Honeypot (Balküpü) Nedir ? Çeşitleri, Avantajları ve Dezavantajları Nelerdir ?



Merhaba değerli Siber Kavram okurları, bu makalem de sizlere hackerlerı nasıl oltamıza alırız, onların yapmış oldukları atak çeşitlerini nasıl öğrenebiliriz? Bu konulara cevap verebilmek için bu hafta ki konumuz olan Honeypot (Balküpü) hakkında bilgiler vermeye çalışacağım. Anlatacağım başlıca konular şunlardır ;
      1. Bal Küpü (HONEYPOT) Nedir?
      2. Bal Küpü (Honeypot) Türleri
      3. Honeypot'ların Çalışma Mantığı
      4. Bal Küplerinin Avantajları
      5. Bal Küplerinin Dezavantajları
Başlıklarına yakından inceleyelim. 

1.BAL KÜPÜ (HONEYPOT) NEDİR?

Honeypot
Bal küpü(honeypot); bilgi sistemlerine yetkisiz erişen saldırganlar ya da kullanıcılar hakkında bilgi toplamaya yarayan tuzak sunuculardır. Bal küpü genelde bir ağın parçasıymış gibi görünen bilgisayar veya veri barındıran herhangi bir sunucu olabilir. Aslında saldırganlara göre, saldırmak için sebep olabilecek bilgi veya değer taşıyan bir hedef gibi duran, izole edilmiş ve hareketleri özellikle izlenen bir kaynaktır.

Neden Bal küpü denmiş sorusuna cevap olarak da, saldırganı bal seven birisine benzetirsek, bal küpünü görür görmez- ve bir de açlık hissi varsa- içerisine elini sokmak isteyecektir. Çünkü dışarıdan bakıldığında, içerisinde bal olduğu izlenimi edinecek, dolayısıyla bal küpünün içine elini attığı anda arılar tarafından sokulacaktır.

2.BAL KÜPÜ (HONEYPOT) TÜRLERİ

Bal küpleri etkileşim seviyelerine göre üçe ayrılırlar;
  • Düşük Etkileşimli Bal küpleri (Honeyd, Kippo)
  • Orta Etkileşimli Bal küpleri (Dionea, Napenthes)
  • Yüksek Etkileşimli Bal küpleri (Specter)

Her etkileşim seviyesinin riskleri ve faydaları farklıdır; düşük seviye etkileşim daha az koruma sağlarken aynı zamanda düşük maliyetlidir ve fazla eğitim gerektirmez, etkileşim seviyesi yükseldikçe maliyet ve gereken eğitim seviyesi artarken koruma da doğru orantılı artmaktadır. Her iki seviyenin ortası sayılabilecek göreceli orta seviye etkileşimde bulunan bal küpleri ile diğer seviyelerin fayda ve risklerini yine ortalarda tutmak amaçlanır.

Balküpleri kullanım amaçlarına göre ikiye ayrılır;
  • Üretim Bal Küpleri (Production Honeypots)
  • Araştırma Bal Küpleri (Research Honeypots)
olarak 2’ye ayrılır.

  • Üretim Bal Küpleri (Production Honeypots):
Üretim bal küplerinin kullanımı kolaydır. Kısıtlı bilgi içerirler. Üretim bal küpleri genel olarak diğer üretim sunucuları ile birlikte üretim ağına yerleştirilir. Üretim bal küpleri genelde, kurulumu ve kullanımı daha kolay olan, düşük etkileşimli bal küpleridir. Saldırılar ve saldırganlar hakkında araştırma bal küplerine göre daha az bilgi elde ederler.

  • Araştırma Bal Küpleri (Research Honeypots):
Araştırma bal küpleri, farklı ağları hedef alan saldırgan (hacker) gruplarının amaçları ve saldırı taktikleri hakkında bilgi toplamaları için ve kuruluşların karşılaştıkları tehditleri araştırmak ve kuruluşların bu tehditlere karşı daha iyi nasıl korunabileceklerini öğrenmek için kullanılırlar. Araştırma bal küplerinin kurulumu ve bakımı zordur. Daha kapsamlı bilgi tutarlar ve özellikle askeri kurumlar, araştırma ve devlet kurumları tarafından kullanılırlar.

3.HONEYPOTLARIN ÇALIŞMA MANTIĞI

Honeypotlar yaptığı büyük işlerin aksine öyle karmaşık kurgulanmış algoritmalara sahip değildir. Gayet basit bir mantığı vardır. Honeypotların çalışma mantığı IDS(Intrusion Detection System) saldırı tespit sistemlerinin çalışma mantığı ile paraleldir. Belirlediğimiz portta çalışan servislere yapılan saldırıları analiz ederek bize log kayıtlarını gösterebilir.

Saldırgan bir exploit yolladığında bunu antivirüs yardımıyla analiz edebilir. Kullanım alanlarına göre birçok şekilde konfigüre edilebilirler. Örneğin spam hareketlerini tespit etmek için dahi kullanılabilirler.

Başka bir örnek ise büyük bir kuruluş içerisinde farklı ağ yapıları bulunabilir. Saldırgan atak yapmaya başladığında honeypot olmayan bir ağa sızmayı denediğinde bu bir zafiyet oluşturabilir. Bunun içinde birçok honeypot’u farklı ağlarda konfigüre ederek bir honeypot ağıda kurulabilir. Bu tarz sistemlere HoneyNet denir.

Örnek HoneyNet Konfigürasyonu


4.BAL KÜPLERİN AVANTAJLARI

  • Düşük veri gereksinimi,
  • Saldırgan davranış tespiti için tek giriş denemesi yeterlidir,
  • Yanlış alarmları azaltmaları,
  • Diğer tedbirlerin ürettiği yanlış alarmları analiz ederek azaltırlar,
  • Gözden kaçan saldırıların tespitinde artış sağlarlar,
  • Diğer tedbirlerin gözden kaçırdığı saldırganları tespit ederler,
  • Şifreleme/Şifre Çözme, saldırganın verileri şifreli olsa dahi tespit yapabilir ve daha sonrasında şifre çözülebilir.
  • Çoğu güvenlik tedbirinin aksine sadece IPv4 üzerinde değil, kullanımı an itibariyle a olan fakat gelecekte yaygınlaşacak IPv6 üzerinde de çalışabilirler.
  • Düşük kaynak kullanımı, yüksek maliyette dahi diğer tedbirlerin aksine az kaynak kullanırlar.

5.BAL KÜPLERİN DEZAVANTAJLARI

  • Tek veri giriş noktası bulunması, saldırgan durumu anlar ve bal küpleri ile hiç iletişime geçmez ise tespit imkânsızlaşır.
  • Risk, İyi tasarlanmamış bir bal küpü kritik sistem bilgilerini içerebilir ve tüm sistemi tehlikeye atabilir.

Kısacası Honeypot sistemlerimize yapılan saldırı tekniklerini öğrenmek, saldırganın nerelere saldırmak istediğini analiz etmek hangi yöntemlerle hangi verilere ulaşmak istediğini tespit edip ona göre önlem almaktır.


Vakit ayırıp okuduğun için teşekkür ederim. Daha güvenli bir dünyada görüşmek dileğiyle, sağlıklı günler dilerim😊

Yorum Gönder

0 Yorumlar