تقنية وعاء العسل او ال Honeypot تم اكتشافها عام 1990م من قبل شخص يدعى (Califrod Stoll) .
تعريف تقنية ال (Honeypot) :
هي عبارة عن أنظمة ترتكز فكرتها الأساسية على تضليل المخترقين ومختبري الاختراق وتتبع تحركاتهم داخل النظام ، عبر انشاء أنظمة وهمية مليئة بالثغرات لإيهام المخترق بأنه نجح في اختراق النظام. ولكنه فعليا اخترق نظام وهمي ولم يصل لأي شيء داخل الشبكة .
هي عبارة عن أنظمة ترتكز فكرتها الأساسية على تضليل المخترقين ومختبري الاختراق وتتبع تحركاتهم داخل النظام ، عبر انشاء أنظمة وهمية مليئة بالثغرات لإيهام المخترق بأنه نجح في اختراق النظام. ولكنه فعليا اخترق نظام وهمي ولم يصل لأي شيء داخل الشبكة .
دواعي استخدام واستعمال مثل هذه الأنظمة :
1- تبادل المعرفة وجمع المعلومات الاستخبارية (Intelligence Information gathering) .
2- استشعار الأخطار والانذار المبكر بها (Proactive Defense) أو ماييعرف بالدفاع من العمق (Defense in Depth) ، ويتم ذلك عبر احد هذه السيناريوهات :
1- تبادل المعرفة وجمع المعلومات الاستخبارية (Intelligence Information gathering) .
2- استشعار الأخطار والانذار المبكر بها (Proactive Defense) أو ماييعرف بالدفاع من العمق (Defense in Depth) ، ويتم ذلك عبر احد هذه السيناريوهات :
يتم إطلاق الانذار عند مرور أي بيانات من وإلى نظام ال Honeypot وتعتبر فوراً محاولة اختراق .
إن لم يكن في هذه النقطة من الشبكة نظام كشف الدخلاء (IDS - Intrusion Detection System) أو لا يوجد تواقيع (Signature) لعملية الاختراق فإن Honeypot سيكون هو الطريق الأمثل لكشف هذا الاختراق
إن لم يكن في هذه النقطة من الشبكة نظام كشف الدخلاء (IDS - Intrusion Detection System) أو لا يوجد تواقيع (Signature) لعملية الاختراق فإن Honeypot سيكون هو الطريق الأمثل لكشف هذا الاختراق
3- الخداع (Deception) بحيث يشعر المخترق أو الشخص الذي يحاول الوصول لشبكتك أو أنظمتك بأنه حصل على ما يريد فعلا مما يهديء ويقلل محاولات اختراق الشبكة . وفي نفس الوقت وبنفس القدر من الأهمية تعتبر طريقة فعالة لتنبيه مراقبين الشبكة والقائمين على تأمينها
بوجود خطر دون الانتظار لحدوث اختراق فعلي للشبكة قد لا تحمد عقباه ، وقد تنتج عنه نتائج كارثية من وصول لمعلومات وملفات مهمة وحساسة وتسريبها للعلن والأمثلة على ئلك كثيرة .
4- الأبحاث والتطوير ، حيث تعتبر أفضل مايمكن الحصول عليه من تفعيل هذه التقنية بحيث تستخدم في التجارب على أمن وتأمين الشبكات والأجهزة المتصلة بها .
كما يمكن الاستفادة منها في تداول المعلومات بين مسؤولي الحماية من أجل رفع مستوى الأمان في الأنظمة والمساعدة على فهم وتحليل واختبار اختراق الشبكات
أنواع وتقسيمات ال (Honepot) : هنالك عدة تقسيمات لهذه الأنظمة ، فمنهم من صنفها تبعا لطبيعة الإستخدام و منهم صنفها حسب طريقة التصميم .
