Bilmek istediğin her şeye ulaş

Türkçe karşılığıyla "bal küpü" ya da "bal çanağı" şeklinde ifade edilen Honeypot'lar nedir? Ne işe yarar?

HoneyPot Nedir?

HoneyPot deyimini Turkceye cevirecek olursak “Bal Canagi
” gibi bir anlam cikiyor. Kısaca ozetleyecek olursak ortaya bir bal canagi koyuyorsunuz ve cevredeki bütün arilarin
ona toplanmasini bekliyorsunuz ve daha sonra da o arilari yakaliyorsunuz. Biraz daha teknik açıdan
aciklayayim: HoneyPot
bilgisayariniza ya da sunucunuza kurdugunuz özel bir yazilimdir
. Sisteminizde sahte aciklar
gostermenizi ve saldirganlarin sisteminizde açık olduğunu düşünüp o deliklerden sizmaya calismalarini kayit eden
ve onlarin bilgilerini
size sunan bir programdir. HoneyPot yazilimlarinin tehlikeleri ve saldirilari kayit etme kapasitesi diğer bütün yazilimlardan çok daha ustundur
. Sisteminize sizmaya çalışan bir hackerin kullandığı komutlardan tutun da o kisiye ait her türlü bilgiyi rapor eden
bir çalışma şekli vardir.

HoneyPot Cesitleri Nelerdir?


Etkilesim tipine göre Dusuk Etkilesimli
ve Yuksek Etkilesimli
HoneyPotlar olarak ikiye ayrilirlar.

Dusuk Etkilesimli HoneyPotlar: Gercek bir işletim sistemi ve diğer servisler gibi davranirlar. Uygulamalari ve yonetmeleri kolaydır
. Verecegi cevaplar ve uygulamaları limitli olduğu için sadece otomatik açık tarayicilari
tespit edebilirler.

Yuksek Etkilesimli Honeypotlar: Dusuk etkilesimliler gibi emulasyon saglamazlar. Bu HoneyPotlar dahakarma* Yasak Kelime Kullandınız *
ve saldirgan hakkında inanılmaz ölçüde bilgi saglarlar
.

Neden HoneyPot Kullanmaliyim?


1) Hackerlarin sistemlere nasıl sizdiklarini
öğrenmek ve guvenlik zaafiyetleri hakkında daha fazla bilgi sahibi olmak
icin.

2) Bulunan zaafiyetlerin kapatılması
hakkında bilgi toplamak icin.

3) Belirli bir saldirgani tuzaga dusurerek
hakkında yasal islem
başlatmak icin.

HoneyPot Kullanim Alanlari Nelerdir?


HoneyPotlar İnternet ve ag dünyasında birçok alanda
kullanilirlar. Bir organizasyonun
bunyesindeki birbirine bağlı bütün bilgisayarlarin oluşturduğu bir ağın guvenligini
sağlamak için kullanilabilirler. Bircok siteyi barindiran büyük bir sunucu üzerinde
kullanilabilirler. Ayrica spam
dagitan kişilerin tespiti için de kullanilabilirler. Bunlarin haricinde bir IRC kanalina baglanan HoneyPot
sayesinde kanal uzerindeki yasadisi baglantilarin
tespitinde kullanilabilirler.

HoneyPot’un Avantajları ve Dezavantajlari nelerdir?


Avantajlari: Cok büyük degeri olabilecek en küçük bir bilgiyi bile toplarlar
. Bu toplanan bilgiler derinlemesine incelenerek detayli arastirmalara katkida bulunurlar. HoneyPotlar IPv6
aglarinda ya da sifreli ağlarda
da calisabilirler. Bunlarin haricinde kolayca
kurulup yonetilebilirler.

Dezavantajlari: HoneyPotlar sadece onlarla direkt iletişim halinde
olan baglantilari tespit edebilirler. HoneyPot’un da asilmasi durumunda sisteme gerçek bir zarar verilebilir
. Fakat, bu risk saldirganin HoneyPot ile olan direkt bağlantısının kontrolunu duzenleyerek azaltilabilir
.

HoneyNET Nedir?


