنها در ارتباط هستیم بکار میره ، برای استفاده از Netstat احتیاج به هیچ برنامه کمکی و اضافی ندارین فقط کافیه به MS-DOS Prompt برین و دستوراتی که در ادامه این مقاله میگم را تایپ کنید ، ولی خب برنامه های زیادی برای استفاده آسان تر از Netstat آمده که احتیاجی به رفتن در Ms-Dos نداره و کار کاربران اینترنت و شبکه را راحت تر کرده که یکی از بهترین برنامه ها برای اینکار X-Netstat هست که اطلاعات زیادی از ارتباطهای شما وقتی که به شبکه وصل هستین میده ، درست مثل برنامه Netstat.exe ولی به صورت گرافیکی و تحت ویندوز .
این برنامه همچنین سیستمهایی که از خارج سعی میکنن به سیستم شما وصل بشن را هم نشان میده و آیپی آنها را مشخص میکنه ، درست مثل یک فایروال و همچنین پورتهای Local و Remote و پروتکل هایی که شما با آنها ارتباط دارین را مشخص میکنه .
X-Netstat بر_c7ی کاربران معمولی نسخه Standard را عرضه کرده که جدیدترین نسخه X-Netstat Standard ورژین 5.0 Beta هست و برای کاربران حرفه ای مثل شما نیز X-Netstat Professional را ارائه داده که جدیدترین نسخه آن 4.0 هست که برای مدیران شرکتها نیز مفیده ، شما میتون_http://www.freshsw.com/files/xnsp400.exe
خب این یکی از برنامه های مفیدی هست که مربوط به Netstat بود ولی حالا توضیح درباره دستورات خود Netstat :
دستور Netstat : دستور Netstat فرمان اصلی این برنامه هست که با تایپ این دستور شما متوجه آیپی سیستمها و پورتهایی که با آنها در ارتباط هستین بدست میارین و همچنین مشاهده میکنین که پورتهایی Listening و یا Established هستن و چه چیزی روی پورتهای مختلف در حال شنیده شدن هست که خب این باعث میشه اگر پورتی مخصوص یک تروجن مثل 27374 که پورت اصلی Sub7 هست در سیستم شما باز بود شما متوجه این پورت باز بروی سیستمتان بشین.
اگر در قسمتForeign Address هم یک آیپی بوسیله آن پورت به سیستم شما وصل بود شما میفهمین که یک نفر با آن آیپی در سیستم شماست ، پس این یک راهی هست که متوجه بشین سیستمتان آسیب پذیر هست یا نه ، برای مثال من با تایپ دستور Netstat در Ms-Dos این نتایج را گرفتم :
C:WINDOWS>netstat
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:1454 cs33.msg.sc5.yahoo.com:5050 ESTABLISHED
TCP behrooz:1488 63.123.44.222:80 ESTABLISHED
TCP behrooz:1491 opi1.vip.sc5.yahoo.com:80 TIME_WAIT
TCP behrooz:1497 64.187.54.23:80 ESTABLISHED
TCP behrooz:1498 64.187.54.23:80 ESTABLISHED
همانطور که ملاحظه میکنید این دستور گاهی اوقات اسم صاحب سیستم کلاینتی که شما با آن در ارتباط هستین را نیز میده و چون اینجا من با کسی در PM نبودم اسم کسی را نمیبینید ولی اگر کسی با من چت کنه و دستور Netstat را بزنه اسم بهروز را میبینه و متوجه میشه که این صاحب آن سیستم کلاینتی هست که داره با آن چت میکنه و همچنین مشخصه که من با پورت 5050 با یاهو مسنجر ارتباط برقرار کردم و همچنین نتایجی که در زیر Local Address مشخص اطلاعاتی درباره خود من هست :
IP/Hostnameort open ===> behrooz:1488
و نتایجی که در Foreign Address بدست میاد مشخص میکنه که ما با چه سرور یا کلاینتی در ارتباطیم که در سطر دوم مثال بالا یعنی 63.123.44.222:80 که آیپی سایت یاهو هست من در سایت یاهو بودم و به وسیله پورت 80 که پورت Http هست من با این وب سرور ارتباط برقرار کردم و در قسمت Status هم مشخص میشه که شما با چه پورتهایی Established هستین.
