Ağ Güvenliği

Honeypot (Tuzak Sistem)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Saldırgan, içine sızdığını sandığı sunucunun aslında kendisini izlemek için kurulmuş sahte bir tuzak olduğunu çoğu zaman fark bile etmez.

Anlatım

NEDİR? Honeypot (tuzak sistem), saldırganları kasıtlı olarak çekmek, oyalamak ve davranışlarını gözlemlemek amacıyla kurulan, gerçek bir üretim sistemiymiş gibi görünen sahte bir bilişim kaynağıdır. İçinde gerçek değerli veri bulunmaz; tüm amacı yetkisiz erişim girişimlerini kendine çekip kaydetmektir. Honeypot ile meşru kullanıcı normalde hiç etkileşime girmez — bu yüzden honeypot'a gelen HER trafik baştan şüpheli kabul edilir. Bu da gerçek güvenlik sistemlerinde yaşanan büyük "yanlış alarm" (false positive) sorununu büyük ölçüde ortadan kaldırır. NASIL ÇALIŞIR? 1) Sahte ama inandırıcı bir varlık kurulur (örneğin gerçekçi açık portları, sahte veritabanı kayıtları veya zafiyetli görünen bir servis barındıran bir sunucu). 2) Bu varlık ağda gerçek bir sisteme benzer şekilde konumlandırılır; saldırganların tarama ve sızma sırasında ona rastlaması beklenir. 3) Saldırgan honeypot'a bağlandığı anda yaptığı her hareket (komutlar, denenen parolalar, yüklenen zararlı dosyalar, kullanılan teknikler) ayrıntılı olarak kaydedilir. 4) Bu kayıtlar güvenlik ekibine alarm üretir ve saldırganın taktik, teknik ve araçlarının (TTP) analiz edilmesini sağlar. 5) Honeypot izole tutulur; saldırganın oradan gerçek sistemlere sıçramaması için ağ erişimi kısıtlanır. TÜRLERİ • Düşük etkileşimli (low-interaction): Yalnız belirli servisleri taklit eder; kurulumu kolay, riski düşük ama topladığı bilgi sınırlıdır. • Yüksek etkileşimli (high-interaction): Gerçek işletim sistemi/servisler sunar; çok zengin veri toplar ama yönetimi zor ve risklidir. • Honeynet: Birden fazla honeypot'tan oluşan, koca bir sahte ağı taklit eden yapıdır. NEDEN ÖNEMLİ / İŞ YERİNDE Honeypot'lar bir kurumda erken uyarı sistemi gibi çalışır: saldırgan gerçek sistemlere ulaşmadan önce niyetini ve yöntemlerini ele verir. Güvenlik operasyon merkezleri (SOC) honeypot verisini yeni saldırı imzaları çıkarmak, iç tehditleri yakalamak ve savunma kurallarını (firewall/IDS/IPS) güncellemek için kullanır. Ayrıca saldırganı sahte hedefe yönlendirerek gerçek varlıklardan dikkatini dağıtır ve savunma ekibine müdahale için zaman kazandırır. DİKKAT / İYİ UYGULAMA • Honeypot mutlaka gerçek ağdan izole edilmeli (genelde DMZ/segment içinde); aksi halde saldırgan için bir sıçrama tahtasına dönüşebilir. • İçinde gerçek/hassas veri ya da gerçek kimlik bilgisi bulundurulmamalıdır. • Honeypot bir önleme aracı değil, tespit ve istihbarat aracıdır; güvenlik duvarı/IPS gibi koruyucu katmanların yerine geçmez, onları tamamlar. • Hukuki sınırlara dikkat edilmeli: tuzak kurmak meşru olsa da saldırganı suça teşvik eder (entrapment) gibi görünmemelidir; izleme yetkisi ve KVKK uyumu gözetilmelidir.

📌 Senaryolar
📌 Örnek 1: Bir bankanın güvenlik ekibi, internete açık gerçek sunucularının yanına, gerçekçi görünen sahte bir "ödeme veritabanı sunucusu" honeypot'u yerleştirir. Açıklama: Bu sunucuya hiçbir meşru çalışan bağlanmaz. Bir saldırgan tarama sırasında onu bulup bağlanmaya çalıştığı anda denediği parolalar ve komutlar kaydedilir, ekibe anında alarm gider. Böylece saldırı gerçek ödeme sistemlerine ulaşmadan tespit edilmiş olur.
📌 Örnek 2: Bir araştırma ekibi, internette zafiyetli görünen yüksek etkileşimli bir Linux honeypot'u açar ve aylarca üzerine gelen saldırıları izler. Açıklama: Saldırganların hangi otomatik araçları kullandığı, hangi varsayılan parolaları (admin/admin, root/123456 gibi) denediği ve yükledikleri zararlı yazılımların örnekleri toplanır. Bu istihbarat, dünya genelindeki güncel saldırı eğilimlerini anlamak ve savunma kurallarını güncellemek için kullanılır.
📌 Örnek 3: Bir şirket, iç ağında çalışanlara hiçbir şekilde duyurulmamış sahte bir "İK Maaş Bordroları" paylaşım klasörü (honeypot/honey-token) oluşturur. Açıklama: Bu klasöre erişen herhangi biri tanım gereği yetkisiz davranıştadır; çünkü meşru hiçbir çalışanın oraya gitmesi için sebep yoktur. Klasöre erişim girişimi anında loglanır ve iç tehdit (yetkisini kötüye kullanan çalışan) ya da ağa sızmış bir saldırgan erken aşamada yakalanır.
Özet

• Honeypot, saldırganı çekip izlemek için kurulan, gerçek veri içermeyen sahte sistemdir. • Meşru kullanıcı oraya hiç gitmez; bu yüzden gelen her etkileşim baştan şüphelidir ve yanlış alarm sorununu azaltır. • Saldırganın taktik, araç ve tekniklerini (TTP) ortaya çıkararak erken uyarı ve istihbarat sağlar. • Tespit/istihbarat aracıdır; firewall ve IPS gibi önleyici katmanların yerine değil, yanına konur ve mutlaka izole edilir.

✅ Mini-Test (3)
1.Bir honeypot'un (tuzak sistem) temel amacı aşağıdakilerden hangisidir?
2.Honeypot'a gelen trafik baştan şüpheli kabul edilir, çünkü meşru kullanıcıların honeypot ile etkileşime girmesi beklenmez.
3.Honeypot ile güvenlik duvarı (firewall) arasındaki temel fark aşağıdakilerden hangisidir?
← Tüm sözlük terimleri · Farkındalık eğitimi