Bircok HoneyPot’dan oluşan bir ag olarak tasarlanan
sistemlere HoneyNET
denir. Bu tarz sistemler Yuksek Etkilesimli HoneyPotlar
’a ornektir. Bir HoneyNet ile birçok sayida saldirgani tespit etmek mumkundur.

Ornek Bir HoneyPot Uygulamasi: HoneyBOT


HoneyBOT Nasil Calisir?

HoneyBOT 1000
üzerinde UDP
ve TCP
portlarini acarak bunları birer sistem açığı gibi gostererek
calisir. Saldirgan bunlardan birine erismeye calistiginda aslinda HoneyBOT bütün islemleri kayit altına alır
ve saldirgan hakkındaki her türlü bilgiyi size sunar. Saldirgan bu sahte aciklardan birini kullanarak exploit ya da rootkit
gondermeye calistiginda da HoneyBOT bunları bilinen antivirüs tarayicilari yardımı ile tarar veanaliz eder
.

HoneyBOT
projesi su anda hala geliştirme aşamasında olduğu için bütün portlari kapsamiyor
fakat mükemmel bir iş cikarttigi kesin.

Sisteminizde HoneyBOT Guvenligi

Oncelikle benim tavsiyem, HoneyBOT’u sistemdeki ya da agdaki ayrı bir
bilgisayara
yuklemeniz ve o bilgisayarda başka hiçbir önemli bilgi
bulundurmamanizdir. Her ihtimale karşı almaniz gereken bir tedbir olmali.

HoneyBOT yüklü makinanizda ayrıca bir de antivirüs
uygulaması bulundurmaniz daha iyi olacaktir. Boylece HoneyBOT, ona gelecek saldirilari o antivirüs ile birlikte calisarak inceleyip rapor edebilir
.

Eger HoneyBOT yüklü sisteminizde bir guvenlik duvari varsa
, ayarlarını en dusuk seviyeye
getirmenizi ya dakapatmanizi
tavsiye ederim. Çünkü guvenlik duvari HoneyBOT uzerindeki sahte aciklari kapatacak
ve saldirganlara açık bir sistem gostermeyecektir
.

Ic Ag Gozetimi

HoneyBOT’un ayrilmis bir IP Adresi ile calistigindan emin olun. Ic ag gozetiminde HoneyBOT agdaki diğer bilgisayardan
gelebilecek her türlü senaryoyu düşünür ve ona göre davranir. Ag uzerindeki herhangi bir makinadan sisteme sizilmaya calisilmasi
durumunda HoneyBOT bunu detayli bir şekilde raporlar. Ic agda kurulmus bir HoneyBOT birkaç dakika içerisinde agdaki bütün malware, virus trojan
gibi zararlı aktiviteleri gozlemleyebilir.

Dis Ag Gozetimi

HoneyBOT’u İnternet üzerinde açık bir şekilde kurabilirsiniz. Ornegin bir guvenlik sirketiniz
var ve internet üzerinde kuracaginiz birden fazla HoneyBOT ile gerçek sistemin bulunduğu server’i gizleyebilirsiniz
. Saldirganlar HoneyBOT yüklü sistemlere saldirdikca da onları avlarsiniz
.

HoneyBOT’u Nasil Yuklerim?

1) BURAYA tiklayarak HoneyBOT
’u indirin.

2) HoneyBOT_018.exe
dosyasini calistirin ve yukleyin. Varsayilan olarak C:\\honeybot\\
dizinine yuklenecektir.

3) Masaustune gelen HoneyBOT simgesine tiklayarak
calistirabilirsiniz.

HoneyBOT Uygulamasi

Ana Pencere

Bilişim Sistemleri

Sol tarafta
dinlenen portlar
ve bağlı uzak bilgisayarlar
bulunmaktadir. Sag
tarafta
ise sistem tarafından elde edilen loglari gorursunuz. Bu listede zaman, yerel port, Ip Adresi, Uzak Ip Adresleri gibi birçok önemli bilgiye
ulasabilirsiniz.

HoneyBOT’u Baslatmak

Yukaridaki mavi “Play
” butonuna tiklayin. Boylece HoneyBOT belirlenen portlari ve makinanalari dinlemeye alır
. Asagidaki durum cubugunda kaç tane portun başarılı bir şekilde acildigini görebilirsiniz
.