یعنی ارتباط برقرار کردین و وصل هستین و چه پورتهایی Listening یا منتظر Request و در حال شنیدن هستن ، بنابراین میشه با دستور Netstat یک عمل مانیتورینگ از تمام آیپی ها - پورتها و ماشینهایی که شما با آنها در ارتباطین گرفت .
دستور Netstat -n :
همانطور که در بالا توضیح دادم میشه با استفاده از Netstat آیپی و پورت سیستمی که شما با آن در ارتباطین را بدست آورد حتا میشه آیپی کسی داره با شما از طریقه PM در مسنجر چت میکنه را هم بدست آورد چون وقتی شما مسنجرها را باز میکنید با یک پورت خاصی شما با مسنجر ارتباط برقرار میکنین که مثلاً شما با پورت 5050 با یاهو مسنجر ارتباط برقرار میکنین .
شما با استفاده از دستور Netstat -n که در MS-DOS تایپ میکنین میتونین آیپی طرف را بدست بیارین اگرچه من چند وقت پیش برنامه ProPort را معرفی کردم که اینکار را با قابلیتهای بیشتری انجام میده ولی با این دستور هم میشه اینکار را کرد .
اگر شما بعد از تایپ این دستور و در نتیجه بدست آمده در قسمت Foreign Address با آیپی سیستمی بوسیله پورت 5101 ارتباط برقرار کرده بودین مطمئن باشین آن آیپی برای کسی هست که داره با شما چت میکنه مثلاً من با تایپ دستور Netstat -n این نتایج را گرفتم :
Active Connections
Proto Local Address Foreign Address State
TCP 207.117.93.43:1425 216.136.175.226:5050 TIME_WAIT
TCP 207.117.93.43:1431 64.242.248.15:80 ESTABLISHED
TCP 207.117.93.43:1437 213.102.29.137:5101 ESTABLISHED
همانطور که ملاحظه میکنید من در این لحظه با آیپی 213.102.29.137 در حال چت کردن بودم که اشتراکش هم از البرز بوده و آیپی خود من هم در قسمت Local Address مشخص میشه ، در قسمت Proto نیز پروتکلی که ما بوسیله آن با یک سیستم ارتباط برقرار کردیم مشخص میشه که اینجا از طریقه پروتکل TCP هستش .
دستور Netstat/? :
شاید بهتر بود من این دستور را قبل از 2 دستور Netstat و Netstat -n معرفی میکردم چون این دستور راهنما یا Help برنامه Netstat هست که با تایپ کردن آن شما یک صفحه کامل راجب فرمان Netstat میبینین و توضیح مختصری هم در جلوی هر دستور مشاهده میکنید ، شما با تایپ این دستور به این نتایج میرسین :
C:WINDOWS>netstat /?
Displays protocol statistics and current TCP information once.
البته ابن تمام دستورات Netstat نیست و کلاً Help کاملی نیست ولی برای کسانی که میخواهن دانش سطحی از Netstat بدست بیارن مفید و میتونن از این دستور و help آن کمک بگیرن ولی من توضیح بیشتری راجب هر دستور میدم .
دستور Netstat -na :
با تایپ کردن این دستور در MS-DOS Prompt تمام پورتهایی که داده ها و بسته ها را میفرستن مشخص میشه ، نشان " na " در تمام دستورات به معنی نمایش همه پورتها و لیست کردن آدرسهای شبکه و شماره فرمها در یک قالب عددی هستش ، برای مثال من با تایپ این فرمان در MS-DOS این نتایج را گرفتم :
C:WINDOWS>netstat -na
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:1954 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1971 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING
TCP 64.110.148.59: 1954 207.46.106.21 :1863 ESTABLISHED
TCP 64.110.148.59 :1971 216.136.225.36 :5050 ESTABLISHED
TCP 64.110.148.59 :2031 63.121.106.74 :80 TIME_WAIT
TCP 127.0.0.1 :1025 0.0.0.0:0 LISTENING
UDP 0.0.0.0:1958 *:*
UDP 64.110.148.59:9 *:*
UDP 64.110.148.59:137 *:*
UDP 64.110.148.59:138 *:*
UDP 127.0.0.1:1037 *:*
UDP 127.0.0.1:1074 *:*
خب میبینید که پورتهای باز روی سیستم من لیست شده مثل 1854-1971-2031 ... این دستور همان دستور Netstat -an هست که هر 2 تا یک عمل را انجام میدن و کارشون اینه که پورتها را با معادل عددیشان نشان میدن مثلاً پورت Netbios را با معادل عددیش یعنی 139 نشان میدن ، درست مثل دستور Netstat -n که آیپی ها را با معادل عددیشان نشان میداد ، این دستور پورتها را با معادل عددی نشان میده .
