HONEYPOT
Honeypot Nedir?
Honeypot (Bal küpü), kuruluşunuzda veya belirli bir bilgi sistem ortamında işlem yapılan cihazlarınızın yanına konumlandırılan, yetkisiz kullanıma yönelik girişimleri tespit etmek, saptırmak, saldırılara karşı koymak için ayarlanmış bir bilgisayar güvenlik mekanizmasıdır.
Honeypot’lar saldırganlar tarafından savunmasız, çekici hedefler gibi görünecek şekilde tasarlanmıştır ve sistemlerden sorumlu ekiplerin sistemdeki güvenlik yanıtlarını izlemesini, saldırganın yaptığı hareketleri, izlediği yolları tespit ederek saldırgana karşı yeni güvenlik önlemleri geliştirmesidir. Honeypot çözümleri genel olarak gelen ve giden tüm trafiği kontrol eden, belirli filtrelerden geçirip, ağ trafiği içerisindeki zararlı eylemleri durdurmayı amaçlayan firewall (güvenlik duvarı) sistemlerinin arkasına konumlandırılır. Asıl amaç saldırganı önemli sistemlerden uzakta tutup, sahte olan sistemlerde hareket etmesini sağlayarak saldırganın honeypot içerisinde daha fazla zaman geçirmesini, etkinliklerinin yetkililer tarafından izlenmesini sağlamaktır. Dikkat edilmesi gereken bir husus ise saldırganların honeypot’u bir basamak olarak kullanmasını önlemektir. Saldırgan honeypot içerisinden bir zafiyet yardımıyla asıl sistemlere sızabilir bu yüzden önceden tüm güvenlik önlemleri alınmış olmalıdır.
B) Honeypot’lar Nasıl Çalışır?
Honeypot genel anlamda gerçek bir bilgisayar sistemine tamamen benzemektedir. Honeypot içerisinde saldırganların dikkatini çekmek için kullanılan güvenlik açıklıkları bulunmaktadır. Sisteme saldıracak olan saldırganların ilgi odaklarını honeypot üzerine çekmek için belirli savunmasız bağlantı noktaları kullanılabilir. Savunmasız şekilde olan bu bağlantı noktasından saldırganın göstereceği ve sistem içerisinde nasıl hareket etmeye çalıştığı konusunda bilgiler elde edilebilir.
Honeypot içerisinde saldırgan için düzenlenmiş sahte kullanıcı veya sistem bilgileri bulundurulabilir. Saldırgan için daha kırılabilir şifreler, çözümlenmesi daha kolay bir sistem ağı oluşturulur. Saldırganın bu bilgilere erişme sürecinde izlediği yol sistem ve bilgi güvenliği ekibi tarafından kontrol altında izlenerek gerçek sistemlerin korunması açısından alınabilecek önlemler için kullanılabilir.
Honeypot dağıtılırken dikkat edilmesi gereken hususlar;
- Saldırgan honeypot güvenliğini ihlal ederse,
- Saldırgan honeypot’a sızarsa ve bunu diğer sistemlere saldırmak için bir üs olarak kullanırsa,
- Sisteme başarılı bir şekilde sızarsa
alınabilecek önlemler önceden belirlenmeli ve risk değerleri göz önünde bulundurulmalıdır.
C) Research Honeypot
Research Honeypot sadece tehditlerin iç sistemlerinizde nasıl bir yol izlediğine değil daha geniş çaplı olarak, nasıl çalıştığına odaklanarak saldırılar hakkında bilgi toplar. Genelde büyük kuruluşlar tarafından kullanılır. Daha karmaşık bir yapıya sahiptir. Birden fazla ağ ve lokasyona dağıtılarak kullanılırlar. Production Honeypot ile kıyaslandığında saldırılar ve güvenlik açıklıkları hakkında daha fazla bilgi elde ettiğini söyleyebiliriz.
D) Production Honeypot
Production Honeypot, bir kuruluşun veya sisteminizin ağı içinde koşullandırılarak gelebilecek saldırılar üzerinde bilgi toplamak için kullanılır. Olası bir saldırı meydana geldiğinde IP adreslerini, trafiğin oluşma şekli, büyüklüğü gibi benzer konular hakkında birçok veri toplayabilir. Production Honeypot şirketler ve işletmeler tarafından sıkça tercih edilen sistemlerdir.
Production Honeypot sistemlerine ulaşan siber saldırıları, güvenlik açıklıklarını tespit etmede fayda sağlamakla kalmayıp kullanımı açısından da kolay olduğu için tercih edilmektedir.
Etkileşim seviyelerine göre bal küpleri şu şekilde sınıflandırılabilir:
- High Interaction Honeypots (Yüksek etkileşimli bal küpleri): Gerçek sistemlerin hareketlerini taklit ederler. Saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Saldırganının hareketlerini izler, sistemde veya makine üzerindeki tüm etkinlikleri kaydedebilir. Zengin bir bilgi sunabilse de sistem veya ağ için ek riskler de oluşturabilir. Yüksek etkileşimli bal küpleri, düşük etkileşimli bal küplerine göre daha zor tespit edilebilmektedirler. Fakat maliyetleri düşük etkileşimli bal küplerine göre daha yüksektir.
- Low Interaction Honeypots (Düşük etkileşimli bal küpleri): Saldırganlar tarafından sık kullanılan bazı servisleri taklit edebilirler. Low-interaction honeypots, bağlantı isteklerini yakalar ve güvenlik ekibine bir izinsiz giriş isteği olduğunu bildirir. Yüksek etkileşimli bal küplerine kıyasla daha az kaynak harcadıkları için bir fiziksel makinede kolaylıkla birden fazla sanal makine çalışabilir.
Yazının devamına aşağıda bulunan siteden ulaşabilirsiniz.
https://www.siberportal.org/blue-team/securing-network-environment/honeypot-sistemleri/