|
S.A.
HoneyPot Nedir?
HoneyPot
deyimini Turkceye cevirecek olursak “Bal Canagi” gibi
bir anlam cikiyor. Kisaca ozetleyecek olursak ortaya bir bal canagi koyuyorsunuz
ve cevredeki butun arilarin ona toplanmasini
bekliyorsunuz ve daha sonra da o arilari yakaliyorsunuz.
Biraz
daha teknik acidan aciklayayim: HoneyPot bilgisayariniza ya da sunucunuza kurdugunuz ozel bir yazilimdir. Sisteminizde sahte
aciklar gostermenizi ve saldirganlarin sisteminizde acik oldugunu dusunup
o deliklerden sizmaya calismalarini kayit eden ve
onlarin bilgilerini size sunan bir programdir. HoneyPot
yazilimlarinin tehlikeleri ve saldirilari kayit etme kapasitesi diger butun
yazilimlardan cok daha ustundur. Sisteminize sizmaya
calisan bir hackerin kullandigi komutlardan tutun da o kisiye ait her turlu
bilgiyi rapor eden bir calisma sekli
vardir.
HoneyPot Cesitleri Nelerdir?
Etkilesim
tipine gore Dusuk Etkilesimli ve Yuksek Etkilesimli HoneyPotlar olarak ikiye
ayrilirlar.
Dusuk
Etkilesimli HoneyPotlar: Gercek bir isletim sistemi ve diger servisler
gibi davranirlar. Uygulamalari ve yonetmeleri kolaydir.
Verecegi cevaplar ve uygulamalari limitli oldugu icin sadece otomatik acik tarayicilari tespit
edebilirler.
Yuksek
Etkilesimli Honeypotlar: Dusuk etkilesimliler gibi emulasyon
saglamazlar. Bu HoneyPotlar daha karmasiktir ve saldirgan
hakkinda inanilmaz olcude bilgi saglarlar.
Neden HoneyPot Kullanmaliyim?
1)
Hackerlarin sistemlere nasil sizdiklarini ogrenmek ve
guvenlik zaafiyetleri hakkinda daha fazla bilgi sahibi
olmak icin.
2)
Bulunan zaafiyetlerin kapatilmasi hakkinda bilgi
toplamak icin.
3)
Belirli bir saldirgani tuzaga dusurerek hakkinda yasal islem baslatmak icin.
HoneyPot Kullanim Alanlari Nelerdir?
HoneyPotlar
Internet ve ag dunyasinda bircok alanda kullanilirlar.
Bir organizasyonun bunyesindeki birbirine bagli butun
bilgisayarlarin olusturdugu bir agin guvenligini saglamak
icin kullanilabilirler. Bircok siteyi barindiran buyuk bir sunucu uzerinde kullanilabilirler. Ayrica spam dagitan kisilerin tespiti icin de kullanilabilirler.
Bunlarin haricinde bir IRC kanalina baglanan HoneyPot
sayesinde kanal uzerindeki yasadisi baglantilarin
tespitinde kullanilabilirler.
HoneyPot’un Avantajlari ve Dezavantajlari
nelerdir?
Avantajlari:
Cok buyuk degeri olabilecek en kucuk bir bilgiyi bile
toplarlar. Bu toplanan bilgiler derinlemesine incelenerek detayli
arastirmalara katkida bulunurlar. HoneyPotlar IPv6
aglarinda ya da sifreli aglarda da calisabilirler.
Bunlarin haricinde kolayca kurulup
yonetilebilirler.
Dezavantajlari:
HoneyPotlar sadece onlarla direk iletisim halinde olan
baglantilari tespit edebilirler. HoneyPot’un da asilmasi durumunda sisteme
gercek bir zarar verilebilir. Fakat, bu risk
saldirganin HoneyPot ile olan direk baglantisinin kontrolunu duzenleyerek azaltilabilir.
HoneyNET Nedir?
