WAF - 2 - , الفرق بين قائمة الحظر والسماح، بعض الهجمات التي يتم منعها بواسطة WAFs ?

 

في عام 1986 تم تعيين Cliff Stoll في Lawrence Berkeley National Laboratory كمدير أنظمة, في يوم من الايام وجد Cliff بأنه قد تم اختراق مجموعة من الحسابات فقرر أن يقوم بإنشاء أجهزة عليها ثغرات حتى يجذب أي مخترق و يتعرف عليه. و في عام 1990 أظهر للعالم أجمع هذا المصطلح الجديد و هو Honeypot .
فتعرف هذه التقنية بانها عبارة عن أنظمة ترتكز فكرتها الأساسية على تضليل المخترقين ومختبري الاختراق وتتبع تحركاتهم داخل النظام ، عبر انشاء أنظمة وهمية مليئة بالثغرات لإيهام المخترق بأنه نجح في اختراق النظام. ولكنه فعليا اخترق نظام وهمي ولم يصل لأي شيء داخل الشبكة . 

بهدف جمع أكبر قدر من المعلومات عن هذه الهجمات و التي يمكن أن تكون من أكثر من مصدر, وذلك ليتم فحصها و تحليلها و دراستها, و تعتبر هذه الأدوات او الأنظمة (Honeypots) ادوات قوية في كشف أي برامج خبيثة و ديدان و فيروسات جديدة لم يتم الكشف عنها سابقا (او ما تسمى ب zero-day worms).

 

ولهذة التقنية عده تقسيمات، فمنهم من صنفها تبعا لطبيعة الإستخدام و منهم صنفها حسب طريقة التصميم.

فحسب أول تصنيف وهو طبيعة الإستخدام، فإنه يتم تقسيمها لقسمين و هما :

 Production Honeypots :

  يتم استخدامها لحماية الشبكات و الأنظمة في المنظمات و المؤسسات و الشركات لزيادة تأمين هذه المؤسسة و حمايتها.

يتميز هذا النوع بسهولة استخدامه لكنه يوفر معلومات قليلة عن أي هجوم.

 Research Honeypots :

 يتم استخدامها في الأبحاث من قبل الحكومات و المنظمات و الجهات العسكرية لكشف أي برامج خبيثة و تحليل الهجمات التي من الممكن أن تتعرض لها.

و يعتبر هذا النوع معقد و لكنه يوفر معلومات كثيرة عن الهجوم.

أما في التصنيف الثاني والذي يعتمد على طريقة التصميم فإنه يتم تقسيم هذه الأنظمة الى ثلاثة أنواع و هي :

Pure Honeypots :

و هي انظمة كاملة تستخدم الشبكات الفعالة ولا تحتاج لأي أنظمة او برامج أخرى لكي يتم تنصيبها معها.

 

 High-interactive Honeypots :

هذا النوع يتم عن طريق تقليد الانظمة بأنظمة مماثلة بنفس العدد من الخدمات و ذلك لإشغال المخترق بفحص جميع الخدمات لإضاعة وقته بحيث يتيح للمخترق التحكم الكامل بالنظام عند اختراقه فـيستطيع تثبيت برامجه و أدواته عليه، وهي أكثر أماناً بحيث يصعب كشفها بسهولة و لكن تكلفتها عالية ويحتاج مراقبة قوية و حذر كبير عند وضعه في أي نقطة في الشبكة .

غالبا يستخدم في الأبحاث و التجارب للوصول إلى أفضل النتائج اللتي تخدم النظام.

 Low-interaction honeypots :

عبارة عن محاكاة للخدمات الأكثر طلبا من قبل المخترقين او من يحاولون الإختراق وذلك لأنها تستخدم مصادر قليلة من النظام, بحيث يمكن الإستفادة من ذلك بعمل أكثر من جهاز وهمي على نفس الجهاز الحقيقي و الإستفادة منها معا.

كما تعتبر نقطة قوية لدعم ال (IDS) في الشبكة بحيث يوفر أقصى درجات ال (False-Positive Alarm) لأن أي حركه تأني منه أو إليه تعتبر مشبوهة و بالتالي مرفوضه تماما و يتم الإبلاغ عنها و إطلاق الإنذار مباشرة .

بالإضافة الى ما تم ذكره من أصناف سابقة يمكن تصنيفها حسب الخدمة التي تكون الغاية من جذب المخترقين اليها, فممكن أن يكون هنالك Malware Honeypots و Database Honeypots و Spam Honeypots و غيرها الكثير..