Notes

Hepinize Selamlar Saygı Değer Arkadaşlar,

Yukarıdaki Konu Başlığındada yazdığı üzre bu konuda sizlere Detaylı olarak Honeypot Türkçe Terimiyle ( Balküpü veya bal çanağı )
Siber Güvenlik sisteminin ne olduğunuve nasıl Çalıştığını Anlatmaya çalısacagım. Umarım Kolay anlayabileceğiniz Verimli bir konu olur :)



[B][SIZE=4][RED]HoneyPot Nedir? Yenilebilir mi ?[/FONT][/FONT][/B]
Varsayalım Bir düzine bal peteğiniz var, birileri hergün gelip peteklerinize zarar vermeye çalışıyor,
sizde cözüm olsun diye bal ile dolu gibi görünen bir çanağı bal peteklerinizin olduğu yerin hemen yanına
görünür biçimde koyuyorsunuz. Öyleki Kapıyıda açık bırakıyorsunuz. Haliyle bu edepsiz bal petekleri yerine
dolu sandığı çanak ile uğraşmaya başlıyor,siz çanağı öyle bir koyuyorsunuz ki zarar vermeye gelen kişi çanağa
ulaşmanın daha kolay olduğunu düşünüyor, fakat aslında o çanak boş. Bunlar yaşanırken sizde izliyorsunuz.
HoneyPot sistemide tam bu mantık üzerinden calışmakta.
[IMG]http://imguploads.net/images/2017/08/05/HoneyTrap.jpg[/IMG]

[B][SIZE=3][ORANGE]Birazda teknik açıdan Bakalım:[/FONT][/FONT][/B]
HoneyPot Kurulu olduğu sistem gibi davranan ana görevi yanıltma ve kandırma üzerine olan bir Siber güvenlik Sistemidir.
Evet, Yanıltmak ve kandırma diyorum çünkü HoneyPot sistemi tamda bu mantık üzerinden çalışmaktadır.
HoneyPot saldırganın ilgisini çekmek yoluyla dikkati üzerine çeker ve Saldırı yapan Hackerları tuzağa düşürür.
Honeypotlar sisteminizde ki belirlediğiniz servisleri birebir şekilde Taklit eden ve Belirlediğiniz servislerde
sahte açıklar oluşturan, bu açıklar sayesinde hackerları kandırıp tuzağa düşüren,
Bu Hackerların hangi servisinize nasıl bir saldırı uyguladıgını loglayan Delikanlı bir Siber Güvenlik sistemidir.
Yani Hacker sizin Sisteminize sızdığını sanarken aslında sadece HoneyPot ile uğraşıyor olacaktır, bu arada sizde
saldırganın tüm izlediği yolları loglardan takip ediyor olacaksınız.

[IMG]http://imguploads.net/images/2017/08/05/Honeypot_Diagram.png[/IMG]


[B][SIZE=4][RED]Neden HoneyPot diyoruz? Bal Nerede ?[/FONT][/FONT][/B]

[IMG]http://imguploads.net/images/2017/08/05/winniethepooh.jpg[/IMG]

Yani bu aslında okadarda zor bir soru değil. Buradaki HoneyPot aslında Bal Küpünü temsil ediyor, Kafanızda aç bir Ayı canlandırın (Buradaki ayi senaryomuzda Hacker)
dışarıda bir bal küpü gördüğünde onun gösterişine aldanır. Bal Küpünün dolu olabileceğini düşünüp direk onu almaya calışacaktır yanlışmıyım?
İşte HoneyPot denmesinin asıl sebebi aslında buna dayanır. Hackerlarda aslında Söz meclisten dışarı ayılardan örnek gösterilebilirler, Ayı bal için herşeyi yapar,
Hacker ise sisteme girmek için elinden geleni yapar. HoneyPot sistemide Hackerların bu açlığını kullanır, Nasıl bir ayı ağacın üstündeki gerçek bal ile dolu
petek ile uğraşmak yerine yerde masada duran Bal Küpüne ulaşmaya çalırşırsa Hackerlarda Aslında olmayan fakat varmış gibi Simule edilen açıklara aç gibi saldırır ve tuzağa düşer.



