HONEYPOT NEDİR?

HONEYPOT (BAL KÜPÜ) NEDİR?

Honeypot, sistemlerinin yetkisiz kullanımına teşebbüsleri tespit etmek üzere tasarlanmış tuzaklardır Belli bir sistemin, işletim sisteminin, ağın güvenlik açıklarını incelemek için kullanılır. Bu açıklık incelemesini tuzaklar sayesinde yapar. Yani; sistemimizi dışarıdan saldırılara açıkmış gibi gösterir.

Özetle; saldırgan bizim sistemimize saldırmak istediğinde karşısında konfigüre ettiğimiz bir sistemi görür. Gördüğü sisteme sanki gerçek bir sistemmiş gibi saldırmayı dener. Ve bal küpümüz devreye girer. Saldırganın hareketlerini, saldırı tekniğini loglamaya başlar. Böylelikle saldırganın nereden hangi yöntemleri kullanarak saldırmış olduğunu analiz ederek gerçek sistemimizi bu saldırılardan korumayı amaçlarız.

Honeypotların çalışma mantığı IDS(Intrusion Detection System) saldırı tespit sistemlerinin çalışma mantığı ile paraleldir. 
İki tür Honeypot vardır:

Üretim Honeypot : Bir organizasyondaki riskin azaltılmasına yardımcı olmak amacıyla honeypot oluşturulur.Temel kullanım sebebi sunucu güvenliğini sağlayabilmek ve saldırı metodolojilerini anlayabilmektir. Saldırılar ve saldırganlar hakkında araştırma honeypotlarına göre daha az bilgi elde ederler. Sanal makinelere kurulup kullanılabilir.

Araştırma Honeypot : Bir çeşit gözlem defteridir. Saldırıların nerelerden ve nasıl şekilde geleceğini gözlemler. Saldırganın tüm hareketlerini loglayarak kayıt altında tutar. Bu sayede kriz anında nasıl davranılması gerektiği hakkında sistemi koruyan kişilere karşı bilgi aktarımı oluşturur. Araştırma honeypotlarının kurulumu ve bakımı zordur. Daha kapsamlı bilgi tutarlar ve özellikle askeri kurumlar, araştırma ve devlet kurumları tarafından kullanılırlar. Üretim Honeypotları sanal makine üzerinde tutulabilirken Araştırma Honeypotları fiziksel bilgisayar üzerinde barındırılırlar.

Neden Honeypot Kullanılır?

Honeypot kullanmak için geçerli iki neden vardır. Bunlardan ilki araştırma yapmamıza olanak sağlamasıdır. Dışarıdan saldırılara açık gibi gösterdiğimiz sistemimize erişen kişilerin hangi teknikleri ve hangi yolları kullandıklarını görerek saldırı metodolojisini anlamamızı sağlar. Diğer bir sebep de sistemimize saldıran kişiler hakkında adli veri toplamızı sağlamasıdır.

Saldırganın hangi saldırı türünü kullandığını ve nereye saldırdığını öğrenme şansımız olabilir. Saldırırken çalışan servislerde ne tür exploitler deniyor, hangi şifrelerle brute force attack yapıyor bunları grafiksel hale dökerek bile inceleyebiliriz. Bu verileri inceledikten sonra ne olacak diye bir soru sorabiliriz. Bu verileri inceledikten sonra gerekli analiz yapılarak sistemimizde bu ataklara karşı bir zafiyet varmı diye kontrol edebiliriz. Örneğin kolay parola zafiyeti veya local root exploit zafiyeti gibi zafiyetler varmı diye kontrol edebiliriz. Daha sonra gerekli savunma faaliyetlerini, sıkılaştırmaları sistemimizde yapabiliriz. (Kaynak)

Honeypot’un Avantajları

En büyük avantajı zor tespit edilebilmesi ve gerçek bir sistemmiş gibi konfigüre edilen tuzak sistemler olmasıdır.

Gerçek veriler toplar. Bu bilgilerin hepsi saldırılar sonucu oluştuğu için tamamiyle gerçektir.

Yanlış uyarı çok azdır. IDS, IPS gibi diğer algılama teknolojilerindeki yanlış uyarılar Honeypot’a göre çok daha fazladır.

Saldırganın şifrelemesini devre dışı bırakır. Yani saldırgan şifreleme yapsa da yapmasa da her halükarda yakalanacaktır.

Basittir. Honeypot’u anlamak, dağıtmak ve bakım yapmak çok basittir.

HoneyNET Nedir ?

Saldırgan atak yapmaya başladığında honeypot olmayan bir ağa sızmayı denediğinde bu bir zafiyet oluşturabilir. Bunun için de birçok honeypot’u farklı ağlarda konfigüre ederek bir honeypot ağı da kurulabilir. Bu tarz sistemlere HoneyNet denir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir