Notes

Hepinize Selamlar Saygi Deger Arkadaslar,

Yukaridaki Konu Basligindada yazdigi gibi bu konuda sizlere Detayli olarak Honeypot Türkçe Terimiyle ( Balküpü veya bal çanagi ) Güvenlik sisteminin nasil
Çalistigini Anlatmaya çalisacagim. Umarim Kolay anlayabileceginiz Verimli bir konu olur :)



[B][SIZE=5][RED]HoneyPot Nedir? Yenilebilir mi ?[/RED][/FONT][/B]

[IMG]http://imguploads.net/images/2017/08/05/HoneyTrap.jpg[/IMG]

Varsayalim Bir düzine bal peteginiz var, birileri hergün gelip peteklerinize zarar vermeye calisiyor,
sizde cözüm olsun diye bal ile dolu gibi görünen bir canagi bal peteklerinizin oldugu yerin hemen yanina
görünür bicimde koyuyorsunuz. Öyleki Kapiyida acik birakiyorsunuz. Haliyle bu edepsiz bal petekleri yerine
dolu sandigi canak ile ugrasmaya basliyor,siz canagi öyle bir koyuyorsunuz ki zarar vermeye gelen kisi canaga
ulasmanin daha kolay oldugunu düsünüyor, fakat aslinda o canak bos. Bunlar yasanirken sizde izliyorsunuz.
HoneyPot sistemide tam bu mantik üzerinden calismakta.

[B][SIZE=5][RED]Biraz daha teknik açidan aciklayalim:[/ORANGE][/FONT][/B]
HoneyPot Kendini Kurulu oldugu sistem gibi davranan ana görevi yaniltma ve kandirma üzerine olan bir Siber güvenlik Sistemidir.
Evet, Yaniltmak ve kandirma diyorum cünkü Balküpü sistemi tamda bu mantik üzerinden calismaktadir.
Balküpü saldirganin ilgisini çekmek yoluyla dikkati üzerine çeker ve Saldiri yapan Hackerlari tuzaga düsürür.
honeypotlar sisteminizde ki belirlediginiz servisleri birebir sekilde Taklit eden ve Belirlediginiz servislerde
sahte aciklar olusturan, bu aciklar sayesinde hackerlari kandirip tuzaga düsüren,
Bu Hackerlarin hangi servisinize nasil bir saldiri uyguladigini loglayan Delikanli bir Siber Güvenlik sistemidir.
Yani Hacker sizin Sisteminize sizdigini sanarken aslinda sadece HoneyPot ile ugrasiyor olacaktir, bu arada sizde
saldirganin tüm izledigi yollari loglardan takip ediyor olacaksiniz.

[IMG]http://imguploads.net/images/2017/08/05/Honeypot_Diagram.png[/IMG]


[B][SIZE=5][RED]Neden HoneyPot diyoruz? Bal Nerede ?[/RED][/FONT][/B]

[IMG]http://imguploads.net/images/2017/08/05/winniethepooh.jpg[/IMG]

Yani bu aslinda okadarda zor bir soru degil. Buradaki HoneyPot aslinda Bal Küpünü temsil ediyor, Kafanizda ac bir ayi canlandirin (Buradaki ayi senaryomuzda saldirgan)
disarida bir bal küpü gördügünde onun gösterisine aldanir. Bal Küpünün dolu olabilecegini düsünüp direk onu almaya calisicaktir yanlismiyim?
Iste Burada HoneyPot denmesinin asil sebebi aslinda budur. Hackerlarda aslinda ayilardan örnek gösterilebilirler, Ayi bal icin herseyi yapar, Hacker ise sisteme girmek icin
elinden geleni yapar. HoneyPot sistemide Hackerlarin bu acligini kullanir, Nasil bir ayi agacin üstündeki gercek bal ile dolu petek ile ugrasmak yerine yerde masada duran Bal Küpüne ulasmaya calirsirsa
Hackerlarda Aslinda olmayan fakat varmis gibi Simule edilen aciklara ac gibi saldirir ve tuzaga düser.