[B][SIZE=4][RED]HoneyPot Çeşitleri varmıdır, Varsa nelerdir?[/FONT][/FONT][/B]

HoneyPotlar çesitli tasarımlarda, farklı görevlerde ve değişik işlemlerde karşımıza çıkabilirler.
Aslında buda onları Anlaşılmaz ve güçlü yapan bir etmendir. Genelde HoneyPotlar ikiye ayrılmaktadırlar, bizler onlara;
Düşük Etkileşimli(Production Honeypots) ve Yüksek Etkileşimli(Research Honeypots) HoneyPotlar diyoruz. Bu iki Katagori Balküplerini bizim hangi tip bir balküpüyle çalıştığımızı,
onun güçlü ve zayıf yönleriyle birlikte anlamamıza yardımcı olur. Mesela Katagori ismindeki Etkileşim, bir balküpünün saldırgana verdiği izinin seviyesini tanımlar.

[B][SIZE=3][ORANGE]Düşük Etkileşimli HoneyPot(Production Honeypots):[/FONT][/FONT][/B]

Düsük-Etkileşimli balküpleri kısıtlı Etkileşime sahiptirler, normal şartlarda işletim sistemlerini veya servisleri simule ederek çalışırlar. Saldırganın hareket yetisi
balküpünün simulasyon seviyesine göre kısıtlanır. Yani Eğer sadece düşük etkileşimli HoneyPot kullanıyorsanız ve 21. portta dinlemede olan bir FTP servisini simule eden balküpü yarattıysanız,
o sadece FTP login‘i simule edebilecektir. Düşük Etkileşimli balküpünün avantajı bu basitliğidir aslında. Kullanımı ve Kurulumu gayet basit ve en düşük seviyede riske sahiptirler.
Bunun Yanı sıra geliştirme ve bakıma da daha elverişlidirler. Düşük Etkileşimli Balküplerinin temel dezavantajı ise kısıtlı bilgi günlüklemeleri ve bilinen aktiviteyi
yakalamak için tasarlanmış olmalarıdır. Örneğin Saldırgan HoneyPotun simule ettiği FTP servinine Giriş yapmaya çalıştığı an HoneyPot bunun mümkün olduğunu söyleyecektir fakat saldırganın
daha fazla ileriye gitmesine izin vermeyecektir. Buda saldırgandan sadece kısıtlı bilgi almanıza yol açacaktır. Bununla berber bir diğer dezavantajı ise Bir saldırgan için
Düşük-Etkileşimli bir balküpünü tespit etmek kolaydır, simulasyon ne kadar iyi olursa olsun fark etmez, deneyimli bir Hacker er yada geç balküpünün varlığını fark edecektir.
Düsük-Etkilesimli HoneyPotlara örnek vermemiz gerekirse [RED]Specter, [RED]HoneyBOT[/FONT], [RED]Honeyd[/FONT] ve [RED]KFSensor[/FONT] güzel örneklerdir.

[IMG]http://imguploads.net/images/2017/08/05/image0017.png[/IMG]


[B][SIZE=3][ORANGE]Yüksek Etkileşimli HoneyPot(Research Honeypots):[/FONT][/FONT][/B]

Yüksek Etkileşimli balküpleri ise farklıdır, gerçek işletim sistemleri ve uygulamalar gerektiği için genellikle daha karmaşık çözümler olarak ortaya çıkarlar.
Düşük Etkileşimli HoneyPotların aksine Hiçbirsey simule edilmez, saldırgana gerçek bir şeyler veririz. Eğer bir FTP sunucu çalıştıran bir Linux HoneyPot istiyorsanız,
bu Sistemi fiziksel olarakta gerçeklestirmeniz gerekir. Bu tarz bir çözümün avantajları 2 şekilde olabilir. Birincisi, çok kapsamlı bir bilgi miktarına sahip olursunuz.
Saldırgana etkileşmesi için gerçek bir sistem vermekle de, uluslar arası IRC oturumlarından yeni rootkitlere kadar saldırganın kullandığı yöntemlerin bütün ayrıntılarını öğrenebilirsiniz.
Ikincisi ise Yüksek Etkilesimli balküpleri, saldırganın nasıl saldıracağı hakkında tahminde bulunmazlar, bunun yerine saldırganın bütün hareketlerini gösteren açık bir çevre oluştururlar.
Bu çözüm Yüksek Etkileşimli balküplerinin, saldırganın ummadığımız hareketlerini öğrenmesini sağlar. Bu sayede Saldırganın Sisteme girmek adına yaptığı tüm işlemleri görüp, varsa bir
zafiyet gidermemizde büyük rol oynayabilir. Aynı zamanda Saldırganın bilgilerinede ulaşmış oluruz. Genelde, Yüksek Etkileşimli HoneyPotlar, Düşük Etkileşimli HoneyPotların
yapabildiği herşeyi ve daha fazlasını yaparlar ama bakımları ve geliştirmesi daha karmaşık olabilir.
[RED]Symantec Decoy Server[/FONT] ve [RED]Honeynets[/FONT] Yüksek Etkileşimli HoneyPotların örnekleridir.

[IMG]http://imguploads.net/images/2017/08/05/figureA.jpg[/IMG]



[B][SIZE=4][RED]Linux için Örnek bir HoneyPot Kurulumu : PentBox/HoneyPot[/FONT][/FONT][/B]

[B][SIZE=2][ORANGE]1. Adım: PentBox Kurulum;[/FONT][/FONT][/B]

[RED]1. Komut:[/FONT] wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.tar.gz
[RED]2. Komut:[/FONT] tar -zxvf pentbox-1.8.tar.gz
[RED]3. Komut:[/FONT] cd pentbox-1.8
[RED]4. Komut:[/FONT] chmod +x pentbox.rb
[RED]5. Komut:[/FONT] cd network
[RED]6. Komut:[/FONT] chmod +x honeypot.rb
[RED]7. Komut:[/FONT] ./pentbox.rb

İlk olarak [RED]1. Komutu[/FONT] yazarak PentBox 1.8 i İndiriyoruz, akabinde [RED]2. Komutu[/FONT] yazarak Pentboxu dosyaya çıkartıyoruz.
Daha sonra [RED]3. Komutu[/FONT] kullanarak Pentboxu dosyasına giriyoruz, hemen ardından [RED]4,5[/FONT] ve [RED]6. Komutları[/FONT] kullanarak gerekli izinleri sağlıyoruz.
Artık HoneyPot kullanmaya hazırız. Yeni bir Terminal acıp [RED]3. Komutu[/RED] giriyoruz, Son olarakda [RED]7. komutu[/FONT] girip PentBoxu baslatıyoruz.



[B][SIZE=2][ORANGE]2. Adım: PentBox üzerinden HoneyPot Açmak;[/FONT][/FONT][/B]

Bizi Böyle bir Liste Karşılıyor;

[IMG]http://imguploads.net/images/2017/08/05/11.png[/IMG]

Burada 2 yazarak devam ediyoruz...

-------------------

Daha sonra 6. farklı seçenek sunacak;

[IMG]http://imguploads.net/images/2017/08/05/22.png[/IMG]

Burada 3 yazarak devam ediyoruz...

-------------------

Son olarak bize 2 farklı seçenek daha sunacak;

[IMG]http://imguploads.net/images/2017/08/05/33.png[/IMG]

Burada 1 Yazarak devam edersek otomatik olarak HoneyPot 80 Portuna kurulacak ve hazır bekleyecek,
Eğer 2 yazarak devam edersekde istediğimiz bir port seçebileceğiz.



