Güvenlikte savunma ne kadar güçlü olsa da saldırgan illa ki girecek bir delik bulur. O yuzden iyi bir güvenlik süreklilikle ölçülür. Saldırmalardan önce kötü çocukların nasıl saldıracağını tahmin etmek ve buna göre güvenliği sağlamak çok işe yarayacaktır. Sisteminizde ki açıkları devamlı takip edemezsiniz, bu açıkların ya da sisteminizde yayımladığınız servislerin güvenliği hakkında bazen gözden kaçırmış olduğunuz bir şeyler olabilir. Bu durumda size yardım edecek birşeyler lazım ya birini bu iş için görevlendireceksiniz (güvenlik konusunda paranoyaklık derecesinde birisi olsa iyi olur.) sizin için sistemde hangi açıklar olabilir hangi servisler riskli ve nasıl saldırılır hakkında size bilgiler verecek ya da bunlardan daha fazlasını sizin için günlükleyen ve sadece günlüklemekle kalmayan saldırganla da dalga geçebileceğiniz gibi onu oyalayabileyen bir yazılım bulunduracaksınız.

Balküpü saldırganın ilgisini çekmek yoluyla dikkati üzerine çeker ve kötü çocukları tuzağa düşürür.

Balküpleri ( honeypot ) dediğimiz bu projede sisteminizde ki servislerin benzetimini istediğiniz şekilde yapan ve istediğiniz sanal ağları oluşturup istediğiniz işletim sistemleri, MAC adresleri, ip, port , yönlendirici ekleyebilen ve bunların hangisine nasıl bir saldırı olduğunu tutan bir uygulama var. Balküpleri ikiye kategoriye ayrılırlar ve iki şekilde oluştulurlar.(Balküpleri)

Düşük Etkileşimli Sanal Balküplerinden "Honeyd" "Niels Provos" tarafından o zamanlar unix sistemler için yazılmış açık kaynak kodlu bir yazılımdır. Saldırılardan koruma amacı içermez istatistik veriler toplamanıza yardımcı olarak saldırgandan önce nereye, nasıl saldırılacağını bulmanıza yardım eder. Honeyd' nin bazı genel özelliklerine bakacak olursak;

  • Gerekli TCP servislerini ve bazı UDP servislerini destekler.
  • Çoklu ip adresi ataması yapar.
  • Farklı işletim sistemleri özelliklerini uyumluluğu sağlar.
  • Tamamiyle sanal bir ağı yönetebilir.
  • Ağ trafiğini kesintiye uğratmaz...

Honeyd Sanal Honeypotlar ve Diğer Bilgisayarların Olduğu Bir Ağ

Bir ağda kurban arayan bir saldırgan ağda işine yarayacak açıkları olan bilgisayarı bulmaya çalışır. "Honeyd Computer" tarafından olşturulan "Virtual Honeypot" ların herbirinin ipsi 192.168.2.10x gibi devam etsin. Bu IP ler dışında bilgisayarlar ilgisini çekmeyince sanal balküplerinde çalışıyormuş gibi görünen Windows XP SP2 deki Açık Telnetten girmeye çalıştığında. karşısına istediğimiz bir yönlendirme yaparak (mesela kendi telneti yönlendirmek gibi...) ya da kendi oluşturduğumuz bir betikle istediğimiz herşeyi yapabiliriz, boyle bi saldırgandan yeterince bilgi toplamak için o açık olan servisi mümkün olduğu kadar gerçeğine benzer olması lazım. Bu arada "Honeyd Computer" ise bu olan bitenleri ayrıntısına kadar sizin için günlükler.

Honeyd Yapılandırma Dosyası

Bir Yapılandırma Dosyasına istediğiniz bir sanal ağı yaratırsınız bu sanal ağda yönlendirici markalarını, her IP e karşılık gelen işletim sistemlerin parmak izlerini, MAC adreslerini, istediğiniz portları açma ve bu portlara gelen isteklere nasıl cevap verilebileceğini ya da cevap vermeyeceğinizi ayarlarsınız. Resimde bulunan sanal honeypotlar için yapılandırma dosyasının bir kısmı yukarıdadır. Bu yapılandırma dosyası rahat okunabilir özellikte olmakla beraber her bir sistem CREATE ile oluşturulur ve değerler SET ve ADD ile eklenir.

'windows' adı ile oluşturduğumuz sistemin saldırgan tarafından ağın tarandığında işletim sistemi adı "Windows XP Professional SP2" , çalışma zamanın 102022 saniye olduğunu, telnetine giriş yapıldığında saldırganın kendi telnetine yönlendirildiğini ve diğer TCP portlarının hepsinin RESET olarak atandığını ve sadece telnetin açık olduğunu anlatır.'solaris' olarak tanımlanan sanal honeypotta da SSH servisine bağlanıldığında daha önce yazılmış perl betiğinin çalıştırılacağını gösteriyor. Son olarakta bu honeypotlara birer IP atanmaktadır.

Neredeyse her ülkede güvenlik için honeypot ekipleri oluşmuş. Türkiye' de ise ULAK-CSIRT

( ULUSAL AKADEMİK AĞ ve BİLGİ MERKEZİ – Computer Security Incident Response Team ) bu konu hakkında topladığı ekiple istatistikler topluyor ve geliştirmeler yapıyor.(bknz)

Kaynaklar;

http://www.ulakbim.gov.tr/dokumanlar/gokova/honeyd.pdf

seridarus.blogspot.com honeypot sunumu

http://www.citi.umich.edu/u/provos/papers/honeyd/mgp00001.html

www.tracking-hackers.com
www.honeyd.org
www.honeypot.net
honeyd.pdf

About

seruhatto