Honeypot Sistemleri

0
870
views
Honeypot bir saldırganın sistemlere yaptığı saldırıları, etkinlikleri tespit etmek için kullanılan kasıtlı olarak savunmasız bırakılan bir tuzak sistemdir. Bu yazıda Honeypot sistemleri incelenecektir.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

 

A) Honeypot Nedir?

Honeypot (Bal küpü), kuruluşunuzda veya belirli bir bilgi sistem ortamında işlem yapılan cihazlarınızın yanına konumlandırılan, yetkisiz kullanıma yönelik girişimleri tespit etmek, saptırmak, saldırılara karşı koymak için ayarlanmış bir bilgisayar güvenlik mekanizmasıdır.

Honeypot’lar saldırganlar tarafından savunmasız, çekici hedefler gibi görünecek şekilde tasarlanmıştır ve sistemlerden sorumlu ekiplerin sistemdeki güvenlik yanıtlarını izlemesini, saldırganın yaptığı hareketleri, izlediği yolları tespit ederek saldırgana karşı yeni güvenlik önlemleri geliştirmesidir. Honeypot çözümleri genel olarak gelen ve giden tüm trafiği kontrol eden, belirli filtrelerden geçirip, ağ trafiği içerisindeki zararlı eylemleri durdurmayı amaçlayan firewall (güvenlik duvarı) sistemlerinin arkasına konumlandırılır. Asıl amaç saldırganı önemli sistemlerden uzakta tutup, sahte olan sistemlerde hareket etmesini sağlayarak saldırganın honeypot içerisinde daha fazla zaman geçirmesini, etkinliklerinin yetkililer tarafından izlenmesini sağlamaktır. Dikkat edilmesi gereken bir husus ise saldırganların honeypot’u bir basamak olarak kullanmasını önlemektir. Saldırgan honeypot içerisinden bir zafiyet yardımıyla asıl sistemlere sızabilir bu yüzden önceden tüm güvenlik önlemleri alınmış olmalıdır.

 

B) Honeypot’lar Nasıl Çalışır?

Honeypot genel anlamda gerçek bir bilgisayar sistemine tamamen benzemektedir. Honeypot içerisinde saldırganların dikkatini çekmek için kullanılan güvenlik açıklıkları bulunmaktadır. Sisteme saldıracak olan saldırganların ilgi odaklarını honeypot üzerine çekmek için belirli savunmasız bağlantı noktaları kullanılabilir. Savunmasız şekilde olan bu bağlantı noktasından saldırganın göstereceği ve sistem içerisinde nasıl hareket etmeye çalıştığı konusunda bilgiler elde edilebilir.

Honeypot içerisinde saldırgan için düzenlenmiş sahte kullanıcı veya sistem bilgileri bulundurulabilir. Saldırgan için daha kırılabilir şifreler, çözümlenmesi daha kolay bir sistem ağı oluşturulur. Saldırganın bu bilgilere erişme sürecinde izlediği yol sistem ve bilgi güvenliği ekibi tarafından kontrol altında izlenerek gerçek sistemlerin korunması açısından alınabilecek önlemler için kullanılabilir.

Honeypot dağıtılırken dikkat edilmesi gereken hususlar;

  • Saldırgan honeypot güvenliğini ihlal ederse,
  • Saldırgan honeypot’a sızarsa ve bunu diğer sistemlere saldırmak için bir üs olarak kullanırsa,
  • Sisteme başarılı bir şekilde sızarsa

alınabilecek önlemler önceden belirlenmeli ve risk değerleri göz önünde bulundurulmalıdır.

 

C) Research Honeypot

Research Honeypot sadece tehditlerin iç sistemlerinizde nasıl bir yol izlediğine değil daha geniş çaplı olarak, nasıl çalıştığına odaklanarak saldırılar hakkında bilgi toplar. Genelde büyük kuruluşlar tarafından kullanılır. Daha karmaşık bir yapıya sahiptir. Birden fazla ağ ve lokasyona dağıtılarak kullanılırlar. Production Honeypot ile kıyaslandığında saldırılar ve güvenlik açıklıkları hakkında daha fazla bilgi elde ettiğini söyleyebiliriz.

 

D) Production Honeypot

Production Honeypot, bir kuruluşun veya sisteminizin ağı içinde koşullandırılarak gelebilecek saldırılar üzerinde bilgi toplamak için kullanılır. Olası bir saldırı meydana geldiğinde IP adreslerini, trafiğin oluşma şekli, büyüklüğü gibi benzer konular hakkında birçok veri toplayabilir. Production Honeypot şirketler ve işletmeler tarafından sıkça tercih edilen sistemlerdir.

Production Honeypot sistemlerine ulaşan siber saldırıları, güvenlik açıklıklarını tespit etmede fayda sağlamakla kalmayıp kullanımı açısından da kolay olduğu için tercih edilmektedir.

