информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Атака на InternetВсе любят медГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / безопасность
БИБЛИОТЕКА
вход в библиотеку
книги
безопасность
программирование
криптография
internals
www
телефония
underground
беллетристика
разное
обзор: избранное
конкурс
рейтинг статей
обсуждение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Узнай своего врага::Honeynets
Проект Honeynet, перевод В.В.Мяснянкина
Опубликовано: dl, 28.01.02 14:19
Что такое Honeynet, ее значение, как она работает, связанные с ней риски и проблемы

© Проект Honeynet
http://project.honeynet.org
Последние изменения: 21 апреля 2001
© Мяснянкин В.В., перевод на русский язык
30 июля 2001

В течение последних нескольких лет Проект Honeynet специализировался на изучении средств, тактики и мотивов сообщества черных шляп, а также совместном использовании полученной информации. Главный инструмент, при помощи которого получена данная информация, и есть Honeynet. Цель этого документа состоит в обсуждении вопросов, касающихся сущности Honeynet, ее значения для сообщества специалистов по безопасности, особенностей ее работы, а также связанных с ее использованием рисков и проблем. Надеюсь, что специалисты по защите информации смогут с пользой для себя использовать обсуждаемые здесь методы и техники для изучения сообщества черных шляп. Также надеюсь, что упомянутые специалисты не просто освоят обсуждаемые методики, но и улучшат их, повысив тем самым эффективность проекта Honeynet и наши возможности изучать поведение противника. Мы также хотим быть уверенными, что читатели осознают и сопутствующие использованию Honeynet риски и проблемы.

Что такое Honeynet

Honeynet - это средство обучения. Это сеть машин с системами, используемыми в повседневной деятельности, но предназначенными для компрометации. В процессе компрометации информация фиксируется, а затем анализируется, с целью изучения поведения черных шляп. Идея та же, что и у honeypots, но имеется несколько различий. Honeypot, по существу, обычная приманка, т.е. система, специально построенная чтобы быть атакованной, обычно в качестве ложной цели или оповещения о хакерской активности. Вообще говоря, термином "honeypot" принято называть системы, моделирующие известные уязвимости, эмулирующие другие системы или рабочие системы, модифицированные таким образом, чтобы на них создалась замкнутая среда. Примеры таких систем-ловушек - The Deception Toolkit, CyberCop Sting и Mantrap. The Deception Toolkit - набор сценариев, моделирующих известные уязвимости. CyberCop Sting - система под управлением Windows NT, которая эмулирует IP-стек и супердемон inetd различных систем. Mantrap модифицирует стандартную систему Solaris, создавая в ней несколько замкнутых сред. Все перечисленные системы являются превосходными решениями, однако, их применение ограничено отвлечением атакующего и сигнализацией о попытке вторжения. (Заметьте, что из трех перечисленных средств, Mantrap больше всего подходит на роль средства исследования, но и он имеет некоторые ограничения).

Honeynet имеет свои особенности. Два ее самых главных конструктивных отличия от классического honeypot состоят в следующем:

  • Это не единичная система, а сеть, состоящая из многих компьютеров. Эта сеть располагается за межсетевым экраном (firewall), на котором все входящие и исходящие данные фиксируются и контролируются. Полученная информация в последствии анализируется с целью изучения средств, тактики и мотивов сообщества черных шляп. Honeynet может использовать множество систем одновременно: Solaris, Linux, Windows NT, маршрутизатор Cisco, коммутатор Alteon и т.д. Это создает сетевую среду, которая более реалистично моделирует реальную сеть. Также, имея различные системы с различными сервисами, например, Linux в качестве сервера DNS, Windows NT в качестве веб-сервера и Solaris в качестве сервера FTP, мы можем узнать о различных средствах и тактиках. Возможно, некоторые черные шляпы ищут только определенные системы, приложения или уязвимости. Имея набор различных операционных систем и приложений, мы сможем более точно профилировать специфичные действия черных шляп и их характеристики.
  • Все системы, помещенные в пределах Honeynet - стандартные системы, используемые в обычных сетях, которые Вы можете встретить в Internet. В этих системах ничего не эмулируется, ничего также и не сделано для искусственного ослабления защиты. Риски и уязвимости, обнаруживаемые при помощи Honeynet - те же самые, которые существуют сегодня во многих организациях. Можно просто брать систему из рабочей сети и помещать ее в Honeynet.

