Honeypot Neden Kullanılır? | 5. Yazı

Bu serinin önceki yazıları

  1. Malware, Honeypot, Sandbox, Cloud 
  2. Malware Nedir ? Malware Türleri
  3. Malware Analizi
  4. HONEYPOT NEDİR?

 

 

Ve şimdi de 5. yazımız olan Honeypot Neden Kullanılır isimli yazımızdayız.

Honeypot Kullanım Amacı

Honeypotlar araştırma yapmamıza imkan sağlayan yapılardır. En çok bu sebeple tercih edilirler. Saldırganın anlayabileceği açıklar bırakılarak nasıl ve nereye saldırdığı bilgilerini izlememizi, kaydetmemizi, raporlamamızı sağlar. Raporlayabilmemiz sebebiyle de elimizde adli açıdan yeterli kaynaklar olmuş olur.

Sistemimize saldırıların nereye geleceğini, saldırganın nerelere nasıl saldıracağını teker teker inceleyebiliriz. Saldırı aşamasında hangi exploitlerin denendiğini, şifremizi nasıl tahmin edip hangi kelimelerin türevleriyle brute force denediğini raporlayabilir, grafiklere dökerek okunurluğunu kolaylaştırabiliriz.

Bu verileri inceledikten sonra gerekli analiz yapılarak sistemimizde bu ataklara karşı bir zafiyet var mı diye kontrol edebiliriz. Parolamızı yeterince güçlü seçmediysek eğer parolamızı güçlendirebiliriz. Başka bir açık çıkıyorsa eğer o açığımızı kapatabiliriz. Gerekli önlemleri alarak sistemimizi güçlendirebiliriz.

Honeypot’un Avantajları

Honeypotlar gerçek bir sistemin kopyası olarak konfigüre edilir fakat kopya sistem olduğu kolaylıkla tespit edilemez. En az gerçeği kadar gerçek görünür.

Honeypotlara saldırılar gerçekleşir ve bu saldırıların nasıl gerçekleştiği bilgileri toplanır. Bu sebeple honeypotların topladığı tüm veriler gerçek verilerdir.

IDS, IPS algılama teknolojilerine örnek olarak verilir. Bu teknolojilerdeki yanlış uyarılar honeypotların yanlış uyarılarına göre çok daha fazladır. Honeypotlar yanlış uyarılara karşı daha duyarlıdır ve daha güvenilirdir.

Saldırganın şifrelemesini devre dışı bırakır. Yani saldırgan şifreleme yapsa da yapmasa da her halükarda yakalanacaktır. Attığı tüm adımlar kayıt altına alınacaktır.

Basittir. Honeypot’u anlamak, dağıtmak ve bakım yapmak çok basittir.

Honeypot Türleri

Üretim ve Araştırma Honeypotları olarak ikiye ayrılır. Kullanım amaçlarına göre bu isimlerde ikiye ayrılmışlardır. Alt başlıklar halinde daha detaylı olarak inceleyeceğiz.

Üretim Honeypot

Üretim honeypotlarının kullanılmasındaki asıl amaç, şirketteki/ organizasyondaki/kurum ve kuruluşlardaki sunucuların güvenliğini sağlayabilmek ve saldırganın nereleri kullanarak saldırabileceğini anlamaktır.

Saldırgan metotlarını anlamak için araştırma honeypot kullanmak daha mantıklıdır. Üretim honeypotlarını sanal makinelere kurarak kullanabiliriz.

Araştırma Honeypot

Araştırma Honeypotlarının asıl amacı saldırganın nerelere nasıl saldırdığını anlayabilmek ve bunu raporlayabilmektir. Saldırıya açılan sisteme gelen saldırıları teker teker gözlemlemizi sağlar.

Saldırganın tüm hareketlerini kayıt altına alabiliriz, herhangi bir kötü durumda nasıl davranmamız gerektiğine dair bize yol gösterici olur. Araştırma honeypotlarının kurulumu ve bakımı üretim honeypotlarına göre çok daha zahmetlidir.

Daha kapsamlı olması sebebiyle devlet kurumları, askeri kurumlar ve araştırma üzerine kurulmuş şirketler tarafından kullanılır. Üretim honeypotları ile araştırma honeypotları arasındaki diğer  bir fark, üretim honeypotları sanal makine üzerinde tutulabilirken araştırma honeypotları fiziksel bilgisayar üzerinde barındırılırlar.

Honeypot Tespit Yöntemleri

Honeypotları tespit etmek için çeşitli yazılımlar vardır. Send-Safe Honeypot Hunter honeypot tespiti için tercih edilen yazılımdır.

Nessus isimli bir program vardır. Bu program penetrasyon testlerinde de sıklıkla kullanılmaktadır. Tarama yapılan sistemin büyüklüğüne göre tarama süresi değişmektedir.

Ağı detaylıca inceler. Ağda bulunan her cihazı ayrı ayrı tespit ederek ne gibi açıklara sahip olduğunu, ne kadar önemli olduğunu vs. yazar. Penetrasyon testleri yapan kişilerin işini çok büyük anlamda kolaylaştırır.

Önem sırasına göre tablolar oluşturması okunaklılığını kolaylaştırır. Ağda kaç bilgisayar olduğunu görürüz, bu bilgisayarların hangi marka olduğunu görerek eşleştirme yapabiliriz. Burada edindiğimiz bilgiler sayesinde penetrasyon testlerini yapmamız kolaylaşır. Taraması çok kapsamlı olduğundan dolayı honeypotları da tespit edebiliriz.

Metasploit de kullanılan diğer bir yazılımdır. Penetrasyon testlerinin vazgeçilmezleri arasındadır. Exploit yükleyip çalıştırabilme özelliği sayesinde çok fazla şey yapılabilmektedir. Ayrıca metasploit penetrasyon testlerinde sadece saldırma amacı taşımaz. Backdoor oluşturmak isteyenlerin de bir numaralı yazılımıdır. Amaca yönelik çeşitli modülleri bulunmaktadır.  Bu modüllerden bizim burada işimize yarayacak olanı da Kippo’yu tespit eden modülüdür. Kippo honeypotlardaki toollardan birisidir. Bu toolu

$auxiliary/scanner/ssh/detect_kippo komutuyla bulabiliriz.

Honeypot Projeleri isimli yazıma ulaşmak için buraya tıklayabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir