المعلوماتية > اتصالات وشبكات

اسبق المهاجم بخطوة، واخترقه!

أصبح التحدي الأساسي في مجال أمن الشبكات هو مواكبة جميع أنماط التهديدات وهي في مرحلة تطور وتزايد مستمر يوميا وذلك من أجل تأمين الحل الأفضل لحماية أي منظومة. هناك العديد من آليات الحماية التقليدية والمتمثلة بالجدران النارية firewalls وأنظمة كشف الاختراق Intrusion (Detection Systems (IDS، ولكن هذه الحلول لا تؤمن كشف الهجمات والطرائق الجديدة المتبعة من قبل المهاجمين؛ لذلك هناك حاجة إلى حلول أكثر فعالية وكانت هذه الحلول مصائد الاختراق Honeypots.

مصائد الاختراق Honeypots: عبارة عن فخ للمخترقين، وهي متصلة بشبكة وتنتظر أن يصل إليها المخترقون والمهاجمون لتوقف نشاطهم وتتعرف إليهم؛ إذ تُراقب عن كثب من قبل متخصصي الأمن فيمكنهم جمع معلومات قيّمة عن النشاط الضار (3).

المهام الرئيسية لمصائد الاختراق تكمن في:

  1. صرف انتباه المهاجم عن الشبكة الحقيقية من أجل الحفاظ على الموارد الفعلية للمنظومة.
  2. استنفاد موارد المهاجم وإبطاء عمله مما يستدعي نفاد وقته باستغلال موارد وهمية.
  3. التقاط فيروسات أو حركات مشبوهة جديدة للاستفادة منها مستقبلاً.
  4. مراقبة سلوك المهاجم لمعرفة طرائقه المتبعة وآلياته والتقنيات المستخدمة.
  5. تحديد نقاط ضعف المنظومة على نحو برمجي أو صلب والتي لم تُكتشف بعد (2).
تنمو تقنية مصائد الاختراق بسرعة وتؤسس النموذج الأصلي من الإجراءات المضادة بوصفها قابلة للتطبيق ومفيدة في الدفاع الحديث الخاص بالشبكات. تعد الآن في مرحلة التطوير؛ إذ يمكن أن تحدث المراقبة في الزمن الحقيقي، ومع ذلك، فإن معظم تقنيات مصائد الاختراق مصممة للمواجهة الخارجية ما يعني أنها غير مفيدة في تقليل تأثير الهجمات الداخلية في المنظمات.

تميل مصائد الاختراق إلى استخدام الخداع بوصفه سلاحا رئيسيا والذي يستند إلى حد كبير إلى إخفاء الحقيقة، أي أن المهاجم يُضلل عن قصد حول معلومات تتعلق ببنية الشبكات أو نقاط الضعف، ويتعين على الكيان الخارجي الذي يرغب في الوصول إلى نظام متصل بالشبكة أن يجري بعض التحقيقات على الشبكة لجمع المعلومات عن تكوين الشبكة وهيكلها. قد يستخدم هذا التحقيق التخفي ويجب اكتشاف الكثير من هذا التحقيق حتى من خلال أبسط أنظمة الكشف عن التسلل.

إضافة إلى هذا التحقيق الأولي، يجب على المهاجم بعد ذلك شن هجمات اختراق الشبكة التي تستند إلى معلومات الهجوم التي جمعها (1).

يتأثر تصميم مصائد الاختراق الداخلية بالمقارنة مع مصائد الاختراق الخارجية المنتشرة تقليديا على عدة مستويات، إذ تستخدم مصائد الاختراق الخارجية مفهوم استنفاد موارد المهاجم ومصائد الاختراق التي تُنشَر داخلياً لا تتمتع بالقدرة نفسها التي يستخدمها المهاجم الداخلي عادةً اتصال Ethernet عالي السرعة بمستويات عالية من الوصول إلى مصائد الاختراق.

عادةً ما يُقاس زمن انتقال الشبكة بأجزاء من الثانية وغالباً ما يكون على مقطع الشبكة نفسها أو على مسافة قريبة منه، لذلك لا تمثل مشكلات وقت استجابة الشبكة وتوافر النظام وإمكانية الوصول لجمع معلومات الهجوم أو ارتكاب هجوم عائقاً كبيراً للموارد لمستخدم داخلي.