Факт использования самых обычных, рабочих систем делает Honeynet уникальной. Традиционно, проект Honeynet использовал часто встречающиеся в Internet системы с конфигурацией по умолчанию: Linux, Solaris, Windows98 и Windows NT. Поскольку мы используем наиболее распространенные операционные системы, риски и уязвимости, обнаруженные в наших исследованиях, могут быть отнесены и к большей части систем в Internet.

Значение Honeynet

Традиционно, защита информации носила оборонный характер. Межсетевые экраны (firewalls), системы обнаружения вторжений (IDS - Intrusion Detection Systems), криптографические методы - все эти механизмы используются оборонительно, чтобы защитить собственные ресурсы. Стратегия, позволяющая защитить собственность организации наилучшим образом, состоит в том, чтобы обнаруживать любые недочеты в системе защиты и тут же их устранять. Проблема этого подхода в том, что он полностью оборонительный, в то время как противник активно атакует. Honeynet призвана изменить эту ситуацию, она позволяет перейти от глухой обороны к активным действиям, взять инициативу на себя. Первичная цель Honeynet состоит в том, чтобы собрать разведывательные данные о противнике, изучить его средства, тактику и мотивы. Собирая такую информацию, Вы сможет лучше понять, что Вам угрожает, и как лучше защититься от этих угроз. Защиту информации часто сравнивают с военными действиями, такими как защита замка или партизанская война. Независимо от выбранной Вами аналогии, Вы всегда можете взять инициативу в свои руки и изучить противника прежде, чем он нанесет удар.

Один из основных источников информации, доступных Honeynet - общение черных шляп, например на IRC (Internet Relay Chat). Черные шляпы свободно общаются в своей среде, рассказывая о своих мотивах, целях и "подвигах". С помощью Honeynet мы смогли зафиксировать эти переговоры буквально в виде дословных диалогов. Мы смогли даже получить видеоизображения черных шляп, атакующих нашу систему в режиме реального времени. Это дает нам представление, каким образом черные шляпы намечают жертву и осуществляют атаку. Достаточно показательный пример - документ "Мотивы и психология черных шляп". В этом документе рассказывается о выслеживании группы черных шляп, атаковавших одну страну. В течение трех недель мы выяснили не только, как они это делают, но и, что важнее, зачем. На базе столь детальной информации мы теперь сможет лучше понять, как нам защититься от этой угрозы, носящей достаточно общий характер.

Honeynet также предоставляет организации сведения о ее собственных рисках в области безопасности и уязвимостях. Honeynet может состоять из тех же самых систем и приложений, которые организация использует в своей повседневной деятельности. Риски и уязвимости, существующие в Honeynet (где они могут быть тщательно изучены и проанализированы), полностью отображают риски и уязвимости рабочих систем организации. Например, компания хочет реализовать новый интерфейс веб-сервера для использования кредитных карт. И система, и приложение могут быть для начала проверены в составе Honeynet, чтобы "выловить" все невыявленные на этапе анализа риски и уязвимости. Мы сами узнали очень много, испытывая системы обнаружения атак, межсетевые экраны и системы регистрации в составе Honeynet.

И последнее. Honeynet помогает организации развить способность реагирования на инциденты. В течение двух последних лет мы значительно улучшили наши способности в обнаружении атак, реагировании на них, восстановлении скомпрометированных систем и анализе последствий. На основе этого опыта мы выпустили два документа: "Проводим следствие" и "The Forensic Challenge". Преимущество анализа этих систем в том, что Вы уже имеете большинство ответов. Вы можете работать со скомпрометированной системой как с тестом, проверяющим Ваши способности восстановить картину происшедшего, используя различные методы расследования. После этого Вы можете сравнить свои результаты с данными, полученными из Honeynet. Эта информация может также быть использована, чтобы определить, не были ли скомпрометированы и другие системы, входящие в Вашу основную сеть. После того как Вы идентифицировали характерные признаки черных шляп и их атак, самое время поискать те же самые признаки и в Вашей основной сети; возможно, Вы найдете несколько скомпрометированных систем, о которых Вы и не знали.

