Honeypot(Balküpü) sistemimize yapılan saldırıları tespit etmek ve sistemimizi saklayıp bu saldırılardan korumaya yarar. Bir sistem ne kadar güvenli olursa olsun saldırganlar buldukları yeni yöntemlerle sistemi ele geçirebilirler.

 

Honeypot Çalışma Mantığı

Honeypot sistemimizdeki bir portu açık olarak gösterir ve saldırganlar bu porttan saldırmaya çalıştığında Honeypotun zafiyet içeren sistemi devreye girer ve yaptıkları saldırıların log kayıtları tutulur.Bu sayede saldırganların nasıl bir yol izlediklerini ve yeni geliştirdikleri saldırı teknikleri hakkında bilgileri elde edebiliriz. Honeypotların tespit edilmesi zordur gerçek bir sistem gibi konfigüre edilmişlerdir. Honeypot sistemin iyi yapılandırılması gerekmekterdir yapılan ufak bir hatada saldırgan honeypot sistemden önce asıl sisteme yönlendirilebilir.Genel olarak honeypot saldırganların çalışma mantığını onları anlamamıza onları izlememize ve ana sistemimizi saldırganlardan gizlememize yarar.

 

Neden Honeypot Kullanmalıyız

Honeypotun çalışma mantığını üstte anlatmaya çalıştım honeypot kullanarak hem sistemimizi koruyabilir hemde saldırganlar hakkında bilgi toplayabiliriz.Bir saldırganın kim olduğu nasıl bir yöntem izlediği önemlidir saldırganı anlayarak devamında yapabileceği saldıralara karşı edindiğimiz bilgiler doğrultusunda ana sistemimizi gelebilecek tehditlere karşı düzenleriz.

Honeypot Çalışma Mantığı

 

Peki Sitede Honeypot Olduğunu Anlayabilir miyiz?

Sistemin Honeypot mu yoksa ana sistem mi olduğunu anlamak gerçekten de zor bir olay honeypot gerçekten iyi bir şekilde yapılandırılmışsa anlaması zor olabilir bunun için yazılmış programlar bulunurlar programların çalışma mantığı sistemi ve portlar da çalışan servisleri analiz ederek Honeypot olup olmadığını anlamaya çalışırlar.

 

 Dağıtım Yöntemlerine göre Honeypotlar:

1)Üretim Honeypotları (Production Honeypots):Üretim Honeypotları düşük etkileşimli Honeypotlardır. Kurulumu ve kullanımı daha kolaydır fakat sistemde kullanılan uygulamalar kısıtlı olduğu için saldırganı tespit etme olasılığı daha düşüktür.

2)Araştırma Honeypotları (Research Honeypots):Bunlar daha kapsamlı Honeypotlardır.Daha çok kurumsal alanlarda kullanılmak üzere yapılandırılır.Kurulumu ve kullanımı zordur.Bu Honeypotlar sisteme sızma risklerini çok daha güvenli hale getirirler ve saldırganın yaptığı her hareketi analiz etmek amacıyla yapılmışlardır.

 

Etkileşime Göre Honeypotlar:

1)Yüksek etkileşimli Honeypotlar (High-interaction Honeypots):Gerçek sistemler kullanılarak oluşturulur ve saldırgana normal bir işletim sisteminde yapabileceği tüm her şeyi yapmasını sağlar.Bu sistemler saldırganlar hakkında daha fazla bilgi toplar fakat saldırgana sistemde çok fazla hareket alanı verdiğimiz için saldırganın Honeypotu ele geçirme olasılığı çok yüksektir bu nedenle bu sistemler risklidir.

2)Düşük etkileşimli Honeypotlar (Low-interaction Honeypots): Bu yapıda saldırgana kısıtlı yetkiler verilir.Çok kısıtlı bir yapı olduğu için saldırgan hakkında çok fazla bilgi elde edemeyiz ve saldırganda belirli denemelerden sonra Honeypot kullanıldığını anlayabilir.

 

Bazı Honeypot örnekleri:

  • Shadow Daemon: Shadow Daemon , web uygulamalarındaki saldırıları tespit etmek, kaydetmek ve önlemek için kullanılan bir araçdır.Yüksek etkileşimli bir Honeypottur. Açık kaynak kodlu bir yazılımdır.
  • HoneyPy: HoneyPy Python2 diliyle yazılmış bir Honeypottur çok fazla eklentisi bulunur yüklenen eklenti sayısına göre basit yada orta düzey etkileşimli bir honeypot olma eğilimindedir.
  • Kippo: Kippo , pyhton ile yazılmış bir SSH Honeypottur. Orta etkileşimli bir Honeypottur. Saldırganın sistemde shelle erişebilmek için yaptığı tüm saldırıları kayıt altında tutmaktadır.