Bircok
HoneyPot’dan olusan bir ag olarak tasarlanan sistemlere
HoneyNET denir. Bu tarz sistemler Yuksek Etkilesimli HoneyPotlar’a ornektir. Bir HoneyNet ile
bircok sayida saldirgani tespit etmek mumkundur.
Ornek Bir HoneyPot Uygulamasi:
HoneyBOT
HoneyBOT
Nasil Calisir?
HoneyBOT
1000 uzerinde UDP ve TCP portlarini acarak bunlari birer sistem
acigi gibi gostererek calisir. Saldirgan bunlardan birine erismeye
calistiginda aslinda HoneyBOT butun islemleri kayit altina
alir ve saldirgan hakkindaki her turlu bilgiyi size sunar. Saldirgan bu
sahte aciklardan birini kullanarak exploit ya da rootkit
gondermeye calistiginda da HoneyBOT bunlari bilinen antivirus tarayicilari
yardimi ile tarar ve analiz eder.
HoneyBOT projesi su anda hala gelistirme asamasinda oldugu
icin butun portlari kapsamiyor fakat mukemmel bir is
cikarttigi kesin.
Sisteminizde
HoneyBOT Guvenligi
Oncelikle
benim tavsiyem, HoneyBOT’u sistemdeki ya da agdaki ayri
bir bilgisayara yuklemeniz ve o bilgisayarda baska
hicbir onemli bilgi bulundurmamanizdir. Her ihtimale
karsi almaniz gereken bir tedbir olmali.
HoneyBOT
yuklu makinanizda ayrica bir de antivirus uygulamasi
bulundurmaniz daha iyi olacaktir. Boylece HoneyBOT, ona gelecek saldirilari o
antivirus ile birlikte calisarak inceleyip rapor
edebilir.
Eger
HoneyBOT yuklu sisteminizde bir guvenlik duvari varsa,
ayarlarini en dusuk seviyeye getirmenizi ya da kapatmanizi tavsiye ederim. Cunku guvenlik duvari HoneyBOT
uzerindeki sahte aciklari kapatacak ve saldirganlara acik
bir sistem gostermeyecektir.
Ic
Ag Gozetimi
HoneyBOT’un
ayrilmis bir IP Adresi ile calistigindan emin olun. Ic ag gozetiminde HoneyBOT
agdaki diger bilgisayardan gelebilecek her turlu
senaryoyu dusunur ve ona gore davranir. Ag uzerindeki herhangi bir makinadan
sisteme sizilmaya calisilmasi durumunda HoneyBOT bunu
detayli bir sekilde raporlar. Ic agda kurulmus bir HoneyBOT birkac dakika
icerisinde agdaki butun malware, virus trojan gibi
zararli aktiviteleri gozlemleyebilir.
Dis
Ag Gozetimi
HoneyBOT’u
Internet uzerinde acik bir sekilde kurabilirsiniz. Ornegin bir guvenlik sirketiniz var ve internet uzerinde kuracaginiz birden
fazla HoneyBOT ile gercek sistemin bulundugu server’i gizleyebilirsiniz. Saldirganlar HoneyBOT yuklu sistemlere
saldirdikca da onlari avlarsiniz.
HoneyBOT’u
Nasil Yuklerim?
1)
BURAYA
tiklayarak HoneyBOT’u indirin.
2)
HoneyBOT_018.exe dosyasini calistirin ve yukleyin.
Varsayilan olarak C:\honeybot\ dizinine
yuklenecektir.
3)
Masaustune gelen HoneyBOT simgesine tiklayarak
calistirabilirsiniz.
HoneyBOT
Uygulamasi
Ana
Pencere
Sol tarafta dinlenen portlar ve bagli
uzak bilgisayarlar bulunmaktadir. Sag tarafta ise sistem tarafindan elde
edilen loglari gorursunuz. Bu listede zaman, yerel port, Ip Adresi, Uzak Ip
Adresleri gibi bircok onemli bilgiye
ulasabilirsiniz.
HoneyBOT’u
Baslatmak
Yukaridaki
mavi “Play” butonuna tiklayin. Boylece HoneyBOT
belirlenen portlari ve makinanalari dinlemeye alir.