В связи с этим, хочется сделать ряд оговорок.

О провокациях.
Провокация - стандартный прием, применяемый сотрудниками правоохранительных органов, для подталкивания преступника к противоправным действиям, которые в других условиях он бы не совершил. Мы - не правоохранительные органы. Мы не работаем под их контролем; более того, привлечение нарушителя к ответственности не является нашей целью. Поэтому мы не рассматриваем Honeynet в качестве ловушки. Некоторые приводят аргумент, будто мы специально выставляем "очень привлекательную жертву", иными словами, помещаем в Интернет незащищенные системы и провоцируем людей взломать их и использовать как ступени для следующих атак. Это не соответствует истине, так как мы никаким образом не рекламируем эти системы. Если кто-то находит одну из наших систем, взламывает ее и использует для вещей, которые не должен был бы делать, это означает, что он активно и сознательно участвует в этой противоправной деятельности.

О приватности.
Существуют некоторые моральные и этические противоречия (внутренняя борьба по их поводу не утихает никогда), освещенные в выпущенном недавно секцией компьютерных преступлений и интеллектуальной собственности криминального отдела Министерства юстиции Соединенных Штатов документе "Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations", где приводится несколько прецедентов, когда апелляционные суды отклоняли доводы защиты о нарушении прав на неприкосновенность частной жизни, связанные с компьютерными преступлениями и мошенничествами. Некоторые из доводов гласят:

  • Люди, взламывающие эти системы, НЕ УПОЛНОМОЧЕНЫ их использовать. Поэтому, помещая в них любые файлы (и не имея при этом на них законных бюджетов или привилегий использования), они автоматически теряют права на помещенную в эти системы информацию.
  • Используя наши системы для коммуникаций, они теряют право на приватность в этих коммуникациях.
  • Мы не предоставляем свободный доступ, более того, мы не являемся провайдерами, поэтому мы не обязаны выполнять требования по приватности, обязательные для провайдеров.
  • Мы не являемся правоохранительными органами, не работаем на них и даже не занимаемся судебным преследованием вторгшихся в наши системы нарушителей, поэтому нас не касаются ограничения по сбору информации, обязательные для правоохранительных органов и их агентов.
  • Даже если мы будем являться свидетелями серьезного компьютерного преступления и посчитаем нужным сообщить о нем, мы осуществляем сбор данных и запись сетевого трафика в ходе своей обычной деятельности, и свободны предоставить эту информацию правоохранительным органам только когда (и если) сочтем это необходимым.

Пока на самых высоких уровнях американской системы правосудия не высказано других суждений, мы считаем, что не нарушаем действующего законодательства и наши действия адекватны. Тем, кто находится за пределами США, необходимо при построении Honeynet соотносить свои действия с требованиями местного законодательства.

Как это работает.

Первичная цель Honeynet состоит в изучении сообщества черных шляп. Это достигается отслеживанием каждого их шага. Мы создаем окружение, напоминающее круглый аквариум, где мы можем контролировать любую деятельность, происходящую внутри Honeynet. Анализ зафиксированных действий дает нам информацию об использованных средствах, тактике и побудительных мотивах сообщества черных шляп. Традиционно, самая серьезная проблема, стоящая перед лицом службы безопасности при анализе злоумышленной активности - это информационная перегрузка. Искусство и состоит в том, чтобы в огромном потоке определить, что является нормальным, а что - злонамеренными действиями. Средства и методы типа использования IDS (систем обнаружения атак), расследования на базе одного хоста или анализа системных журналов пытаются разрешить эту проблему с использованием сигнатур, полученных на опыте предыдущих атак. Однако, информационная перегрузка, "зашумление" данных, неизвестные действия, ложные сработки (или несработки) системы обнаружения делают определение злоумышленной активности делом чрезвычайно трудным.

Honeynet решает эту проблему наиболее простым методом. Honeynet - сеть, специально созданная, чтобы быть скомпрометированной, ее функционирование не подразумевает наличия каких либо потоков данных. Любой входящий или исходящий из нее трафик по определению подозрителен. Любое инициированное извне соединение наиболее вероятно является некоторой разновидностью атаки, зондирования или иного злонамеренного действия. Любое исходящее из Honeynet соединение означает, что сеть скомпрометирована. Эти моменты существенно облегчают сбор и анализ данных.

