Bal Küpü (Honeypot) nedir?
Bal küpü (honeypot); bilgi sistemlerine yetkisiz erişen saldırganlar ya da kullanıcılar
hakkında bilgi toplamaya yarayan tuzak sunuculardır. Bir güvenlik duvarı ile
uygulamaların dış dünyadan ayrılmasıdır. Honeypot sistemimize yapılan
saldırıları tespit etmek, yavaşlatmak ve gerçek sistemimizi gizlemek için
kullanılan bir teknolojidir.
Çalışma mantığı;
Saldırgan bizim sistemimize saldırmak istediğinde karşısında konfigüre
ettiğimiz bir sistemi görür. Gördüğü sisteme sanki gerçek bir sistemmiş gibi
saldırmayı dener. Ve bal küpümüz devreye girer. Saldırganın hareketlerini,
saldırı tekniğini loglamaya başlar. Böylelikle saldırganın nereden ve hangi
teknikle saldırmış olduğunu öğrenerek sistemimizde gerekli güvenlik önlemlerini
almaya çalışırız. Bir Bal Küpünün temel amacı saldırıları tespit etmek,
öğrenmek ve güvenliği arttırmak için bilgiyi kullanmaktır.
Honeypotlar kendi içlerinde şu şekilde
sınıflandırılabilirler;
• Üretim Honeypotları
(Production Honeypots)
• Araştırma Honeypotları
(Research Honeypots)
Üretim Honeypotları: Bunlar düşük etkileşimli honeypotlardır. Kurulumu ve kullanımı kolay
daha az maliyet gerektiren sistemlerdir. Örneğin sanal makinalarda kurulum ve
kullanım olabilir. Fakat analiz ederken uygulamalar limitli olduğu için bu
sistemler kısıtlı cevaplar verebilir. Saldırgan tespit edilemeyebilir.
Araştırma Honeypotları: Daha çok büyük ve kurumsal yerlerde kullanılabilir. Bu
honeypotların kurulumu, kullanımı ve bakımı zordur. Daha çok fiziksel gerçek
makinalarla veya sistemlerle kurulurlar. Araştırma honeypotları saldırganın her
hareketini, tekniğini analiz etmek amacıyla kullanılabilir.
Avantajları;
Dikkat dağıtıcı yapısı,
Saldırı yöntemi hakkında bilgi toplaması, Sızma testi işlemleri için
kullanılabilmesi…
Dezavantajları;
Uygun yere
konumlandırılmazsa sisteme girişi kolaylaştırabilir, ek bir maliyette yol
açabilmesi, Bilgi analizi için ek çalışan işe alma...
Honeypot Uygulaması;
1.Sanal Cihazların Oluşturulması; Sistemler gerçek bir sistemin sağlayabildiği birçok
özelliği sağlayabilmektedir. Honeypot, ihtiyacı olan ağ işlemlerini Jail
sisteminin ileri bir sürümü olan VIMAGE’i kullanmaktadır.
(FreeBSD Jail: Birbirinden
bağımsız, düşük kaynak tüketimli sanal sistemler oluşturmaya yarayan bir
sanallaştırma sistemidir.)
2.Sanal Bağlantıların Oluşturulması; Honeypot, netgraph nesnelerini birbirine bağlayarak ağ
yapısını oluşturmaktadır. (Netgraph: Üzerinde çeşitli ağ işlemleri yapılmasına
olanak sağlayan, ağ nesnelerine sahip bir sistemdir.)
3.Dinamik Yönlendirme; Quagga, GNU lisansıyla istenildiği kadar router
eklemeye olanak sağlar. (Quagga: Açık kaynak kodlu hizmet veren bir yönlendirme
protokolüdür.) Ayrıca bu uygulama OSPF, IS-IS, BGP ve RIP gibi temel routing
protokollerini desteklemektedir.
4.Servis Sanallaştırma; Honeypot projesi kapsamında HTTP, DNS, SMTP ve FTP
servislerinin taklitleri geliştirilerek bu sistemlerde kullanılmaktadır. Bu
gibi servisler oluşturulacak honeypot üzerinde amacına uygun bir şekilde
öykülenerek çalıştırılır.
Honeypot Tespit Yöntemleri;
Honeypotları tespit etmek
için bazı yazılımlar vardır. Bunlardan öne çıkan yazılım Send-Safe Honeypot
Hunter’dır. Bunun gibi yazılımlar portları, portlarda çalışan servisleri analiz
ederek sistemin gerçek veya tuzak bir sistem olduğunu anlamaya yarayan
araçlardır. Diğer bir yazılım ise Nessus’tur. Bu da uzak sistemde honeypot olup
olmadığını tespit etmek için sistemi analiz eden bir yazılımdır.
Kaynaklar:
·
https://www.bilimcag.com/nedir/bal-kupu-nedir
·
http://csirt.ulakbim.gov.tr/dokumanlar/HoneyWall.pdf
·
https://canyoupwn.me/tr-honeypot