دستور Netstat -a :
این دستور نیز مثل دستور Netstat -an یا -na عمل میکنه فقط فرقش در اینه که این دستور پورتها را با معادل اسمیشان نشان میده ، برای مثال پورت 139 را با معادل اسمیش یعنی Netbios نشان میده و همچنین مانند دستور Netstat اسم صاحب سیستم را هم نشان میده ، مثلاً من با تایپ این دستور در MS-DOS به این نتایج سیدم :
C:WINDOWS>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:2055 BEHROOZ:0 LISTENING
TCP behrooz:5101 BEHROOZ:0 LISTENING
TCP behrooz:2047 BEHROOZ:0 LISTENING
TCP behrooz:2055 cs43.msg.sc5.yahoo.com:5050 ESTABLISHED
TCP behrooz:nbsession BEHROOZ:0 LISTENING
TCP behrooz:2047 baym-cs21.msgr.hotmail.com:1863 ESTABLISHED
TCP behrooz:1025 BEHROOZ:0 LISTENING
UDP behrooz:2053 *:*
UDP behrooz:discard *:*
UDP behrooz:nbname *:*
UDP behrooz:nbdatagram *:*
UDP behrooz:nfs *:*
UDP behrooz:1037 *:*
خب همانطور که ملاحظه میکنید بعضی از پورتهای اصلی با معادل اسمی نشان داده شدن مثل پورت nbsession ولی این دستور برای تست کردن نقطه ضعفها و پورتهای باز در سیستم خودمان خیلی مفیده و اگر سیستم آلوده به تروجن بود میشه از این دستورها و کلاً برنامه Netstat این موضوع را فهمید ، پس آنهایی که سوال میکنن ما چطوری بفهمیم سیستم خودمان آلوده به تروجن هست یا نه ، استفاده از این دستور و کلاً دستورات Netstat میتونه خیلی بهشون کمک کنه .
خب تا اینجا شد 4 تا دستور ، این 4 تا دستور تمام ارتباطهای شما در شبکه را در MS-DOS نشان میده ولی مخصوص پروتکل خاصی نبود ، یعنی آیپی و پورتها را در TCP - UDP , ... نشان میداد ولی حالا میخوام یک دستور دیگه Netstat را بهتون معرفی کنم که باید خود شما پروتکل را انتخاب کنید تا ارتباطهای شما را در آن پروتکل نشان بده .
دستور Netstat -p xxx :
منظور از xxx یعنی آن پروتکلی که شما در نظر دارین که میتونه TCP و UDP باشه ، من با تایپ این دستور در MS-DOS به این نتیجه رسیدم :
C:WINDOWS>netstat -p TCP
Active Connections
Proto Local Address Foreign Address State
TCP behrooz:1030 baym-cs12.msgr.hotmail.com:1863 ESTABLISHED
TCP behrooz:1036 cs46.msg.sc5.yahoo.com:5050 TIME_WAIT
TCP behrooz:1059 svcs.microsoft.com:80 TIME_WAIT
TCP behrooz:1060 msntoday.msn.com:80 TIME_WAIT
TCP behrooz:1063 207.46.134.30:80 TIME_WAIT
TCP behrooz:1067 207.46.134.30:80 TIME_WAIT
TCP behrooz:1073 digital-island-bos-37.focaldata.net:80 CLOSE_WAIT
IT
TCP behrooz:1074 digital-island-bos-37.focaldata.net:80 CLOSE_WAIT
IT
TCP behrooz:1077 cs46.msg.sc5.yahoo.com:5050 ESTABLISHED
TCP behrooz:1087 64.124.82.13.akamai.com:80 ESTABLISHED
TCP behrooz:1111 64.124.82.21.akamai.com:80 ESTABLISHED
که همانطور که مشاهده میکنید من ارتباطم را در پروتکل TCP امتحان کردم برای مثال با MSN Messanger با پورت 1863 و با آدرس baym-cs12.msgr.hotmail.com ارتباط برقرار کردم و شما اگر میخواین آیپی این سرور را بفهمین میتونین از دستور Netstat -n استفاده کنید و آیپی که قبل از پورت 1863 در آن دستور مشاهده میکنید آیپی این سرور هست .