Etkileşim seviyelerine göre bal küpleri şu şekilde sınıflandırılabilir:

  • High Interaction Honeypots (Yüksek etkileşimli bal küpleri): Gerçek sistemlerin hareketlerini taklit ederler. Saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Saldırganının hareketlerini izler, sistemde veya makine üzerindeki tüm etkinlikleri kaydedebilir. Zengin bir bilgi sunabilse de sistem veya ağ için ek riskler de oluşturabilir. Yüksek etkileşimli bal küpleri, düşük etkileşimli bal küplerine göre daha zor tespit edilebilmektedirler. Fakat maliyetleri düşük etkileşimli bal küplerine göre daha yüksektir.
  • Low Interaction Honeypots (Düşük etkileşimli bal küpleri): Saldırganlar tarafından sık kullanılan bazı servisleri taklit edebilirler. Low-interaction honeypots, bağlantı isteklerini yakalar ve güvenlik ekibine bir izinsiz giriş isteği olduğunu bildirir. Yüksek etkileşimli bal küplerine kıyasla daha az kaynak harcadıkları için bir fiziksel makinede kolaylıkla birden fazla sanal makine çalışabilir.

 

E) Entrapment ve Enticement

E.1) Entrapment (Tuzak)

  • Bir bilgisayar korsanının suç işlemek gibi bir niyeti yoktur fakat kişiyi bu suçu işlemeye teşvik ederek suçu işlemesine sebep olunursa bu tuzak sistemi oluşturur.
  • Hassas verilerin açık bir şekilde reklamını yaparak bu verilere erişim sağlandığında kişileri suçlamak tuzak sisteme ait bir özelliktir. Bu durum yasadışı ve etik değildir.
  • Tuzak, bilgisayar korsanları için sağlam bir yasal savunmadır.

 

E.2) Enticement (Cezbetme)

  • Honeypot’lar Enticement’ı kullanmanın iyi bir yolu olabilir.
  • Bir bilgisayar korsanının suç işlemesi için saldırıya uğrayabilecek bir sunucuda açık bağlantı noktalarını bırakarak sistemi daha cazip hale getirmesini sağlar ancak kişi zaten yasaları çiğnemiş veya en azından buna karar vermiştir. Bu sistemin uygulanması yasal ve etiktir.
  • Enticement, sistem yöneticilerinin güvenliği artırmak için yapılan etkinliği izlemesine veya saldırıyı izlemesine olanak tanır.
  • Enticement bilgisayar korsanları için geçerli bir savunma değildir.

 

E) Yaygın Olarak Kullanılan Honeypotlar

F.1) Client Honeypot

Client Honeypot, bir istemci gibi davranır ve bir saldırının meydana gelip gelmediğini incelemek için sunucuyla etkileşime girmektedir. Bir saldırganın saldırı esnasında sunucuda nasıl bir işlem veya değişiklik yaptığını gözlemlemek için istemci gibi davranmaktadırlar. Client Honeypot sanallaştırılmış bir ortamda çalıştırılırlar. Odak noktaları genellikle web tarayıcılarıdır fakat sunucularla etkileşime giren herhangi bir istemci honeypot’un bir parçası olabilir.

 

F.2) Glastopf

Glastopf, güvenlik açığı barındıran bir web sunucusunu taklit eden düşük etkileşimli, açık kaynaklı, kurulumu kolay ve basit bir şekilde konfigürasyonu sağlanabilen bir bal küpüdür. Python, PHP ve MySQL üzerinde çalışan Glastopf, binlerce güvenlik açığı bulunan birçok web sayfasını ve web uygulamaları barındıran savunmasız bir web sunucusunu taklit edebilir. Glastopf, GUI yönetimi ve raporlama özelliklerine sahiptir ve aktif olarak korunur ve güncellenir.

Birçok bal küpü sisteminin aksine Glastopf, saldırıları simüle etmekte ve uygun bir cevap üretmektedir. Bu şekilde çalışan Glastops sayesinde saldırıyı düzenleyen kullanıcılar bir bal küpü ile etkileşimde olduklarını kolaylıkla fark edemezler.

 

F.3) Spectre

Spectre ticari bir honeypot olarak kullanılmaktadır. GUI tabanlıdır. Spectre yazılımı HTTP, SMTP, FTP, POP3 ve diğerleri gibi büyük İnternet protokollerini taklit edebilme yeteneğine sahiptir. Bu protokolleri taklit edebilme yeteneğine sahip olduğu için tam anlamıyla sunucu gibi davranabilir.

Spectre honeypot çözümünün kendi içeriğini güncelleyebilme, saldırganları izleyebilmek için belirleyici dosyalara sahiptir. Spectre analiz için sunucuya giden tüm trafiği günlüğe kaydederek daha sonra incelenmesi için kullanışlı olabilmektedir. Spectre honeypot çözümünü beş şekilde kullanabilirsiniz. Bunlar; open, safe, fail, strange, aggressive özellikteki seçeneklerdir.

  • Open Mode (Açık Mod): Genellikle amatör saldırganları tespit etmekte kullanılır. Sistemin çalışma prensibi savunmasız bir şekilde yapılandırılmış bir sunucu gibi davranmaktadır.
  • Safe Mode (Güvenli Mod): Açık modun aksine daha güvenli bir şekilde yapılandırılma sağlanmıştır. Saldırganların açık moda göre anlaması daha zordur.
  • Fail Mode (Başarısız Mod): Buradaki amaç saldırganların dikkatini çekmesi için yazılım ve donanım sistemlerinde belirli sorunları göz önünde tutarak sistemin savunmasız olduğu kanısına varmalarını sağlamaktır.
  • Strange Mode (Garip Mod): Sistemin değişik bir şekilde davranmasını sağlayarak genellikle tecrübeli saldırganların dikkatini çekmek amaçlanır. Saldırganın sistemde kalacağı süre boyunca sistemin garip bir şekilde hareket etmesi hem saldırganın sistem içerisinde daha uzun soluklu kalmasını hem de saldırganın hareketlerini izleyen kullanıcılar için avantaj sağlar.
  • Aggressive Mode (Agrasif Mod): Sistemin kullanılma amacı beklenmeyen saldırganların aktif olarak izlenmesini ve saldırganın kimliğini elde etmek için kullanılır.

Spectre de kullanılan tüm özelliklerde gelen paketlerden türetebileceği tüm bilgiler dahil olmak üzere tüm etkinliği günlüğe kaydedebilir. Önemli özelliklerinden biri olan ise saldırganın makinesinde iz bırakmaya çalışır. Bunu yapmasındaki amaç ise herhangi bir adli analiz aşamasında kanıt olarak kullanılmasına olanak tanımaktadır. Spectre kullanıcılar için tüm modlarda sahte bir şifre dosyası yapılandırabilir. Genellikle bu özellik kullanılır çünkü saldırganlar şifreleri çözmek için şifre dosyasına ulaşmaya çalışırlar.

  • Easy Mode (Kolay Mod): Parolaların kırılması kolaydır. Saldırganın kullanıcı adları ve şifrelere eriştiğine inanmasını sağlamaktadır. Saldırganın kullanacağı oturum bilgilerinin sahte olduğunu ve sistemi izlemek için kullanıldığını biliyorsanız sistem üzerinde hareketlerini ve saldırganı izleme olasılığınız daha yüksektir.
  • Normal Mode (Normal Mod): Kolay moda göre daha zor şifreler barındırmaktadır.
  • Hard Mode (Zor Mod): Zor olarak nitelendirilen şifreler kullanılmaktadır. Saldırganların şifreleri kırmak için sistemde daha fazla zaman harcamasına ve saldırganın hareketlerinin izlenmesi için daha fazla olanak sağlamaktadır.
  • Entertainment Mode (Eğlence Mod): Farklı, değişik veya ünlü isimlerinden oluşan kullanıcı adları kullanılır. Saldırganın dikkatini çekmek amaçlanır.
  • Alert Mode (Uyarı Mod): Saldırganın şifre dosyasını kırabildiğini tespit ettiğini bildiren bir uyarı alır. Bu uyarının verilmesindeki amaç ise saldırganın sistem üzerinde ki bundan sonraki hareketidir. Saldırganın asıl hedefinin ne olduğunu ve saldırgana tespit edildiğini bildirmek için kullanılır.

 

F.4) Database Honeypot

Database Honeypot genellikle veri tabanına yönelik saldırılarda kullanılır. Bunun için sahte veri tabanları oluşturulabilir ve saldırganların dikkatini çekmesi için gerçekçi bir şekilde düzenlenmektedir. Bir veri tabanı güvenlik duvarı ile oluşturulabilir.

 

F.5) KFSensor

KFSensor, Windows tabanlı kurumsal ortamda kullanılması için tasarlanmış, uzaktan yönetim, Snort uyumlu imza motoru ve Windows ağ protokolleri gibi birçok yenilikçi ve eşsiz özellik içerir. KFSensor Windows tabanlı bir bal küpü saldırı tespit sistemidir. Sanal olarak savunmasız sistem hizmetlerini ve Truva atlarını (trojan) simüle ederek saldırganları ve zararlı yapıları tespit etmek için kullanılan bir sistemdir. Tuzak bir sunucu olarak hareket ederek, kritik ve önemli sistemlerden gelen saldırıları yönlendirebilir. Sistemlerde kullanılan güvenlik duvarları, NIDS kullanılarak elde edilebilecek olan bilgilerden daha fazla bilgi sağlayabilmektedir.