[B][SIZE=2][ORANGE]3. Adım: Fast Auto Configuration;[/FONT][/FONT][/B]

1 Yazarak devam ettiğimizde 80 portuna otomatik olarak HoneyPot kurulacaktır.

[IMG]http://imguploads.net/images/2017/08/05/44.png[/IMG]

Resimdede Gördüğünüz üzre ip adresini arattığımızda sanki bu ip adresinin 80 portunda gerçekten bir şey varmış gibi yanıt veriyor,
oysaki sadece HoneyPot var. Biz bu arada Bağlanan kişinin ip adresine ulaşmış oluyoruz.



[B][SIZE=2][ORANGE]4. Adım: Manual Configuration;[/FONT][/FONT][/B]

2 Yazarak devam ettiğimizde bize hangi porta HoneyPot kurmak istediğimizi soracak. Ben Örnek olsun diye 23 Portuna HoneyPot Kuracağım.
Daha sonra "Insert false message to show." yani Saldıran kişi 23 Portunu denediğinde ne tür bir cevapla karşılaşması gerektiğini soracak,
ben oraya "Giriş Başarılı, Zaman Aşımına Uğradı." yazacağım, bu saldıran kişiyi yeterince oyalar. Daha sonraki soruya "y" yazarak devam edin,
Bu 23 portu denendiğinde deneyen kişinin ne yazdıgını loglayacaktır. Ondan sonra gelen soruyu boş geçin, son soruda ise "n" yazarak devam edin.

[IMG]http://imguploads.net/images/2017/08/05/55.png[/IMG]

Evet Resimdede gördüğünüz gibi 23 Portunu denediğimizde böyle bir girişin muhtemel olduğunu, fakat girişin Başarısız olduğunu söylüyor.
Oysaki 23 Portu falan yok ortada, sadece HoneyPot. Sağdaki Terminalde de Girişi deneyen kişiyi ve ne yazdığını görüyoruz.



[B][SIZE=4][RED]Windows için Örnek bir HoneyPot kurulumu : HoneyBOT[/FONT][/FONT][/B]

[B][SIZE=2][ORANGE]1. Adım[/ORANGE][/FONT][/B]
[URL=http://www.atomicsoftwaresolutions.com/enrol.php]Atomicsoftwaresolutions[/URL] Adresinden istenilen bilgileri girip indirin,
Daha sonra HoneyBOTu Bildisayarınıza Kurun, Kurulumu göstermiyorum çünkü baya kolay.



[B][SIZE=2][ORANGE]2. Adım[/FONT][/FONT][/B]

Kurulumu yaptıktan ve HoneyBOTu çalıştırdıktan sonra sizi böyle bir ekran karşılayacak

[IMG]http://imguploads.net/images/2017/08/05/66.png[/IMG]

Benim IP adresimin yazdığı yerde normalde sizde All yazar. Eger All olarak devam ederseniz Routera Bağlı tüm ip adresleri
için sahse portlar açar, eğer herhangi bir ip seçerseniz sadece seçilen ip adresine sahte Portlar açar. Ben göstermke için
sadece kendi IP adresime HoneyPot kuracağım.



[B][SIZE=2][ORANGE]3. Adım[/FONT][/FONT][/B]

Evet, Armitage üzerinden Ip adresimin taramasını yaptım ve sonuç;

[IMG]http://imguploads.net/images/2017/08/05/66da40f.png[/IMG]

Resimde Gördüğünüz gibi Armitage Aslında benim ip adresim üzerinde Aktif olmayan portları görüyor.
Bende Kimin benim ip adresimi Araştırğını HoneyBOT üzerinden görebiliyorum. :)


HoneyBOT için bir öneride bulunayım; HoneyBOT Aktif ettiğiniz IP için tam 1000 adet sahte Port gösterir.
Bu Saldıran kişinin direk HoneyPot olduğunu anlamasını sağlayabiir o yüzden HoneyBOT dosyarındaki Service Konfigurasyonunu editleyip verdiğim Portları girin.
Bu sayede Daha inandırıcı olacaktır.

