[seven]

تكنولوژي IDSNIDS (Network Base)
گوش دادن به شبكه و جمع آوري اطلاعات ازطريق كارت شبكه اي كه در آن شبكه وجود دارد .
به تمامي ترافيك هاي موجود گوش داده و در تمام مدت در شبكه مقصد فعال باشد.
HIDS (Host Base)
تعداد زيادي از شركتها در زمينه توليد اين نوع IDS فعاليت مي كنند.روي PC نصب مي شود و از CPU و هارد سيستم استفاده مي كنند.داراي اعلان خطر در لحظه مي باشد.
جمع آوري اطلاعات در لايه Application
مثال اين نوع IDS ، نرم افزارهاي مديريتي مي باشند كه ثبت وقايع را توليد و كنترل مي كنند.
Honey potسيستمي مي باشد كه عملا طوري تنظيم شده است كه در معرض حمله قرار بگيرد. اگر يك پويشگري از NIDS ، HIDS و ديواره آتش با موفقيت رد شود متوجه نخواهد شد كه گرفتار يك Honey pot شده است. و خرابكاري هاي خود را روي آن سيستم انجام مي دهد و مي توان از روشهاي اين خرابكاريي ها براي امن كردن شبكه استفاده كرد.
Honey pot چیست؟
Honeypotها يك تكنولوژي جديد می باشند که قابليتهاي فراواني براي جامعه امنيتي دارند. البته مفهوم آن در ابتدا به صورتهاي مختلفي تعريف شده بود به خصوص توسط Cliff Stoll در كتاب « The Cuckoos Egg » . از آنجا به بعد بود كه Honeypot ها شروع به رشد كردند و به وسيله ابزارهاي امنيتي قوي توسعه يافتند و رشد آنها تا به امروز ادامه داشته است. هدف اين مقاله تعريف و شرح واقعي Honeypot مي باشد و بيان منفعت ها و مضرات آنها و اينكه آنها در امنيت چه ارزشي براي ما دارند.
تعريفقدم اول در فهم اينكه Honeypot چه مي باشند بيان تعريفي جامع از آن است. تعريف Honeypot مي تواند سخت تر از آنچه كه به نظر مي رسد باشد. Honeypot ها از اين جهت كه هيچ مشكلي را براي ما حل نمي كنند شبيه ديواره هاي آتش و يا سيستمهاي تشخيص دخول سرزده نمي باشند. در عوض آنها يك ابزار قابل انعطافي مي باشند كه به شكلهاي مختلفي قابل استفاده هستند.آنها هر كاري را مي توانند انجام دهند از كشف حملات پنهاني در شبكه هاي IPv6 تا ضبط آخرين كارت اعتباري جعل شده! و همين انعطاف پذيريها باعث شده است كه Honeypot ها ابزارهایی قوي به نظر برسند و از جهتي نيز غير قابل تعريف و غير قابل فهم!!
البته من براي فهم Honeypot ها از تعريف زير استفاده مي كنم:
یک Honeypot يك منبع سيستم اطلاعاتي مي باشد كه با استفاده از ارزش کاذب خود اطلاعاتی ازفعالیتهای بی مجوز و نا مشروع جمع آوری می کند.
. به صورت كلي تمامي Honeypot ها به همين صورت كار مي كنند. آنها يك منبعي از فعاليتها بدون مجوز مي باشند. به صورت تئوري يك Honeypot نبايد هيچ ترافيكي از شبكه ما را اشغال كند زيرا آنها هيچ فعاليت قانوني ندارند. اين بدان معني است كه تراكنش هاي با يك Honeypot تقريبا تراكنش هاي بي مجوز و يا فعاليتهاي بد انديشانه مي باشد. يعني هر ارتباط با يك Honeypot مي تواند يك دزدي ، حمله و يا يك تصفيه حساب مي باشد. حال آنكه مفهوم آن ساده به نظر مي رسد ( و همين طور هم است) و همين سادگي باعث اين هم موارد استفاده شگفت انگيز از Honeypot ها شده است كه من در اين مقاله قصد روشن كردن اين موارد را دارم.
فوايد Honeypot ها
Honeypot مفهوم بسيار ساده اي دارد ولي داراي توانايي هاي قدرتمندي مي باشد.
1. داده هاي كوچك داراي ارزش فراوان: Honeypot ها يك حجم كوچكي ار داده ها را جمع آوري مي كنند. به جاي اينكه ما در يك روز چندين گيگابايت اطلاعات را در فايلهاي ثبت رويدادها ذخيره كنيم توسط Honeypot فقط در حد چندين مگابايت بايد ذخيره كنيم. به جاي توليد 10000 زنگ خطر در يك روز آنها فقط 1 زنگ خطر را توليد مي كنند. يادتان باشد كه Honeypot ها فقط فعاليتهاي ناجور را ثبت مي كنند و هر ارتباطي با Honeypot مي تواند يك فعاليت بدون مجوز و يا بدانديشانه باشد. و به همين دليل مي باشد كه اطلاعات هر چند كوچك Honeypot ها داراي ارزش زيادي مي باشد زيرا كه آنها توسط افراد بد ذات توليد شده و توسط Honeypot ضبط شده است. اين بدان معنا مي باشد كه تجزيه و تحليل اطلاعات يك Honeypot آسانتر (و ارزانتر) از اطلاعات ثبت شده به صورت كلي مي باشد.
2. ابزار و تاكتيكي جديد : Honeypot براي اين طراحي شده اند كه هر چيزي كه به سمت آنها جذب مي شود را ذخيره كنند. با ابزارها و تاكتيكهاي جديدي كه قبلا ديده نشده اند.
3. كمترين احتياجات: Honeypot ها به كمترين احتياجات نياز دارند زيرا كه آنها فقط فعاليتهاي ناجور را به ثبت مي رسانند. بنابراين با يك پنتيوم قديمي و با 128 مگابايت RAM و يك شبكه با رنج B به راحتي مي توان آن را پياده سازي كرد.
4. رمز كردن يا IPv6 : بر خلاف برخي تكنولوژيهاي امنيتي (مانند IDS ها ) Honeypot خيلي خوب با محيطهاي رمز شده و يا IPv6 كار مي كنند. اين مساله مهم نيست كه يك فرد ناجور چگونه در يك Honeypot گرفتار مي شود زيرا Honeypot ها خود مي توانند آنها را شناخته و فعاليتهاي آنان را ثبت كنند.