Professional Documents
Culture Documents
Güvenlikte savunma ne kadar güçlü olsa da saldırgan illa ki girecek bir delik bulur. O yuzden iyi bir
güvenlik süreklilikle ölçülür. Saldırmalardan önce kötü çocukların nasıl saldıracağını tahmin etmek ve
buna göre güvenliği sağlamak çok işe yarayacaktır. Sisteminizde ki açıkları devamlı takip edemezsiniz,
bu açıkların ya da sisteminizde yayımladığınız servislerin güvenliği hakkında bazen gözden kaçırmış
olduğunuz bir şeyler olabilir. Bu durumda size yardım edecek birşeyler lazım ya birini bu iş için
görevlendireceksiniz (güvenlik konusunda paranoyaklık derecesinde birisi olsa iyi olur.) sizin için
sistemde hangi açıklar olabilir hangi servisler riskli ve nasıl saldırılır hakkında size bilgiler verecek ya
da bunlardan daha fazlasını sizin için günlükleyen ve sadece günlüklemekle kalmayan saldırganla da
dalga geçebileceğiniz gibi onu oyalayabileyen bir yazılım bulunduracaksınız.
Balküpü saldırganın ilgisini çekmek yoluyla dikkati üzerine çeker ve kötü çocukları tuzağa düşürür.
Düşük Etkileşimli Sanal Balküplerinden "Honeyd" "Niels Provos" tarafından o zamanlar unix sistemler
için yazılmış açık kaynak kodlu bir yazılımdır. Saldırılardan koruma amacı içermez istatistik veriler
toplamanıza yardımcı olarak saldırgandan önce nereye, nasıl saldırılacağını bulmanıza yardım eder.
Honeyd' nin bazı genel özelliklerine bakacak olursak;
Bir ağda kurban arayan bir saldırgan ağda işine yarayacak açıkları olan bilgisayarı bulmaya çalışır.
"Honeyd Computer" tarafından olşturulan "Virtual Honeypot" ların herbirinin ipsi 192.168.2.10x gibi
devam etsin. Bu IP ler dışında bilgisayarlar ilgisini çekmeyince sanal balküplerinde çalışıyormuş gibi
görünen Windows XP SP2 deki Açık Telnetten girmeye çalıştığında. karşısına istediğimiz bir
yönlendirme yaparak (mesela kendi telneti yönlendirmek gibi...) ya da kendi oluşturduğumuz bir
betikle istediğimiz herşeyi yapabiliriz, boyle bi saldırgandan yeterince bilgi toplamak için o açık olan
servisi mümkün olduğu kadar gerçeğine benzer olması lazım. Bu arada "Honeyd Computer" ise bu
olan bitenleri ayrıntısına kadar sizin için günlükler.
'windows' adı ile oluşturduğumuz sistemin saldırgan tarafından ağın tarandığında işletim sistemi adı
"Windows XP Professional SP2" , çalışma zamanın 102022 saniye olduğunu, telnetine giriş
yapıldığında saldırganın kendi telnetine yönlendirildiğini ve diğer TCP portlarının hepsinin RESET
olarak atandığını ve sadece telnetin açık olduğunu anlatır.'solaris' olarak tanımlanan sanal honeypotta
da SSH servisine bağlanıldığında daha önce yazılmış perl betiğinin çalıştırılacağını gösteriyor. Son
olarakta bu honeypotlara birer IP atanmaktadır.
Neredeyse her ülkede güvenlik için honeypot ekipleri oluşmuş. Türkiye' de ise ULAK-CSIRT
( ULUSAL AKADEMİK AĞ ve BİLGİ MERKEZİ – Computer Security Incident Response Team ) bu konu
hakkında topladığı ekiple istatistikler topluyor ve geliştirmeler yapıyor.(bknz)
Kaynaklar;
http://www.ulakbim.gov.tr/dokumanlar/gokova/honeyd.pdf
http://www.citi.umich.edu/u/provos/papers/honeyd/mgp00001.html