[B][ORANGE]Service Konfigurasyonu:[/FONT][/B]

HoneyBOT
18
21,1,1,ftp
21,0,1,ftp
22,1,1,pcanywhere
22,0,1,ssh
23,0,1,telnet
25,0,1,smtp
53,1,1,dns
53,0,1,dns
80,1,1,http
80,0,1,http
110,1,1,pop3
110,0,1,pop3
113,1,1,auth
113,0,1,auth
143,1,1,imap2
143,0,1,imap2
443,1,1,https
443,0,1,https
444,0,1,snpp
444,1,1,snpp
993,0,1,garcon
3306,0,1,icb
8080,0,1,clvmcfg



[B][SIZE=4][RED]HoneyNET Nedir?[/FONT][/FONT][/B]

Birden fazla HoneyPot’dan oluşan bir ağ olarak tasarlanan HoneyPot Sistemlerine HoneyNET denir.
Bu tarz sistemler Yüksek Etkileşimli HoneyPotlar’a örnektir. Bir HoneyNet ile birçok sayıda saldırganı tespit etmek mümkündür.
Bu tarz HoneyPotların kurulumu, denetimi ve bakımı okdukca zor ve zaman alacı olabilir fakat güvenlik adına gözünüzün arkada kalmayacağını garanti edebiliriz.

[IMG]http://imguploads.net/images/2017/08/06/gen1.gif[/IMG]



[B][SIZE=4][RED]HoneyPot Kullanım Alanları Nelerdir?[/FONT][/FONT][/B]

[B][ORANGE]*[/FONT][/B] HoneyPotlar İnternet ve ağ dünyasında birçok alanda kullanılırlar. Bir Şirketin, Firmanın veya Fabrikanın aynı
ağda birbirine bağlı olan Bilgisayarlarının ve Serverlarının güvenliği için kullanılabilirler.

[B][ORANGE]*[/FONT][/B] Hosting Şirketleri tarafından bünyesinde bulundurduğu Siteleri korumak için kullanabilirler.

[B][ORANGE]*[/FONT][/B] Spam Yaparak işinize taş koymaya çalışan insanların tespitinde ve engellenmesinde kullanılabilirler.

[B][ORANGE]*[/FONT][/B] Bunların haricinde bir IRC kanalına bağlanan HoneyPot sayesinde kanal uzerindeki yasadışı bağlantıların tespitinde kullanılabilirler.



[B][SIZE=4][RED]Neden HoneyPot Kullanmalıyım?[/FONT][/FONT][/B]

[B][ORANGE]1)[/FONT][/B] Hackerların sisteminize nasıl sızmaya çalıştıklarını ögrenmek ve
guvenlik zaafiyetleri hakkında daha fazla bilgi sahibi olmak için.

[B][ORANGE]2)[/FONT][/B] Sisteminizi daha güvenli hale getirebilmek ve Güvende hissetmek için.

[B][ORANGE]3)[/FONT][/B] Eğer hedefinizde bir Hacker varsa onu tuzağa duşürerek Bilgilerini alıp
hakkında yasal işlem baslatabilmek için.

[B][ORANGE]4)[/FONT][/B] Sisteminize ileride gelebilecek saldırıları önceden görebilmek ve Bu Saldırıları
yapabilecek Hackerları tespit edip Sisteminiz ile bağlantılarını engellemek için.

[B][ORANGE]5)[/FONT][/B] Büyük zararlara uğrayıp Halledemeyeceğiniz sorunlarla karşılaşmamak için.



[B][SIZE=4][RED]Kaynaklar:[/FONT][/FONT][/B]

http://docs.comu.edu.tr/howto/honeypots-types.html
http://searchsecurity.techtarget.com/feature/Honeypot-technology-How-honeypots-work-in-the-enterprise
https://tr.wikipedia.org/wiki/Bal_K%C3%BCp%C3%BC


Umarım HoneyPot üzerine actıgım bu Konu siz Dostlarıma azda olsa Birşeyler katabilmiştir. Eğer öyleyse ne mutlu bana :)
Konu hakkında düşüncüleriniz ve Sorularınız olursa yazabilirsiniz, seve seve Çevaplarım.