تعتمد الطوبولوجيا الخاصة بمصائد الاختراق على طوبولوجيا الشبكة الداخلية، ويمكن أن تضيف مصائد الاختراق الخارجية طبقات من الشبكة مثل المنطقة العازلة DMZ) Demilitarized Zone). يفصل عادةً بين الشبكة الداخلية LAN والشبكة الخارجية Internet جهاز الراوتر، أو ربما جدار ناري، المنطقة العازلة DMZ هي نوع ثالث، وتقع في مستوى وسط بين النوعين السابقين، وهي شبكة محايدة فلا هي محمية ومؤمنة كلّيا كما هي الشبكة الداخلية ولا هي مكشوفة على نحو صريح كما هي شبكة الإنترنت. ويمكن أن تضيف مصائد الاختراق الخارجية شبكات VLAN في التصميم، وهي مصممة على نحو نموذجي لتأخير المهاجم الخارجي وإلهائه، ولكن التصميم الداخلي لا يتمتع بهذه الرفاهية حيث يكون لدى المستخدم الداخلي فهم لطوبولوجيا الشبكة الحالية وإذا كانت طوبولوجيا شبكة مصائد الاختراق لا تحاكي أيضاً على نحو فعال وموثوق هيكل الشبكة الحقيقي الحالي، فإن الكشف عن موضع مصائد الاختراق يعد عالي المخاطر (1).

قدمت الباحثة Nathalie Weiler نظاما يساعد المنظومة الدفاعية لشبكة ما ضد *هجوم DDOS، وإضافة إلى طرائق الحماية التقليدية أنشأ شبكة مصائد تقلّد الشبكة الفعلية ومهمتها لفت انتباه المهاجم وجذبه للتفاعل معها من أجل خداعه وتحليل نشاطه وبالتالي إيقاف هجومه على المخدمات الفعلية.

تميز النظام المقترح بعدة إمكانيات:

  1. القدرة على تخفيف هجوم DDOS على الشبكة الفعلية.
  2. نصب فخ للمهاجم وتحليل نشاطه من أجل إيجاد رد فعل مناسب.
  3. عبارة عن شبكة من المصائد وليست مصيدة واحدة فقط.
  4. عزل المهاجم عن المنظومة الفعلية وإيهامه أنه يتفاعل مع مخدم فعلي في حين أنه يتفاعل مع مخدم وهمي.

رغم هذه الحسنات لكن هناك بعض القيود مثل:

  1. النظام المفترض مبني على نحو فيزيائي وهو غير مناسب للشبكات الكبيرة؛ لأنه يستدعي استهلاكا كبيرا من الموارد المتاحة ويصعب إيجاد نسخ احتياطية منه.
  2. اعتمد على المصائد ذات المستوى العالي فقط، مما يسبب صعوبة في التكوين والنشر والمراقبة، وهي غير مناسبة للهجمات البسيطة.
  3. تسبب خطورة كبيرة في حال استطاع المهاجم التحكم بها، ومن الممكن عندها أن يستخدمها محطة لهجومات أخرى (4).

آلية توجيه حزم الهجوم إلى المصائد غير فعالة، إذ أنها تعتمد على الاطلاع على ترويسة (header) كل حزمة ومن ثم مقارنتها مع ترويسة كل حزمة من هجمات DDOS سابقة، وفي حال المطابقة تتوجه إلى المصائد، هذه الآلية لا تفيد في حال ظهر هجوم جديد أو في حال كان الهجوم مختلفا عن هجوم DDOS (4).

هوامش:

*منع الخدمة الموزع DDOS: هنا

المصادر:

1. Valli C. Honeypot technologies and their applicability as an internal countermeasure [Internet]. 2005 [cited 9 August 2020]. Available from: هنا
2. Intrusion Detection Systems : buyers guide [Internet]. [cited 19 August 2020]. Available from: هنا
3. Honeypots, Botnets, and Spyware, Oh My! - Cisco Umbrella [Internet]. Cisco Umbrella. 2014 [cited 10 August 2020]. Available from: هنا
4. Weiler N. Honeypots for Distributed Denial of Service Attacks [Internet]. Switzerland; 2002 [cited 9 August 2020]. Available from: هنا