دستور Netstat -e :
این دستور نیز یکی از دستورات Netstat هستش که آماری از ارتباطها و بسته ها و شماره های ارسال و ذخیره بسته ها و داده ها را نشان میده ، من با تایپ دستور Netstat -e در MS-DOS Prompt این نتایج را گرفتم :
C:WINDOWS>netstat -e
Interface Statistics
Received Sent
Bytes 628308 224952
Unicast packets 2288 2218
Non-unicast packets 111 111
Discards 0 0
Errors 0 0
Unknown protocols 74
این دستور بیشتر برای ویندوزهای 9x - ME و همینطور مودمهایی که آمار بسته ها را نمیدن خوبه چون در ویندوز 2000 - XP قسمتی از این آمار براحتی در اختیار User قرار میگیره ، شما میتونین با استفاده از این دستور ترافیک ISP و شبکه را ببینید و همینطور برنامه هایی که دارین دانلود میکنید را چک کنید و یا اگر بسته ای در ارسالش مشکلی پیش بیاد میتونین در قسمت Errors مشاهده کنید ، ...
دستور Netstat -r :
این دستور توسط کاربران معمولی اینترنت زیاد بکار گرفته نمیشه چون درک بعضی از گزینه هاش برای کاربران عادی دشوار ، بحرحال این دستور جزییات دقیقی مثل آدرس Gateway - Interface Metric -Netmask , ... درباره آدرس آیپیتون در شبکه میده ، همچنین در ویندوزهای 9x - ME کار دستور Netstat -a روهم انجام میده ، برای هکینگ نیز این دستور و کلاً اطلاعات Routing Tables مهم و مفیده ، من با تایپ این دستور این نتایج را گرفتم :
Dnetstat -r
Route Table
===================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2000003 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===================================
===================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 64.110.148.61 64.110.148.61 1
64.110.148.48 255.255.255.255 64.110.148.61 64.110.148.61 1
64.110.148.61 255.255.255.255 127.0.0.1 127.0.0.1 1
64.255.255.255 255.255.255.255 64.110.148.61 64.110.148.61 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 224.0.0.0 64.110.148.61 64.110.148.61 1
Default Gateway: 64.110.148.61
==================================
Persistent Routes:
None
که البته این دستور را من در ویندوز 2000 استفاده کردم و اگر شما در ویندوز ME یا 9x این دستور را تایپ کنید نتایج بیشتری از ارتباطهایتان خواهیذ گرفت .
خب دوستان این دستورهایی که راجبشون توضیح دادم معروفترین و پرکاربردترین دستورهای Netstat بود ولی بجز اینها دستورهای دیگری هم وجود داره که دیگه فکر نکنم توضیح راجب آنها ضروری بنظر برسه ولی برای اینکه خود شما هم تمرینی کرده باشین این دستور را تست کنید : Netstat -s و ببینید که چه اطلاعاتی میتونید با دادن این دستور بدست بیارین .
________________________
While !me.died
me.work () ;
l
سلام
بخش file system security رو آماده کردم:
اولین ، ساده ترین و معروفترین راه استفاده از پرمیژن های NTFS می باشد.
همانطور که می دانیم در WIN XP و WIN 2003 SRV پرمیژن های NTFS وجود دارند و
از آنها میتوان در محافظت از فایل های روی هارد استفاده کرد. از انجایی که همۀ ما کم و بیش با این
پرمیژن ها آشنا هستیم ، نیازی به توضیح نحول ست کردن و اضافه کردن یوزر ها ویا گرو هها نمی بینم.