Asagidaki durum cubugunda kac tane portun basarili bir sekilde acildigini gorebilirsiniz.
HoneyBOT’u
Durdurmak
Yukaridaki
kirmizi “Stop” butonuna basarak uygulamayi
durdurabilirsiniz. Durum cubugunda da kapatilan portlari
gorursunuz.
Paket
Log Goruntuleyicisi
Listedeki
bir kayita cift tiklayarak Paket Log Goruntuleyicisini
acabilirsiniz.
Sol ust tarafta baglantiyla ilgili detaylari gorursunuz. Burada
gonderilen ve alinan verinin byte olarak boyutu, zaman, IP Adresleri, Portlar ve
protokol bilgileri gosterilir.
Sag ust tarafta o kayit ile ilgili alinan ve gonderilen IP paket bilgileri gosterilir. Her bir paketteki byte sayisini
ve paketlerin icerigini goruntuleyebilirsiniz. Paket Gecmisi (Packet History) kutusundaki bir kayita
tiklayarak asagida cikacak kutu icerisinde o pakete ait butun
bilgileri inceleyebilirsiniz. Paketin HEX ya da
Text formatinda goruntulenme secenegini
secebilirsiniz.
Asagidaki
resimde bir IIS Search Overflow saldirisini
gormektesiniz:
Hata
Ayiklama Logu
Menuden
“View” secenegine gelerek Debug’a
tikladiginizda hata ayiklama penceresini goreceksiniz. Bu pencerede operasyon
sirasinda gerceklesen olaylari ve hatalari goruntuleyebilirsiniz. Pencerede gorebilecekleriniz
kisaca sunlardir:
-
HoneyBOT’un bagli oldugu IP Adresi
-
Isletim sisteminden alinan bilgiye gore bulunan sistemin zaman
dilimi
-
Uygulama baslatma ve durdurma komutlari
-
Port acma hatalari (Bu hatalar genellikle o portun baska
bir uygulama tarafindan kullanildigi sirada olusur)
-
Socket Hatalari
-
Diger uygulama hatalari
Ayarlar
Menuden
"View" sekmesinden Options’a
tiklayarak asagidaki ayarlara ulasabilirsiniz:
-
Server Name: Saldirganlara verilecek sahte sistem
adi.
-
Enable Sound Alert: HoneyBOT’a gelen her veride sesli
uyari verir.
-
Capture Binaries: Trojan ve diger zararli uygulamalari
Captures dizinindeki dosyaya atar. Atilan dosyalarin uzantisi korunma amaciyla
.txt olarak kaydedilir.
Dinlenen
Portlari Duzenlemek
Bazi
durumlarda dinlenilen TCP ve UDP portlarin listesini degistirmek isteyebilirsiniz. Ornegin
TCP 161 (SNMP) ya da TCP 162 (SNMPTRAP) portlarindan surekli
olarak bilgi geliyorsa bunlari kapatmak isteyebilirsiniz.
Kapatmak
icin service.ini dosyasini notepad ile acin ve kapatmak
istediginiz portu silin. Isterseniz yeni bir port da
ekleyebilirsiniz. Degisiklikten sonra HoneyBOT’u yeniden
baslatmaniz gerekmektedir. Su an icin toplamda 1500 port ekleyebilirsiniz.
Boylece
HoneyPotlar hakkinda yeterince bilgi sahibi oldugunuzu
dusunuyorum. Henuz daha gelistirilme asamasinda olan bu
HoneyPot uygulamalari hem sistem guvenlikcileri acisindan hem de Bilisim Suclari
Ekipleri tarafindan kullanilarak cok faydali
olabiliyorlar. Bu projelerin daha da gelistirilmesi ile Hack dunyasi gercekten zorlu bir surece girecek gibi gorunuyor.
Bu yuzden de hacker olacam diyorsaniz ne yapin edin “WhiteHat” olmaya calisin derim :)
SOLVER
|
