Ağ Güvenliğinde Honeypot Nedir?

Yukarıdaki görselin ait olduğu Mr.Robot dizisinin henüz ilk bölümlerinde karşımıza çıkan Honeypot, bölümde önemli bir yer tutunca konu ile ilgili kısa bir bilgilendirme yazısı yazmayı düşündüm. İsmini ayıların hastası olduğu balın konulduğu balküpünden alan Honeypot, aslında metafor olarak saldırganın(ayı) diğer ağaçlara saldırmasının önüne geçmek için açıkta bırakılan balküpü(honeypot) dayanmaktadır. Karnını kolaylılkla doyurabileceği balküpünü yiyen ayı, diğer ağaç/kovanlardaki ballara saldırmayıp otramı terk edecektir. Metaforumuzdaki saldırgan da sistemde ele geçirdiğini sandığı bilgileri diğer sistem üyelerine dokunmayacak, hatta Honeypot üzerinde yaptığı işlemler ile arkasında iz bırakacaktır.

Honeypot diğer tedbirlerden farklı şekilde çalışan, güvenlik mekanizmasının bir parçası olan ve bizzat savunmadaki organizasyon tarafından yerleştirilen bir güvenlik yöntemidir. Özellikle kötü amaçlı hackerlerin erişmesi istenilen verileri içerecek şekilde dizayn edilir. Saldırganın işine yaramayacak anlamsız verileri sistemde kolay ulaşılabilen düşük savunma seviyesinde gösteren yapılardır. Sisteme giren saldırganın ilk hedefi olması amaçlanarak yerleştirilir. Yani “honeypot”lar sistemin maruz kalacağı yasadışı saldırılar ve yetkisiz erişim ile kullanılması durumlarında işe yarar.

“Honeypot”ların değeri ve anlamı kendilerine gelen tehditlerle ölçülür. Yani saldırganlar tarafından kendilerine ilgi gösterilmezse aslında bir fayda sağlamazlar. Aslında bazı sorunlara çözüm olabilirler; erken uyarı sistemi olarak kullanılabilir, gelen otomatik saldırıları yavaşlatabilir ve zaman kazandırabilir, anlamsız verileri ele geçirdiğini sanan saldırganın yakalanmamak için geri çekilmesini sağlayabilir ve bu saldırıların nasıl yapıldığına dair bilgileri sistem kullanıcılarına iletebilir. Özellikle yeni tür saldırılarda saldırının nasıl yapıldığına dair bilgilerin elde edilmesinde “honeypot”ların yardımı büyüktür.

Bununla beraber, “honeypot”lar farklı şekillerde ve büyüklüklerde kullanılır, işletim sistemi üzerinde çalıştırılan honeypotlar olduğu gibi başlı başına bir ağ üzerinde bulunan serverlar da (honeynet) kullanılır. Hatta “honeypot”lar illa ki bilgisayar olmak durumunda değildir, sahte veri örnekleri olarak kredi kartı numaraları, kritik bilgiler, kullanıcı adı ve şifreleri de bir anlamda honeypot mantığında çalışırlar (honey tokens).

Honeypots: The Need of Network Security / Honeypotlar (Balküpleri): Ağ Güvenliği’nin İhtiyacı

İçinde bulunduğumuz bilgi çağında, ağ güvenliği her organizasyon ağının en temel problemi olmuş durumdadır.  Balküpleri, firewall ve diğer güvenlik ihlali tespit sistemleri ile birlikte çalışacak şekilde ağları daha güvenli hale getirmek için kullanılmaktadır.

İhlal tespit sistemleri, ağ üzerinde sessizce ağ trafiğini izleyerek saldırgan ve davetsiz misafirler konusunda sistemi uyaran yapılardır. Bunu daha önceki saldırıların nasıl yapıldığına dair sahip olduğu bilgiler sayesinde yaparlar. Ancak bu sistemler çok fazla hatalı tespit yapmakta ve sistemin doğru çalışmasının önüne geçebilmektedir. Bu durumda sahneye balküpleri çıkmaktadır, balküpleri saldırganın ağ üzerindeki davranışlarını izlemekle kalmayıp, kendi içinde ve üzerinde analiz edip, hatalı tespitlerin önüne geçmeyi amaçlamaktadır.

