honeyPot

Güvenlikte savunma ne kadar güçlü olsa da saldırgan illa ki girecek bir delik bulur. O yuzden iyi bir
güvenlik süreklilikle ölçülür. Saldırmalardan önce kötü çocukların nasıl saldıracağını tahmin etmek ve
buna göre güvenliği sağlamak çok işe yarayacaktır. Sisteminizde ki açıkları devamlı takip edemezsiniz,
bu açıkların ya da sisteminizde yayımladığınız servislerin güvenliği hakkında bazen gözden kaçırmış
olduğunuz bir şeyler olabilir. Bu durumda size yardım edecek birşeyler lazım ya birini bu iş için
görevlendireceksiniz (güvenlik konusunda paranoyaklık derecesinde birisi olsa iyi olur.) sizin için
sistemde hangi açıklar olabilir hangi servisler riskli ve nasıl saldırılır hakkında size bilgiler verecek ya
da bunlardan daha fazlasını sizin için günlükleyen ve sadece günlüklemekle kalmayan saldırganla da
dalga geçebileceğiniz gibi onu oyalayabileyen bir yazılım bulunduracaksınız.

Balküpü saldırganın ilgisini çekmek yoluyla dikkati üzerine çeker ve kötü çocukları tuzağa düşürür.

Balküpleri ( honeypot ) dediğimiz bu projede sisteminizde ki servislerin benzetimini istediğiniz şekilde

yapan ve istediğiniz sanal ağları oluşturup istediğiniz işletim sistemleri, MAC adresleri, ip, port ,
yönlendirici ekleyebilen ve bunların hangisine nasıl bir saldırı olduğunu tutan bir uygulama var.
Balküpleri ikiye kategoriye ayrılırlar ve iki şekilde oluştulurlar.(Balküpleri)

Düşük Etkileşimli Sanal Balküplerinden "Honeyd" "Niels Provos" tarafından o zamanlar unix sistemler
için yazılmış açık kaynak kodlu bir yazılımdır. Saldırılardan koruma amacı içermez istatistik veriler
toplamanıza yardımcı olarak saldırgandan önce nereye, nasıl saldırılacağını bulmanıza yardım eder.
Honeyd' nin bazı genel özelliklerine bakacak olursak;

Gerekli TCP servislerini ve bazı UDP servislerini destekler.

Çoklu ip adresi ataması yapar.

Farklı işletim sistemleri özelliklerini uyumluluğu sağlar.

Tamamiyle sanal bir ağı yönetebilir.

Ağ trafiğini kesintiye uğratmaz...

Honeyd Sanal Honeypotlar ve Diğer Bilgisayarların Olduğu Bir Ağ

Bir ağda kurban arayan bir saldırgan ağda işine yarayacak açıkları olan bilgisayarı bulmaya çalışır.
"Honeyd Computer" tarafından olşturulan "Virtual Honeypot" ların herbirinin ipsi 192.168.2.10x gibi
devam etsin. Bu IP ler dışında bilgisayarlar ilgisini çekmeyince sanal balküplerinde çalışıyormuş gibi
görünen Windows XP SP2 deki Açık Telnetten girmeye çalıştığında. karşısına istediğimiz bir
yönlendirme yaparak (mesela kendi telneti yönlendirmek gibi...) ya da kendi oluşturduğumuz bir
betikle istediğimiz herşeyi yapabiliriz, boyle bi saldırgandan yeterince bilgi toplamak için o açık olan
servisi mümkün olduğu kadar gerçeğine benzer olması lazım. Bu arada "Honeyd Computer" ise bu
olan bitenleri ayrıntısına kadar sizin için günlükler.

Honeyd Yapılandırma Dosyası

Bir Yapılandırma Dosyasına istediğiniz bir sanal ağı yaratırsınız bu sanal ağda yönlendirici markalarını,
her IP e karşılık gelen işletim sistemlerin parmak izlerini, MAC adreslerini, istediğiniz portları açma ve
bu portlara gelen isteklere nasıl cevap verilebileceğini ya da cevap vermeyeceğinizi ayarlarsınız.
Resimde bulunan sanal honeypotlar için yapılandırma dosyasının bir kısmı yukarıdadır. Bu
yapılandırma dosyası rahat okunabilir özellikte olmakla beraber her bir sistem CREATE ile oluşturulur
ve değerler SET ve ADD ile eklenir.

'windows' adı ile oluşturduğumuz sistemin saldırgan tarafından ağın tarandığında işletim sistemi adı
"Windows XP Professional SP2" , çalışma zamanın 102022 saniye olduğunu, telnetine giriş
yapıldığında saldırganın kendi telnetine yönlendirildiğini ve diğer TCP portlarının hepsinin RESET
olarak atandığını ve sadece telnetin açık olduğunu anlatır.'solaris' olarak tanımlanan sanal honeypotta
da SSH servisine bağlanıldığında daha önce yazılmış perl betiğinin çalıştırılacağını gösteriyor. Son
olarakta bu honeypotlara birer IP atanmaktadır.

Neredeyse her ülkede güvenlik için honeypot ekipleri oluşmuş. Türkiye' de ise ULAK-CSIRT

( ULUSAL AKADEMİK AĞ ve BİLGİ MERKEZİ – Computer Security Incident Response Team ) bu konu
hakkında topladığı ekiple istatistikler topluyor ve geliştirmeler yapıyor.(bknz)

Kaynaklar;

http://www.ulakbim.gov.tr/dokumanlar/gokova/honeyd.pdf

seridarus.blogspot.com honeypot sunumu

http://www.citi.umich.edu/u/provos/papers/honeyd/mgp00001.html

- See more at: http://serhatersel.blogspot.com.tr/2009/02/honeypot-balkupu-nedir-yenir-mi-

hack.html#sthash.L3uTo4hj.dpuf