Bal Küpü

Vikipedi, özgür ansiklopedi
(Honeypot sayfasından yönlendirildi)
Şuraya atla: kullan, ara

Tanım[değiştir | kaynağı değiştir]

Bal küpleri (honeypot); bilgi sistemlerine yetkisiz erişen saldırganlar ya da kullanıcılar hakkında bilgi toplamaya yarayan tuzak sunuculardır. [1][2] Bal küpleri genelde bir ağın parçasıymış gibi görünen bilgisayar veya veri barındıran herhangi bir sunucu olabilir. Aslında saldırganlara göre, saldırmak için sebep olabilecek bilgi veya değer taşıyan bir hedef gibi duran, izole edilmiş ve hareketleri özellikle izlenen bir kaynaktır.[3]

Türler[değiştir | kaynağı değiştir]

Bunun için belirlenmiş bir standart olmasa da bal küpleri yerleşim ve etkileşim seviyelerine göre sınıflandırılabilirler.[4]

Yerleşimlerine göre bal küpleri şu şekilde sınıflandırılabilir:

  1. Üretim bal küpleri (production honeypots)
  2. Araştırma bal küpleri (research honeypots)

Üretim bal küplerinin kullanımı kolaydır. Kısıtlı bilgi içerirler. Üretim bal küpleri genel olarak diğer üretim sunucuları ile birlikte üretim ağına yerleştirilir. Üretim bal küpleri genelde, kurulumu ve kullanımı daha kolay olan, düşük etkileşimli bal küpleridir. Saldırılar ve saldırganlar hakkında araştırma bal küplerine göre daha az bilgi elde ederler.

Araştırma bal küpleri, farklı ağları hedef alan saldırgan (hacker) gruplarının amaçları ve saldırı taktikleri hakkında bilgi toplamaları için ve kuruluşların karşılaştıkları tehditleri araştırmak ve kuruluşların bu tehditlere karşı daha iyi nasıl korunabileceklerini öğrenmek için kullanılırlar. Araştırma bal küplerinin kurulumu ve bakımı zordur. Daha kapsamlı bilgi tutarlar ve özellikle askeri kurumlar, araştırma ve devlet kurumları tarafından kullanılırlar.

Etkileşim seviyelerine göre bal küpleri şu şekilde sınıflandırılabilir:

  1. Saf bal küpleri (pure honeypots)
  2. Yüksek etkileşimli bal küpleri (high-interaction honeypots)
  3. Düşük etkileşimli bal küpleri (low-interaction honeypots)

Yüksek etkileşimli bal küpü teknolojisinde yapılan son araştırmalar sonucu, sanal makine kullanılarak birden fazla bal küpü tek bir fiziksel makinede çalıştırılabilmektedir. Bu sayede, bal küpü saldırıdan etkilense bile çok hızlı bir şekilde eski durumuna döndürülebilmektedir. Sanal makinenin kullanılabilir olmadığı durumlarda, her fiziksel makine için bir bal küpü çalıştırılır. Bu durumun da maliyeti çok yüsektir.

Saf bal küpleri tam teşekküllü sistemlerdir. Başka bir yazılımın yüklenmesine gerek yoktur. Saf bal küpü kullanışlı olmasına rağmen savunma mekanizmasının gizliliği genelde, daha gelişmiş bir mekanizma tarafından sağlanabilir.

Yüksek etkileşimli bal küpleri çeşitli servisler sağlayan gerçek sistemlerin hareketlerini taklit ederler, böylece saldırganın zamanını harcayabileceği birçok servisi kullanmasına izin verilir. Yüksek etkileşimli bal küpleri, düşük etkileşimli bal küplerine göre daha zor tespit edilebilmektedirler. Fakat idame maliyetleri düşük etkileşimli bal küplerine göre daha yüksektir.

Düşük etkileşimli bal küpleri sadece saldırganlar tarafından sık kullanılan bazı servisleri taklit ederler. Yüksek etkileşimli bal küplerine kıyasla daha az kaynak harcadıkları için bir fiziksel makinede kolaylıkla birden fazla sanal makine çalışabilir.

Spam Versiyonları[değiştir | kaynağı değiştir]

Spam gönderenler, açık proxy ve açık geçiş sunucularını istismar ederler. Bazı sistem yöneticileri, spam hareketlerini tespit etmek için, bu istismar edilebilen kaynaklar gibi davranan bal küpleri oluştururlar. Bunun gibi, bal küplerinin yöneticilere sağladığı birçok özellik vardır ve bu tip kötü kullanıma açık şekildeki sahte sistemlerin varlığı bu istismarları daha zor ve riskli hale getirmektedir. Bal küpleri, spam gönderenler ve bunlar gibi yüksek seviye kötüye kullanıma dayalı aktivitelere karşı güçlü birer önlem olabilmektedirler.

Bu bal küpleri spam gönderen IP adreslerini tespit eder ve geniş çaplı spam yakalama kabiliyeti sunarlar (operatörlere, spam gönderenlerin URL’lerini ve cevap mekanizmalarını belirleme imkanı sağlarlar). Açık geçiş sunucuları için kullanılan bal küpleri, spam gönderenlerin, test mesajlarını yollamak için hedef olarak kullandıkları e-posta adreslerini (dropboxes) belirleyebilirler. Dropbox’ları spam gönderenler açık geçiş sunucularını tespit etme aracı olarak kullanırlar. Buna bağlı olarak spam gönderenleri aldatmak kolaydır: dropbox’ın e-posta adresine gönderilmiş postayı aldığına dair herhangi bir cevap gönder. Bu, spam gönderene aslında bal küpü olan makinenin, gerçek açık geçiş sunucusu olduğunu söyler ve spam gönderen, bal küpüne sürekli olarak onu durduracak kadar çok miktarda spam yollayarak cevap verir. Asıl hedef kaynak, istismar edilen başka bir sistem olabilir; spam gönderenler veya diğer saldırganlar, saldırı trafiğinin orijinal başlangıç noktasının tespit edilmesini zorlaştırmak amacıyla aynı anda birçok sisteme etki edebilirler.

Bu, bal küplerinin anti-spam aracı olarak ne kadar güçlü olduklarının göstergesidir. Anti-spam bal küplerinin ilk zamanlarında, spam gönderenlerin yerlerini gizlemek konusunda pek kaygıları yoktu, direkt kendi sistemlerinden açıkları test ederler ve spam gönderirlerdi. Bal küpleri bu saldırıları riskli bir hale getirdi ve daha da zorlaştırdı.

Kaynakça[değiştir | kaynağı değiştir]