Balküpleri etkileşim seviyelerine göre üçe ayrılırlar;

*Düşük Etkileşimli Balküpleri (Honeyd, Kippo)

*Orta Etkileşimli Balküpleri (Dionea, Napenthes)

*Yüksek Etkileşimli Balküpleri (Specter)

Her etkileşim seviyesinin riskleri ve faydaları farklıdır; düşük seviye etkileşim daha az koruma sağlarken aynı zamanda düşük maliyetlidir ve fazla eğitim gerektirmez, etkileşim seviyesi yükseldikçe maliyet ve gereken eğitim seviyesi artarken koruma da doğru orantılı artmaktadır. Her iki seviyenin ortası sayılabilecek göreceli orta seviye etkileşimde bulunan balküpleri ile diğer seviyelerin fayda ve risklerini yine ortalarda tutmak amaçlanır.

Balküpleri kullanım amaçlarına göre ikiye ayrılır;

*Araştırma Balküpleri (Linux İşletim Sistemi Çalıştıran Bir Bilgisayar)

*Üretim (Güvenlik) Balküpleri (kF sensor, specter, Dioneae, Napenthes)

Araştırma balküpleri akademik, askeri, amatör amaçlarla yeni saldırı tekniklerini araştırmak ve tespit etmek amacıyla kullanılan basit sistemlerdir. Genelde sistem üzerinde oluşturulan açıklarla bir nevi oltalama şeklinde saldırganları çeken sistemler denilebilir. Üretim balküpleri ismini üzerinde çalıştıkları bilgi üretilen sistemlerden alır ve bilinen manada balküpleri bu kapsamda değerlendirilir. Organizasyonlar bilgi üretilen sistemlerde genellikle ücretli yapıları kullanarak basit ama anında etki gösteren koruma amaçladıklarında bu tip balküplerini kullanırlar. Çalışma mantıkları oldukça basittir, üzerinde çalıştıkları sistemi kabaca kopyasını alıp FTP, HTTP, SMTP gibi servisler üzerinden sundukları açıklarla asıl sisteme erişmek yerine saldırıları üzerlerine çekerler.

Bunun dışında balküpü olarak nitelendirilen baljetonlar (honeytoken) vardır. Bunlar küçük verilerdir. Kredi kartı numaralarından web linklerine kadar çeşitli şekillerde kullanılan baljetonları kendilerini ele geçiren saldırganları tespit etmek üzere çalışırlar. Örneğin, gerçek olmayan bir kredi kartı numarasını gerçek bir alışverişte kullanmaya çalışan saldırganın bilgilerine ulaşılabilmek mümkündür. Veya sistemle alakası bulunmayan kişilerin bilgilerini sistemde bulan saldırgan bu kişiler ile iletişime geçince yine kendisini açığa çıkarmış olmaktadır.

            Balküplerinin avantajlarını şu şekilde sıralayabiliriz;
            * Düşük veri gereksinimi

            Saldırgan davranış tespiti için tek giriş denemesi yeterlidir.

            * Yanlış alarmları azaltmaları          

            Diğer tedbirlerin ürettiği yanlış alarmları analiz ederek azaltırlar.

            * Gözden kaçan saldırıların tespitinde artış

            Yine diğer tedbirlerin gözden kaçırdığı saldırganları tespit ederler.

            * Şifreleme/Şifre Çözme

            Saldırganın verileri şifreli olsa dahi tespit yapabilir ve daha sonrasında şifre çözülebilir.

            * IPv6 üzerinde çalışabilme

Çoğu güvenlik tedbirinin aksine sadece IPv4 üzerinde değil, kullanımı an itibariyle a olan fakat gelecekte yaygınlaşacak IPv6 üzerinde de çalışabilirler.

            * Düşük kaynak kullanımı

            Yüksek maliyette dahi diğer tedbirlerin aksine az kaynak kullanırlar.

            Dezavantajları;

            * Tek veri giriş noktası bulunması

            Saldırgan durumu anlar ve balküpleri ile hiç iletişime geçmez ise tespit imkansızdır.

            * Risk

İyi tasarlanmamış bir balküpü kritik sistem bilgilerini içerebilir ve tüm sistemi tehlikeye atabilir.

Sistemlerde balküpü kullanımı giderek artmakta, artık gereklilik olarak görülmektedir. Gelecekte birbirine bağlı balküplerinin oluşturduğu ağlar sistemlerin güvenliğini sağlamaya devam edecektir. Saldırganların yeni taktikleri oldukça balküplerinin çalışma mantığı da gelişmeye devam edeceği değerlendirilmektedir.

Kaynak: http://ijcsit.com/docs/Volume%205/vol5issue05/ijcsit2014050521.pdf

Bir Cevap Yazın