HoneyBOT’u Durdurmak

Yukaridaki kirmizi “Stop
” butonuna basarak uygulamayi durdurabilirsiniz. Durum cubugunda da kapatilan portlari gorursunuz.

Paket Log Goruntuleyicisi

Listedeki bir kayita cift tiklayarak Paket Log Goruntuleyicisini
acabilirsiniz.

Sol üst tarafta
baglantiyla ilgili detaylari gorursunuz. Burada gonderilen ve alinan verinin byte olarak boyutu, zaman, IP Adresleri, Portlar ve protokol bilgileri gosterilir
.

Sag üst tarafta
o kayit ile ilgili alinan ve gonderilen IP paket bilgileri
gosterilir. Her bir paketteki byte sayisini ve paketlerin icerigini
goruntuleyebilirsiniz. Paket Gecmisi
(Packet History) kutusundaki bir kayita tiklayarak aşağıda çıkacak kutu içerisinde o pakete ait bütün bilgileri
inceleyebilirsiniz. Paketin HEX
ya daText
formatinda goruntulenme seçeneğini secebilirsiniz.

Asagidaki resimde bir IIS Search Overflow
saldirisini gormektesiniz:

Bilişim Sistemleri

Hata Ayiklama Logu

Menuden “View
” secenegine gelerek Debug
’a tikladiginizda hata ayiklama penceresini goreceksiniz. Bu pencerede operasyon sırasında gerceklesen olayları
ve hatalari
goruntuleyebilirsiniz. Pencerede gorebilecekleriniz kisaca sunlardir:

- HoneyBOT’un bağlı olduğu IP Adresi

- Isletim sisteminden alinan bilgiye göre bulunan sistemin zaman dilimi

- Uygulama baslatma ve durdurma komutlari

- Port acma hatalari
(Bu hatalar genellikle o portun başka bir uygulama tarafından kullanildigi sırada olusur)
- Socket Hatalari

- Diger uygulama hatalari

Ayarlar

Menuden “View
” sekmesinden Options
’a tiklayarak aşağıdaki ayarlara ulasabilirsiniz:

- Server Name
: Saldirganlara verilecek sahte sistem adi.
- Enable Sound Alert
: HoneyBOT’a gelen her veride sesli uyarı verir.
- Capture Binaries
: Trojan ve diğer zararlı uygulamaları Captures dizinindeki dosyaya atar. Atilan dosyalarin uzantisi korunma amaciyla .txt olarak kaydedilir.

Dinlenen Portlari Duzenlemek

Bazi durumlarda dinlenilen TCP
ve UDP
portlarin listesini değiştirmek isteyebilirsiniz. Ornegin TCP 161
(SNMP
) ya da TCP 162
(SNMPTRAP
) portlarindan sürekli olarak bilgi geliyorsa bunları kapatmak isteyebilirsiniz.

Kapatmak için service.ini dosyasini notepad ile acin ve kapatmak istediğiniz portu silin
. Isterseniz yeni bir port da ekleyebilirsiniz. Degisiklikten sonra HoneyBOT’u yeniden baslatmaniz
gerekmektedir. Su an için toplamda 1500
port ekleyebilirsiniz.

Boylece HoneyPotlar
hakkında yeterince bilgi sahibi oldugunuzu dusunuyorum. Henuz daha gelistirilme aşamasında
olan bu HoneyPot uygulamaları hem sistem guvenlikcileri açısından hem de Bilisim Suclari Ekipleri tarafından kullanılarak çok faydalı olabiliyorlar
. Bu projelerin daha da geliştirilmesi ile Hack dunyasi
gerçekten zorlu bir sürece girecek gibi gorunuyor. Bu yüzden de hacker olacam diyorsaniz ne yapin edin “WhiteHat
” olmaya çalışın derim.

kaynak:mahmutesat.com/blog/honeypot-ile-hackerlari-avlayin.asp
  • Paylaş
Sonraki Soru
HESAP OLUŞTUR

İstatistikler

1436 Görüntülenme5 Takipçi1 Yanıt