[B][SIZE=5][RED]HoneyPot Cesitleri varmidir, varsa nelerdir?[/RED][/B]

HoneyPotlar cesitli tasarimlarda, farkli görevlerde ve degisik islemlerde karsimiza çikabilirler.
Aslinda buda onlari Anlasilmaz ve güclü yapan bir etmendir. Genelde HoneyPotlar ikiye ayrilmaktadirlar, bizler onlara;
düsük etkilesimli(Production Honeypots) ve yüksek etkilesimli(Research Honeypots) HoneyPotlar diyoruz. Bu iki Katagori Balküplerini bizim hangi tip bir balküpüyle çalistigimizi,
onun güçlü ve zayif yönleriyle birlikte anlamamiza yardimci olur. Mesela Katagori ismindeki Etkilesim, bir balküpünün saldirgana verdigi izinin seviyesini tanimlar.

[B][SIZE=3][ORANGE]Düsük-etkilesimli HoneyPot(Production Honeypots):[/ORANGE][/FONT][/B]

Düsük-etkilesimli balküpleri kisitli etkilesime sahiptirler, normal sartlarda isletim sistemlerini veya servisleri simule ederek çalisirlar. Saldirganin hareket yetisi
balküpünün simulasyon seviyesine göre kisitlanir. Yani Eger sadece düsük etkilesimli HoneyPot kullaniyorsaniz ve 21. portta dinlemede olan bir FTP servisini simule eden balküpü yarattiysaniz,
o sadece FTP login‘i simule edebilecektir. Düsük etkilesimli balküpünün avantaji bu basitligidir aslinda. Kullanimi ve Kurulumu gayet basit ve en düsük seviyede riske sahiptirler.
Bunun Yani sira gelistirme ve bakima da daha elverislidirler. Düsük etkilesimli balküplerinin temel dezavantaji ise kisitli bilgi günlüklemeleri ve bilinen aktiviteyi
yakalamak için tasarlanmis olmalaridir. Örnegin Saldirgan HoneyPotun simule ettigi FTP servinine giris yapmaya calistigi an HoneyPot bunun mümkün oldugunu söyleyecektir fakat saldirganin
daha fazla ileriye gitmesine izin vermeyecektir. Buda saldirgandan sadece kisitli bilgi almaniza yol acacaktir. Bununla berber bir diger dezavantaji ise Bir saldirgan için
düsük-etkilesimli bir balküpünü tespit etmek kolaydir, simulasyon ne kadar iyi olursa olsun fark etmez, deneyimli bir saldirgan er geç balküpünün varligini fark edecektir.
Düsük-etkilesimli HoneyPotlara örnek vermemiz gerekirse Specter, HoneyBOT, Honeyd ve KFSensor güzel örneklerdir.

[IMG]http://imguploads.net/images/2017/08/05/image0017.png[/IMG]


[B][SIZE=3][ORANGE]Yüksek etkilesimli HoneyPot(Research Honeypots):[/ORANGE][/FONT][/B]