حسب أول تصنيف (طبيعة الإستخدام) فإنه يتم تقسيمها لقسمين و هما :
حسب أول تصنيف (طبيعة الإستخدام) فإنه يتم تقسيمها لقسمين و هما :
1- مصائد الانتاج (Production Honeypots) :
و هي تلك التي يتم استخدامها لحماية الشبكات و الأنظمة في المنظمات و المؤسسات و الشركات لزيادة تأمين هذه المؤسسة و حمايتها. يتميز هذا النوع بسهولة استخدامه لكنه يوفر معلومات قليلة عن أي هجوم.
و هي تلك التي يتم استخدامها لحماية الشبكات و الأنظمة في المنظمات و المؤسسات و الشركات لزيادة تأمين هذه المؤسسة و حمايتها. يتميز هذا النوع بسهولة استخدامه لكنه يوفر معلومات قليلة عن أي هجوم.
2- مصائد البحث (Research Honeypots) :
وهي التي يتم استخدامها في الأبحاث من قبل الحكومات و المنظمات و الجهات العسكرية لكشف أي برامج خبيثة و تحليل الهجمات التي من الممكن أن تتعرض لها و يعتبر هذا النوع معقد و لكنه يوفر معلومات كثيرة عن الهجوم .
وهي التي يتم استخدامها في الأبحاث من قبل الحكومات و المنظمات و الجهات العسكرية لكشف أي برامج خبيثة و تحليل الهجمات التي من الممكن أن تتعرض لها و يعتبر هذا النوع معقد و لكنه يوفر معلومات كثيرة عن الهجوم .
أما حسب التصنيف الثاني (وهي الذي يعتمد على طريقة التصميم) فإنه يتم تقسيم هذه الأنظمة الى ثلاثة أنواع و هي :
1- المصائد الكاملة (Pure Honeypots) :
و هي انظمة كاملة تستخدم الشبكات الفعالة ولا تحتاج لأي أنظمة او برامج أخرى لكي يتم تنصيبها معها . مثال عليها أداة تسمى (Sebek) هذا رابط الموقع الخاص بها (projects.honeynet.org 14) .
و هي انظمة كاملة تستخدم الشبكات الفعالة ولا تحتاج لأي أنظمة او برامج أخرى لكي يتم تنصيبها معها . مثال عليها أداة تسمى (Sebek) هذا رابط الموقع الخاص بها (projects.honeynet.org 14) .
2- مصائد عالية التفاعل (High-interactive Honeypots ) :
هذا النوع يتم عن طريق تقليد الانظمة بأنظمة مماثلة بنفس العدد من الخدمات و ذلك لإشغال المخترق بفحص جميع الخدمات لإضاعة وقته و هي أكثر أمنا بحيث يصعب كشفها بسهولة و لكن تكلفتها عالية ، ومن مميزاته :
هذا النوع يتم عن طريق تقليد الانظمة بأنظمة مماثلة بنفس العدد من الخدمات و ذلك لإشغال المخترق بفحص جميع الخدمات لإضاعة وقته و هي أكثر أمنا بحيث يصعب كشفها بسهولة و لكن تكلفتها عالية ، ومن مميزاته :
يعتبر نظام تشفير كامل و لا يفرض أي حدود في الاستخدام .
-يتيح للمخترق التحكم الكامل بالنظام عند اختراقه حيث يستطيع تثبيت برامجه و أدواته عليه كما لو أنه جهازه الخاص .
-يتيح للمخترق التحكم الكامل بالنظام عند اختراقه حيث يستطيع تثبيت برامجه و أدواته عليه كما لو أنه جهازه الخاص .
-ومن عيوبه :
يحتاج مراقبة قوية و حذر كبير عند وضعه في أي نقطة في الشبكة .
غالبا يستخدم في الأبحاث و التجارب للوصول إلى أفضل النتائج اللتي تخدم النظام .
يحتاج مراقبة قوية و حذر كبير عند وضعه في أي نقطة في الشبكة .
غالبا يستخدم في الأبحاث و التجارب للوصول إلى أفضل النتائج اللتي تخدم النظام .