فقط توجه داشته باشیم این محافظت یک محافظت اولیه است و نیاز به مداخلۀ زود به زود
در منابع و فایل ها دارد و باید دائما کنترل شود. از طرفی گاهی اوقات ست کردن ان برای انبوهی از یوزر ها
با استثنا های مختلف واقعا سخت و طاقت فرساست.
2- EFS : Encrypting file system
NTFS هرچند دقیق و بی اشتباه است ولی نقطه ضعف هایی نیز دازد ، اگر بر روس سرور یا در
کنار کلاینت سیستم عامل دیگر نصب یا لود شود ، یا برنامه های تحت داس که به NTFS دسترسی
دارند ( volkov commander ) کلیه پرمیژن ها حذف و تمام فایل ها قابل دسترسی خواهند بود.
جهت حل این مشکل از EFS استفاده میکنیم .
تعریف : EFS مجموعه توابعی است از در کنار NTFS کار میکند و کار رمز نگاری و رمز گشایی را
بر عهده دارد. توجه کنیم : کار کنترل دسترسی ، ACL ها و غیره باز هم بر عهدۀ NTFS است ولی
EFS تصمیم میگیرد ، فایل برای چه یوزری باید رمز گشایی شود.
بدیهی است که اگر هار شما هم دزدیده شود اطلاعات آن به هیچ دردی نمی خورند و خیالتان
راحت استو این امر در مورد لپتاپ ها که حاوی اطلاعات شخصی هستند بسیار کاربرد دارد.
این را هم بگویم که رمز نگاری و رمز گشایی بر اساس کلید های عمومی و خصوصی بین منابع
و یوزر ها انجام می شود. رمز نگاری میتواند در سطح فایل یا فولدر اعمال شود. اما فولدر بهتر است.
برای اعمال EFS روی فولدر : رایت کلیک ، پراپرتیس ، ادونس ، Encryp content to secure data
حال فولد فقط برای یوزری که ان رمز کرده است قابل دیدن است!
رنگ اسم فایل های رمز شده توسط EFS سبزدیده خواهد شد. اگه فیل رو درگ کنین
بندازین تو فولدر رمز شده ، اون فایل خود به خود رمز خواهد شد.
از مسیر زیر در GPO هم به یوزر های تحت دامین اجازه میدین که از EFS استفاده کنند.
Computer Configuration
Windows Settings
Encrypting File System.
دلم نمیاد ابنو نگم : اگه در سیستمی از EFS زیاد استفاده بشه ، احتمال اینکه کپی اولیۀ
اظلاعات اصلی که رمزنگاری شدن ، بصورت غیر رمز نگاری رو هارد در دسترس باشه زیاد هست.
در XP و WIN 2003 ُSRV از ابزار تحت کامند Cipher.exe استفاده می شود ، که فایل های رمز نشده
ای که معادل رمز شدل ان وجود دارد را پیدا و گزارش می دهد. یاد گیری به عهدل شما.
این بخش اخر کمی پیچیده ولی جالب است:
میدانیم EFS فایل ها را توسط کلید هایی به اسم EFK رمز میکند، خود EFK با کلید های عمومی
کاربر رمز می شود ! حال یوزر با کلید خصوصی خود ، کلید عمومی را می سازد ، EFK رمز گشایی
و در نهایت فایل ها دیده میشود!!!
این عملیات در پشت صحنه انجام میشود و ما فقط دابل کلیک می کنیم.
حال یک سوال :اگر نفوذگری ، محل کلید های خصوصی را که چندان هم سخت نیست را
بیابد ، چه میشود؟ جواب: به تمامی فایل های ان کلید دسترسی خواهد داشت.
حال جهت حل این مشکل یک راه داریم... بخش بعدی...
3-SYSKey
حال که فهمیدیم چرا به SYSKey نیاز داریم کمی در مورد خود ان بگویم.
تعریف: SYSKey عبارت است از رمز نگاری SYmmetric 128 بیتی که کلید های خصوصی را
رمزنگاری و محافظت میکند تا از دست نفوذگران بدور بماند.!
اعمال ان هم براحتی امکان پذیر است. از کامند پرامت ویندوز
دستور syskey.exe رو اجرا کنید ، از شما پسوردی خواسته خواهد شد که ان رمز در حقیقت کلید اصلی
سیستم شماست ، اگه فراموش کردین ، همونجا هارد رو فرمت و ویندوز نصب کنین.