Yüksek etkilesimli balküpleri ise farklidir, gerçek isletim sistemleri ve uygulamalar gerektigi için genellikle daha karmasik çözümler olarak ortaya çikarlar.
Düsük etkilesimli HoneyPotlarin aksine Hiçbirsey simule edilmez, saldirgana gerçek bir seyler veririz. Eger bir FTP sunucu çalistiran bir Linux balküpü istiyorsaniz,
bu sistemi fiziksel olarakta gerçeklestirmeniz gerekir. Bu tarz bir çözümün avantajlari 2 sekilde olabilir. Birincisi, çok kapsamli bir bilgi mitarina sahip olursunuz.
Saldirgana etkilesmesi için gerçek bir sistem vermekle de, uluslar arasi IRC oturumlarindan yeni rootkitlere kadar saldirganin kullandigi yöntemlerin bütün ayrintilarini ögrenebilirsiniz.
Ikincisi ise yüksek etkilesimli balküpleri, saldirganin nasil saldiracagi hakkinda tahminde bulunmazlar, bunun yerine saldirganin bütün hareketlerini gösteren açik bir çevre olustururlar.
Bu çözüm yüksek etkilesimli balküplerinin, saldirganin ummadigimiz hareketlerini ögrenmesini saglar. Bu sayede Saldirganin sisteme girmek adina yaptigi tüm islemleri görüp, varsa bir zafiyet
gidermemizde büyük rol oynayabilir. Ayni zamanda Saldirganin bilgilerinede ulasmis oluruz. Genelde, yüksek etkilesimli balküpleri, düsük etkilesimli balküplerinin yapabildigi herseyi ve daha
fazlasini yaparlar ama bakimlari ve gelistirmesi daha karmasik olabilir. Symantec Decoy Server ve Honeynets yüksek etkilesimli balküplerinin örnekleridir

[IMG]http://imguploads.net/images/2017/08/05/figureA.jpg[/IMG]



[B][SIZE=5][RED]Linux icin Örnek bir HoneyPot kurulumu : PentBox/HoneyPot[/RED][/FONT][/B]

[B][SIZE=3][ORANGE]1. Adim: PentBox Kurulum;[/ORANGE][/FONT][/B]

[RED]1. Komut:[/RED] wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz
[RED]2. Komut:[/RED] tar -zxvf pentbox-1.8.tar.gz
[RED]3. Komut:[/RED] cd pentbox-1.8
[RED]4. Komut:[/RED] chmod +x pentbox.rb
[RED]5. Komut:[/RED] cd network
[RED]6. Komut:[/RED] chmod +x honeypot.rb
[RED]7. Komut:[/RED] ./pentbox.rb

Ilk olarak [RED]1. Komutu[/RED] yazarak PentBox 1.8 i indiriyoruz, akabinde [RED]2. Komutu[/RED] yazarak Pentboxu dosyaya cikartiyoruz.
Daha sonra [RED]3. Komutu[/RED] kullanarak Pentboxu dosyasina giriyoruz, hemen ardindan [RED]4,5[/RED] ve [RED]6. Komutlari[/RED] kullanarak gerekli izinleri sagliyoruz.
Artik HoneyPot kullanmaya haziriz. Yeni bir Terminal acip [RED]3. Komutu[/RED] giriyoruz, Son olarakda [RED]7. komutu[/RED] girip PentBoxu baslatiyoruz.



[B][SIZE=3][ORANGE]2. Adim: PentBox üzerinden HoneyPot Acmak;[/ORANGE][/FONT][/B]

Bizi Böyle bir Liste Karsiliyor;

[IMG]http://imguploads.net/images/2017/08/05/11.png[/IMG]

Burada 2 yazarak devam ediyoruz...

-------------------

Daha sonra 6. farkli secenek sunaca;

[IMG]http://imguploads.net/images/2017/08/05/22.png[/IMG]

Burada 3 yazarak devam ediyoruz...

-------------------

Son olarak bize 2 farkli secenek sunacak;

[IMG]http://imguploads.net/images/2017/08/05/33.png[/IMG]

Burada 1 Yazarak devam edersek otomatik olarak HoneyPot 80 Portuna kurulacak ve hazir bekleyecek,
Eger 2 yazarak devam edersekde istedigimiz bir port secebilecegiz.


[B][SIZE=3][ORANGE]3. Adim: Fast Auto Configuration;[/ORANGE][/FONT][/B]

1 Yazarak devam ettigimizde 80 portuna otomatik olarak HoneyPot kurulacaktir.

[IMG]http://imguploads.net/images/2017/08/05/44.png[/IMG]

Resimdede Gördügünüz üzre ip adresini arattigimizda sanki bu ip adresinin 80 portunda gercekten birsey varmis gibi yanit veriyor,
oysaki sadece HoneyPot. Biz bu arada Baglanan kisinin ip adresine ulasmis oluyoruz.

