Bal Küpü (Honeypot) Nedir?

Bal küpü(honeypot); bilgi sistemlerine yetkisiz erişen saldırganlar ya da kullanıcılar hakkında bilgi toplamaya yarayan tuzak sunuculardır.Bal küpü genelde bir ağın parçasıymış gibi görünen bilgisayar veya veri barındıran herhangi bir sunucu olabilir. Aslında saldırganlara göre, saldırmak için sebep olabilecek bilgi veya değer taşıyan bir hedef gibi duran, izole edilmiş ve hareketleri özellikle izlenen bir kaynaktır.

Neden Bal küpü denmiş sorusuna cevap olarak da, saldırganı bal seven birisine benzetirsek, bal küpünü görür görmez- ve bir de açlık hissi varsa- içerisine elini sokmak isteyecektir. Çünkü dışarıdan bakıldığında, içerisinde bal olduğu izlenimi edinecek, dolayısıyla  bal küpünün içine elini attığı anda arılar tarafından sokulacaktır.Aslında yazımızın karikatüründe söz konusu senaryo net bir şekilde görülmektedir.

Bal Küplerinin temel çalışma prensibini şu şekilde açıklayabiliriz:
Bal küpleri dahil oldukları ağlarda saldırıların (otomatize ya da el ile başlatılan) dikkatini çekecek şekilde davrandıklarından, farkındalık yaratırlar. Bu görevi üstlenmiş makinalar geçerli hiçbir servis sunmadıklarından, kendilerine yönlenen her türlü trafik şüpheli olarak kabul edilmekte ve inceleme altına alınmaktadır. Bal küpleri hali hazırda bilinen açıklar karşısında zayıf görünerek, bunları değerlendirmeye çalışan saldırganların tespitinde yardımcı olurlar. Bununla birlikte, hiç kullanılmayan IP bloklarının bu makinalara yönlendirilmesi sonucu yeni ortaya çıkan saldırıların da tespitin de kullanılırlar. Bal küpleri bir çok saldırı türünü üzerine çekeceğinden, kullanıldıkları ağ için bir tehdit oluşturmaları mümkündür. O yüzden bu amaçla kullanılan uygulamanın ayarları iyi yapılmalı ve trafiği kontrol altında tutulmalıdır.

Özetle; saldırgan bizim sistemimize saldırmak istediğinde karşısında konfigüre ettiğimiz bir sistemi görür. Gördüğü sisteme sanki gerçek bir sistemmiş gibi saldırmayı dener. Ve bal küpümüz devreye girer. Saldırganın hareketlerini, saldırı tekniğini loglamaya başlar. Böylelikle saldırganın nereden hangi yöntemleri kullanarak saldırmış olduğunu analiz ederek gerçek sistemimizi bu saldırılardan korumayı amaçlarız.

Honeypotlar kendi içlerinde 2’ye ayrılırlar;

  1. Üretim bal küpleri (production honeypots)
  2. Araştırma bal küpleri (research honeypots)

Üretim bal küplerinin kullanımı kolaydır. Kısıtlı bilgi içerirler. Üretim bal küpleri genel olarak diğer üretim sunucuları ile birlikte üretim ağına yerleştirilir. Üretim bal küpleri genelde, kurulumu ve kullanımı daha kolay olan, düşük etkileşimli bal küpleridir. Saldırılar ve saldırganlar hakkında araştırma bal küplerine göre daha az bilgi elde ederler.

Araştırma bal küpleri, farklı ağları hedef alan saldırgan (hacker) gruplarının amaçları ve saldırı taktikleri hakkında bilgi toplamaları için ve kuruluşların karşılaştıkları tehditleri araştırmak ve kuruluşların bu tehditlere karşı daha iyi nasıl korunabileceklerini öğrenmek için kullanılırlar. Araştırma bal küplerinin kurulumu ve bakımı zordur. Daha kapsamlı bilgi tutarlar ve özellikle askeri kurumlar, araştırma ve devlet kurumları tarafından kullanılırlar.

Kaynak:(1)https://tr.wikipedia.org/wiki/Bal_K%C3%BCp%C3%BC

(2)http://siberegitim.net/honeypot-nedir-nasil-kurulur/

(3)http://www.ipv6.net.tr/kovan/

(4)https://blog.avast.com/2015/08/13/mr-robot-review-wh1ter0se-m4v/