| TÜBİTAK » ULAKBİM » CSIRT » Çalışma Grupları | İletişim | Site Haritası | English |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
Bal Küpü Nedir?
Türkçe karşılığıyla "Bal küpü" ya da "bal çanağı" şeklinde ifade edilen Honeypot'lar bilişim sistemlerine karşı gerçekleştirilen saldırıların tespit edilmesi için kurulmuş tuzaklardır. Kurulduğumakina üzerinde "verir göründüğü" servisler tuzağa düşürmeye çalıştığı saldırı türlerine göre farklılık gösterse de, Bal Küplerinin temel çalışma prensibini şu şekilde açıklayabiliriz:
Bal küpleri dahil oldukları ağlarda saldırıların (otomatize ya da el ile başlatılan) dikkatini çekecek şekilde davrandıklarından, farkındalık yaratırlar. Bu görevi üstlenmiş makinalar geçerli hiçbir servis sunmadıklarından, kendilerine yönlenen her türlü trafik şüpheli olarak kabul edilmekte ve inceleme altına alınmaktadır.
Bal küpleri hali hazırda bilinen açıklar karşısında zayıf görünerek, bunları değerlendirmeye çalışan saldırganların tespitinde yardımcı olurlar. Bununla birlikte, hiç kullanılmayan IP bloklarının bu makinalara yönlendirilmesi sonucu yeni ortaya çıkan saldırıların da tespitin de kullanılırlar.
Bal küpleri bir çok saldırı türünü üzerine çekeceğinden, kullanıldıkları ağ için bir tehdit oluşturmaları mümkündür. O yüzden bu amaçla kullanılan uygulamanın ayarları iyi yapılmalı ve trafiği kontrol altında tutulmalıdır.
Çalışma Grubu Hedefleri
UlakNet bünyesinde hizmet verecek merkezi bir Bal Küpü sunucusu ile ağ içinde dolaşan şüpheli trafiğin inclenmesi planlanmaktadır. Ilk etapta üzerinde Bal Küpü uygulaması çalışan bir makina Ankara yönlendiricisi üzerinde bulunan Fast Ethernet arayüzünün bir portundan ağa dahil edilecektir. Öncelikli amaç UlakNet kaynaklı şüpheli trafiğin tespiti olup bu makina küresel internete anons edilmeyecektir.
Bu çalışma gurubunun temel hedefi seçilecek Bal Küpü uygulamasına karar vermek ve UlakNet kaynaklı şüpheli trafiğik ile kaynağının tesbit edilmesidir. Bu tip trafiğe sebep olacabilecek kaynaklar ve çözüm yollları hakkında derlenen bilgilerle olay kayıtlarının girilmesi de bir sonraki aşama olarak öngörülebilir. Ayrıca Bal Küpü tuzağına takılan saldırılar hakkında aylık istatistikler hazırlanması da faydalı olacaktır.
Çalışma grubunun ilk hedeflerini gerceklestirmesini takiben, UlakNet'e dışardan gelen saldırıların sınıflandırılması, bunların incelenmesi ve raporlanması gibi aşamalar da hedeflenebilir. Küresel internete
anons edilecek makina aynı tür bir Bal Küpü uygulaması olabileceği gibi deneyimleri artırmak için farklı uygulamalar da kullanılabilir.
PC Yönlendirici Çalışma Grubu
Türkçe karşılığıyla "Bal küpü" ya da "bal çanağı" şeklinde ifade edilen Honeypot'lar bilişim sistemlerine karşı gerçekleştirilen saldırıların tespit edilmesi için kurulmuş tuzaklardır. Kurulduğumakina üzerinde "verir göründüğü" servisler tuzağa düşürmeye çalıştığı saldırı türlerine göre farklılık gösterse de, Bal Küplerinin temel çalışma prensibini şu şekilde açıklayabiliriz:
Bal küpleri dahil oldukları ağlarda saldırıların (otomatize ya da el ile başlatılan) dikkatini çekecek şekilde davrandıklarından, farkındalık yaratırlar. Bu görevi üstlenmiş makinalar geçerli hiçbir servis sunmadıklarından, kendilerine yönlenen her türlü trafik şüpheli olarak kabul edilmekte ve inceleme altına alınmaktadır.
Bal küpleri hali hazırda bilinen açıklar karşısında zayıf görünerek, bunları değerlendirmeye çalışan saldırganların tespitinde yardımcı olurlar. Bununla birlikte, hiç kullanılmayan IP bloklarının bu makinalara yönlendirilmesi sonucu yeni ortaya çıkan saldırıların da tespitin de kullanılırlar.
Bal küpleri bir çok saldırı türünü üzerine çekeceğinden, kullanıldıkları ağ için bir tehdit oluşturmaları mümkündür. O yüzden bu amaçla kullanılan uygulamanın ayarları iyi yapılmalı ve trafiği kontrol altında tutulmalıdır.
Çalışma Grubu Hedefleri
UlakNet bünyesinde hizmet verecek merkezi bir Bal Küpü sunucusu ile ağ içinde dolaşan şüpheli trafiğin inclenmesi planlanmaktadır. Ilk etapta üzerinde Bal Küpü uygulaması çalışan bir makina Ankara yönlendiricisi üzerinde bulunan Fast Ethernet arayüzünün bir portundan ağa dahil edilecektir. Öncelikli amaç UlakNet kaynaklı şüpheli trafiğin tespiti olup bu makina küresel internete anons edilmeyecektir.
Bu çalışma gurubunun temel hedefi seçilecek Bal Küpü uygulamasına karar vermek ve UlakNet kaynaklı şüpheli trafiğik ile kaynağının tesbit edilmesidir. Bu tip trafiğe sebep olacabilecek kaynaklar ve çözüm yollları hakkında derlenen bilgilerle olay kayıtlarının girilmesi de bir sonraki aşama olarak öngörülebilir. Ayrıca Bal Küpü tuzağına takılan saldırılar hakkında aylık istatistikler hazırlanması da faydalı olacaktır.
Çalışma grubunun ilk hedeflerini gerceklestirmesini takiben, UlakNet'e dışardan gelen saldırıların sınıflandırılması, bunların incelenmesi ve raporlanması gibi aşamalar da hedeflenebilir. Küresel internete
anons edilecek makina aynı tür bir Bal Küpü uygulaması olabileceği gibi deneyimleri artırmak için farklı uygulamalar da kullanılabilir.
Koordinatör: Murat SOYSAL, ULAKBİM
Üyeler:
1-Murat Soysal - ULAKBİM
2-Koray Üçtop - Süleyman Demirel Üniversitesi
3-Onur Bektaş - ULAKBİM
4-Fatih Ertam - Fırat Üniversitesi
5-Hüsnü Demir - Orta Doğu Teknik Üniversitesi
6-Enis Karaarslan - Ege Üniversitesi
| © 2007 TÜBİTAK-ULAKBİM | Görüşleriniz |