[B][SIZE=3][ORANGE]4. Adim: Manual Configuration;[/ORANGE][/FONT][/B]

2 Yazarak devam ettigimizde bize hangi porta HoneyPot kurmak istedigimizi soracak. Ben Örnek olsun diye 23 Portuna HoneyPot Kuracagim.
Daha sonra "Insert false message to show." yani Saldiran kisi 23 Portunu denediginde ne tür bir cevapla karsilasini gerektigini soracak,
ben oraya "Giris Basarili, Zaman Asimina Ugradi." yazacagim, bu saldiran kisiyi yeterince oyalar. Daha sonraki soruyu y yazarak devam edin,
bu 23 portu denendiginde deneyen kisinin ne yazdigini loglayacaktir. Ondan sonra gelen soruyu bos gecin, son soruda ise n yazarak devam edin.

[IMG]http://imguploads.net/images/2017/08/05/55.png[/IMG]

Evet Resimdede gördügünüz gibi 23 Portunu denedigimizde böyle bir girisin muhtemel oldugunu, fakat girisin basarisiz oldugunu söylüyor.
Oysaki 23 Portu falan yok ortada, sadece HoneyPot. Sagdaki Terminaldede Girisi deneyen kisiyi ve ne yazdigini görüyoruz.



[B][SIZE=5][RED]Windows icin Örnek bir HoneyPot kurulumu : HoneyBOT[/RED][/FONT][/B]

[B][SIZE=3][ORANGE]1. Adim[/ORANGE][/FONT][/B]

http://www.atomicsoftwaresolutions.com/enrol.php adresinden istenilen bilgileri girip indirin,
Daha sonra HoneyBOTu bildisayariniza kurun, kurulumu göstermiyorum cünkü baya kolay.

[B][SIZE=3][ORANGE]2. Adim[/ORANGE][/FONT][/B]

Kurulumu yaptiktan ve HoneyBOTu calistirdiktan sonra sizi böyle bir ekran karsilayacak

http://imguploads.net/images/2017/08/05/66.png

Benim IP adresimin yazdigi yerde normalde sizde All yazar. Eger All olarak devam ederseniz Routera Bagli tüm ip adresleri
icin sahse portlar acar, eger herhangi bir ip secerseniz sadece secilen ip ye sahte Portlar acar. Ben göstermke icin
sadece kendi IP adresime HoneyPot kuracagim.

[B][SIZE=3][ORANGE]3. Adim[/ORANGE][/FONT][/B]

Evet, Armitage üzerinden Ip adresimin taramasini yaptim ve sonuc;

http://imguploads.net/images/2017/08/05/66da40f.png

Resimde Gördügünüz gibi Armitage Aslinda benim ip adresim üzerinde aktif olmayan portlari görüyor.
Bende Kimin benim ip adresimi Arastirgini HoneyBOT üzerinden görebiliyorum. :)


HoneyBOT icin bir öneride bulunayim; HoneyBOT aktif ettiginiz IP icin tam 1000 adet sahte Port gösteriri.
Bu Saldiran kisinin direk HoneyPot oldugunu anlamasini saglayabiir o yüzden HoneyBOT dosyarindaki Sercice Konfigurasyonunu editleyip verdigim Portlari girin.
Bu sayede Daha inandiri olacaktir.