 

F.6) Malware Honeypot

Kötü amaçlı olarak kullanılan yazılımlar göz önünde bulundurularak genellikle bilinen saldırı vektörlerini kullanılırlar. Örneğin, bir USB (Universal Serial Bus) depolama aygıtını taklit edebilirler. Bir bilgisayar saldırıya uğrarsa, bal küpü kötü amaçlı yazılımı taklit edilen USB’ye saldırması için kandırır.

 

F.7) Honeynet

Honeynet, birden fazla bal küpünün bir araya gelerek oluşturduğu ağa denir. Honeynet çözümünü oluşturan farklı türde bal küpleri ile DDOS saldırıları, CDN (Content Delivery Network) yönelik saldırılar gibi çeşitli saldırılar üzerinde çalışabilirler. Honeynet, çeşitli saldırı türlerini incelemek izlemek için konumlandırılsa da kurum içerisinde sistemlerin güvenliğini sağlamak için gelen ve giden tüm trafiği içerirler.

 

F.8) Spam Honeypot

Spam Honeypot çözümleri spam göndericilerin ilgisinin çekmek için tasarlanmıştır. Spam göndericileri ilk olarak kendilerine bir e-posta göndermek için sistemleri kullanarak posta geçişlerinde testler gerçekleştirir. Eğer başarılı olurlarsa, büyük miktarda spam gönderimi yapabilirler. Burada spam honeypot, spam göndericisinin testini tanımlayabilir ve ardından gönderilmeye çalışılan spam’ı engelleyebilirler.

 

F.9) Ghost USB

Kötü amaçlı yazılımların daha kolay tespit edilebilmesi ve analizini sağlamak için sahte bir USB(Universal Serial Bus) sürücüsü olarak kullanılan bir honeypot çözümüdür.

 

G) Honeypot Kullanımının Faydaları

Kurumsal ağlarda Honetpot kullanımının başlıca yararları aşağıdaki gibi sıralanabilir.

  • Saldırganın honeypot üzerinde işlem yapmasını sağlarlar.
  • Saldırıyı yapan kişilerin davranışlarını, nasıl bir yol izlediklerini inceleyebilmenizi sağlar.
  • Hassas ve kritik olan verilerinizin değil sahte olan veriler üzerinde işlem yapmaya ikna edebilir.
  • Saldırganların honeypot üzerinde kalma sürelerini artırırlar.
  • Kurumunuzda bulunan honeypot sayesinde güvenlik ekibinizin ve sisteminizin olası bir saldırıya karşı nasıl bir tepki verileceğini izlemenin en iyi yoludur.
  • Sistem içerisinde bulunan zayıf politikaların tespiti ve önlem alınması konusunda kullanılır.
  • Honeypot’lar, gerçek saldırılardan ve diğer yetkisiz faaliyetlerden veri toplayarak analistlere zengin bir faydalı bilgi kaynağı sağlar.
  • False-Positive uyarıların daha az gelmesini sağlar.
  • Saldırgan bir şifreleme yöntemi kullansa bile kötü amaçlı etkinlikleri tespit eder.

 

H) Honeypot Kullanımının Dezavantajları

Kurumsal ağlarda Honetpot kullanımının başlıca zararları aşağıdaki gibi sıralanabilir.

  • Yalnızca saldırı gerçekleştiğinde bilgi toplayabilirler. Honeypot ile etkileşim sağlanmazsa, analiz edilebilecek verinin bulunmadığı anlamına gelir.
  • Tecrübeli saldırganlar honeypot sistemini ayırt edebilirler.
  • Yüksek etkileşimli bir honeypot, düşük etkileşimli bir honeypot çözümünden daha risklidir
  • Gerçek ağdan izole edilmiş olmalarına rağmen, içerideki bilgileri toplamak için honeypot çözümüne gerekli sistem yöneticileri bağlanır. Bu da gerçek sistemle alakalı bir tehdit oluşturabilir.
  • Saldırganlar honeypot olduğunu düşünürlerse bundan kaçınırlar.

 

Kaynaklar:

https://www.honeynet.org/projects/old/glastopf/
https://www.fortinet.com/resources/cyberglossary/what-is-honeypot
https://usa.kaspersky.com/resource-center/threats/what-is-a-honeypot
https://www.priviasecurity.com/honeypot-nedir/
https://en.wikipedia.org/wiki/Client_honeypot
https://www.techtarget.com/searchsecurity/definition/honey-pot
https://tr.wikipedia.org/wiki/Bal_k%C3%BCp%C3%BC

What’s the Difference Between a High Interaction Honeypot and a Low Interaction Honeypot?


https://www.sciencedirect.com/topics/computer-science/low-interaction-honeypot#:~:text=A%20low%2Dinteraction%20honeypot%20simply,gain%20access%20to%20the%20system.

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.