3- مصائد منخفضة التفاعل (Low-interaction honeypots) :
و هي عبارة عن محاكاة للخدمات الأكثر طلبا من قبل المخترقين (او من يحاولون الإختراق) وذلك لأنها تستخدم مصادر قليلة من النظام, بحيث يمكن الإستفادة من ذلك بعمل أكثر من جهاز وهمي على نفس الجهاز الحقيقي و الإستفادة منها معا.
و هي عبارة عن محاكاة للخدمات الأكثر طلبا من قبل المخترقين (او من يحاولون الإختراق) وذلك لأنها تستخدم مصادر قليلة من النظام, بحيث يمكن الإستفادة من ذلك بعمل أكثر من جهاز وهمي على نفس الجهاز الحقيقي و الإستفادة منها معا.
وتستخدم هذه الأنظمة في نقاط الشبكة الحساسة حيث خطر النظام بعد الاختراق يكون أقل على الشبكة .
كما تعتبر نقطة قوية لدعم ال (IDS) في الشبكة حيث يوفر أقصى درجات ال (False-Positive Alarm) لأن أي حركه تأني منه أو إليه تعتبر مشبوهة و بالتالي مرفوضه تماما و يتم الإبلاغ عنها.
كما تعتبر نقطة قوية لدعم ال (IDS) في الشبكة حيث يوفر أقصى درجات ال (False-Positive Alarm) لأن أي حركه تأني منه أو إليه تعتبر مشبوهة و بالتالي مرفوضه تماما و يتم الإبلاغ عنها.
** أهم الإصدارات لهذا النوع من قناني العسل **
1- نظام (Honyed) : هو نظام معياري للنوع (Low Interaction) ويوفر بيئة تفاعلية لخدمات كثيرة الاستخدام مثل (IIS - Telnet - FTP - SSH - Apache) ، ويحتوي على أدوات كثيرة لكشف البرامج الخبيثة . عيبه الوحيد انه ضعيف جدا إذا كان المخترق أو البرامج الخبيثة يقومون بتنفيذ عمليات كثيرة.
2- نظام (Nepenthes) : يعتبر تطويراً للنظام السابق ولكنه أقوى منه بمراحل . ويوفر خدمات أكثر للمخترق و يسمح له بعمل تحركات أكثر مع الخدمات و بالتالي جمع قدر أكبر من المعلومات عن المخترق أو البرامج الخبيثة . لديه قابلة لتنفيذ ال (Shell Codes) ويتعامل مع النظام نفسه و مع البروتوكولات
** عيوب أنظمة ال (Honeypots) :
1- صغر بؤرة أو نطاق المراقبة والفحص ، بحيث تتمركز مراقبه ما يحدث من و إلى هذا النظام فقط مما يغض الطرف عن مراقبه بقية الشبكة .
1- صغر بؤرة أو نطاق المراقبة والفحص ، بحيث تتمركز مراقبه ما يحدث من و إلى هذا النظام فقط مما يغض الطرف عن مراقبه بقية الشبكة .
2- قد يضل النظام لمدة طويلة دون أن يخبر عن شئ وهذا يسبب استهلاك المزيد من الموارد مثل تعدد الأجهزة التي تستضيف أنظمة قناني العسل أو استهلاك الطاقة .
3- العرضة للخطر :
وجود نظام زائد في الشبكة يعني وجود خطر زائد على الشبكة حيث يتطلب حماية و مراقبة و اهتمام أيضا .
نسبة ازدياد الخطر تعتمد على طريقة إعداد النظام نفسه من قِبل مدير الشبكة .
وجود نظام زائد في الشبكة يعني وجود خطر زائد على الشبكة حيث يتطلب حماية و مراقبة و اهتمام أيضا .
نسبة ازدياد الخطر تعتمد على طريقة إعداد النظام نفسه من قِبل مدير الشبكة .
جاري تحميل الاقتراحات...