Service Konfigurasyonuna yazilacaklar:

HoneyBOT
18
21,1,1,ftp
21,0,1,ftp
22,1,1,pcanywhere
22,0,1,ssh
23,0,1,telnet
25,0,1,smtp
53,1,1,dns
53,0,1,dns
80,1,1,http
80,0,1,http
110,1,1,pop3
110,0,1,pop3
113,1,1,auth
113,0,1,auth
143,1,1,imap2
143,0,1,imap2
443,1,1,https
443,0,1,https
444,0,1,snpp
444,1,1,snpp
993,0,1,garcon
3306,0,1,icb
8080,0,1,clvmcfg



[B][SIZE=5][RED]HoneyNET Nedir?[/RED][/FONT][/B]

Birden fazla HoneyPot’dan olusan bir ag olarak tasarlanan sistemlere HoneyNET denir.
Bu tarz sistemler Yuksek Etkilesimli HoneyPotlar’a ornektir. Bir HoneyNet ile birçok sayida saldirgani tespit etmek mumkundur.
Bu tarz HoneyPotlarin kurulumu, denetimi ve bakimi zor ve zaman alaci olabilir fakat güvenlik adina gözünüzün arkada kalmayacagini söyleyebiliriz.

[IMG]http://imguploads.net/images/2017/08/05/gen1.gif[/IMG]



[B][RED]HoneyPot Kullanim Alanlari Nelerdir?[/RED][/FONT][/B]

[B][ORANGE]*[/ORANGE][/B] HoneyPotlar Internet ve ag dünyasinda birçok alanda kullanilirlar. Bir Sirketin, Firmanin veya Fabrikanin ayni
agda birbirine bagli olan Bilgisayarlarinin ve Serverlarinin güvenligi icin kullanilabilirler.

[B][ORANGE]*[/ORANGE][/B] Hosting Sirketleri tarafindan bünyesinde bulundurdugu Siteleri korumak icin kullanabilirler.

[B][ORANGE]*[/ORANGE][/B] Spam Yaparak isinize tas koymaya calisan insanlarin tespitinde ve engellenmesinde kullanilabilirler.

[B][ORANGE]*[/ORANGE][/B] Bunlarin haricinde bir IRC kanalina baglanan HoneyPotsayesinde kanal uzerindeki yasadisi baglantilarin tespitinde kullanilabilirler.



[B][SIZE=5][RED]Neden HoneyPot Kullanmaliyim?[/RED][/FONT][/B]

[B][ORANGE]1)[/ORANGE][/B] Hackerlarin sisteminize nasil sizmaya calistiklarini ögrenmek ve
guvenlik zaafiyetleri hakkinda daha fazla bilgi sahibi olmak icin.

[B][ORANGE]2)[/ORANGE][/B] Sisteminizi daha güvenli hale getirebilmek ve Güvende hissetmek icin.

[B][ORANGE]3)[/ORANGE][/B] Eger hedefinizde bir Hacker varsa onu tuzaga dusurerek Bilgilerini alip
hakkinda yasal islem baslatmak icin.

[B][ORANGE]4)[/ORANGE][/B] Sisteminize ileride gelebilecek saldirilari önceden görebilmek ve Bu Saldirilari
yapabilecek Hacklerari tespit edip Sisteminiz ile baglantisini koparmak icin.

[B][ORANGE]5)[/ORANGE][/B] Büyük zararlara ugrayip Halledemeyeceginiz sorunlarla karsilasmamak icin.



Evet Arkadaslar Elimden geldigince Sizlere HoneyPot Siber Güvenlik sistemi hakkinda bilgiler vermeye calistim. HoneyPot aslinda benim konuda yazdiklarimdan daha genis bir sistem.
Ben sadece yazabildigim ve dogru olarak bildiklerimi yazdim. Daha fazla arastirma yapmaniz gerekecektir.

Umarim HoneyPot üzerine actigim bu Konu siz Dostlarima azda olsa birseyler katabilmistir. Eger öyleyse ne mutlu bana :)


Kaynaklar:

http://docs.comu.edu.tr/howto/honeypots-types.html
http://searchsecurity.techtarget.com/feature/Honeypot-technology-How-honeypots-work-in-the-enterprise
https://tr.wikipedia.org/wiki/Bal_K%C3%BCp%C3%BC