جالب اینکه خود این پسورد شما هم میتواند در ناحیۀ SAM کامپیوتر ذخیره شود ، هم روی فلاپی!
و اگه فلاپی را با خود همرا داشته باشید ، مطمئن باشین که دسترسی به سیستم شما
امکان نخواهد داشد، به این معنی که بدون ان چیزی قابل استفاده نخواهد بود.
اینها امکاناتی بودند که برای محافظت از فایل های شما وجود دارند. حال بسته به سواد امنیتی
مدیر شبکه و در سناریو های مختلف میتوان از ان استفاده کرد.
اگر نازی به توضیح بود حتما بگین و توضیحات تکمیلیتونو حتما اضافه کنین. اگه غلت املایی داشت
ببخشین، نصف شب تایپ کردم.
_______________________________
While !me.died
me.work() ;
l
honeypo ها :
قدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهايي قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
يک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتي از فعاليتهاي بي مجوز و نا مشروع جمع آوري مي کند.
البته اين يك تعريف كلي مي باشد كه تمامي گونه هاي مختلف Honeypot ها را در نظر گرفته است. ما در ادامه مثالهاي مختلفي براي Honeypot ها و ارزش امنيتي آنها خواهيم آورد. همه آنها در تعريفي كه ما در بالا آورده ايم مي گنجند ، ارزش دروغين آنها براي اشخاص بدي كه با آنها در تماسند. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.
فوايد Honeypot ها
Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.
2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.
3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.
4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.
مضرات Honeypot ها
شبيه تمامي تكنولوژيها ، Honeypot ها نيز داراي نقاط ضعفي مي باشند. اين بدان علت مي باشد كه Honeypot ها جايگزين تكنولوژي ديگري نمي شوند بلكه در كنار تكنولوژيهاي ديگر كار مي كنند.
1- محدوديت ديد : Honeypot ها فقط فعايتهايي را مي توانند پيگيري و ثبت كنند كه به صورت مستقيم با آنها در ارتباط باشند. Honeypot حملاتي كه بر عليه سيستمهاي ديگر در حال انجام است را نمي توانند ثبت كنند به جز اينكه نفوذگر و يا آن تهديد فعل و انفعالي را با Honeypot داشته باشد.
2- ريسك : همه تكنولوژيهاي امنيتي داراي ريسك مي باشند. ديوارهاي آتش ريسك نفوذ و يا رخنه كردن در آن را دارند. رمزنگاري ريسك شكستن رمز را دارد، IDS ها ممكن است نتوانند يك حمله را تشخيص دهند. Honeypot ها مجزاي از اينها نيستند. آنها نيز داراي ريسك مي باشند. به خصوص اينكه Honeypot ها ممكن است كه ريسك به دست گرفتن كنترل سيستم توسط يك فرد هكر و صدمه زدن به سيستمهاي ديگر را داشته باشند. البته اين ريسكها براي انواع مختلف Honeypot ها فرق مي كند و بسته به اينكه چه نوعي از Honeypot را استفاده مي كنيد نوع و اندازه ريسك شما نيز متفاوت مي باشد.ممكن است استفاده از يك نوع آن ، ريسكي كمتر از IDS ها داشته باشد و استفاده از نوعي ديگر ريسك بسيار زيادي را در پي داشته باشد.ما در ادامه مشخص خواهيم كرد كه چه نوعي از Honeypot ها داراي چه سطحي از ريسك مي باشند.
چگونگي و شيوه به كار بردن Honeypot ها مي باشد كه ارزش و فوايد و مضرات آنها را مشخص مي كند. در ادامه بيشتر روي آن بحث خواهد شد.
متن بالا نوشته خودتان است ؟نوشته اصلی توسط zamoova
در غیر این صورت منابع نوشته های خودتان را بنویسید.
به پست های قبل مراجعه کنید.متن بالا نوشته خودتان است ؟
در غیر این صورت منابع نوشته های خودتان را بنویسید.
مجوز های ارسال و ویرایش
25سپاس
LinkBack URL
About LinkBacks