В построении Honeynet имеются два критических элемента: управление данными и их накопление. Управление данными означает, что Вы можете контролировать пересылку пакетов, т.е. куда и какие именно пакеты направляются. Основное предназначение этого состоит в том, чтобы быть уверенным, что при компрометации honeypot (в составе Honeynet) сеть не будет использована для осуществления атак на другие системы. Второй элемент - сбор данных. Сбор данных подразумевает фиксацию всех действий черной шляпы, начиная от нажатий клавиш и заканчивая пересылаемыми пакетами. После накопления эти данные используются для анализа с целью выяснения какие средства были использованы черными шляпами, их тактики и мотивов.

Управление данными

Как уже было сказано выше, управление данными - удержание под контролем их пересылки. Когда мы имеем дело с черными шляпами, это всегда подразумевает наличие риска, и мы должны максимально снизить этот риск. Мы должны быть уверены, что после компрометации honeypot не будет использован для причинения вреда другой системе, за пределами Honeynet (все, что происходит внутри Honeynet - честная игра). Однако, сложность заключается в том, чтобы черные шляпы не заметили ничего подозрительного. После компрометации системы черные шляпы обычно рассчитывают на нормальное соединение с Internet для загрузки инструментария, установления IRC-соединений и т.п. Мы должны дать им некоторую свободу в этих действиях, т.к. это именно те шаги, которые мы стремимся изучить и проанализировать. Невозможность установления исходящих соединений также может вызвать подозрения у черных шляп. Мы часто совершали такую ошибку во время наших первых экспериментов с honeypot, блокируя возможность исходящих соединений. Уже буквально через пятнадцать минут черная шляпа понимала, что что-то не так, заметала следы и покидала сеть. Изюминка honeynet как раз и состоит в том, чтобы дать черной шляпе некоторую свободу действий, но без того, чтобы разрешить ей использовать скомпрометированную сеть для вредоносных действий по отношению к другим системам, таких как атаки на отказ в обслуживании, сканирование и использование эксплоитов.

Мы спроектировали Honeynet таким образом, чтобы контролировать все входящие и исходящие соединения. Это сделано путем размещения перед Honeynet межсетевого экрана (firewall), через который проходит весь трафик. Межсетевой экран отслеживает, сколько соединений инициировано из Honeynet в Internet. После достижения некоторого порогового значения экран блокирует дальнейшие попытки. Это дает черной шляпе определенную свободу действий, в тоже время, автоматически удерживая ситуацию под контролем. Эмпирически установлено, что разрешение 5-10 исходящих соединений не нарушит счастья черной шляпы, оберегая, в то же время, другие системы от атак. Это защищает Honeynet от использования в качестве плацдарма для сканирования, исследования или атак на большинство других систем. Некоторым не нужна такая функциональность. Если Вы можете позволить себе, чтобы кто-то осуществлял круглосуточный мониторинг Honeynet, Вы можете не ограничивать число исходящих соединений. При обнаружении признаков начала атаки (например, на отказ в обслуживании), человек, осуществляющий мониторинг, может просто ее блокировать. Однако, автоматизированное решение этой проблемы представляется нам более целесообразным, так как мы не можем позволить себе круглосуточный мониторинг с оператором. Дополнительно, между межсетевым экраном и Honeynet размещен маршрутизатор. И сделано это по двум причинам.

Первая - маршрутизатор скрывает межсетевой экран. После компрометации honeypot злоумышленник обнаруживает обычный маршрутизатор между Honeynet и внешними сетями. Это создает более реалистическую среду и оберегает межсетевой экран от обнаружения. Вторая причина состоит в том, что маршрутизатор действует как второй эшелон управления доступом. Он может дополнять межсетевой экран, не позволяя использовать скомпрометированный honeypot для нападения на системы за пределами Honeynet.

На диаграмме A представлена подробная схема сети Honeynet. Именно эта сеть была использована для исследований при подготовке серии документов "Узнай своего врага" (переводы можно найти здесь - прим. переводчика). На диаграмме Вы видите межсетевой экран, разделяющий поле действий на три части, а именно: Honeynet, Internet и Административная Сеть. Мы обсудим Административную Сеть когда будем рассматривать процесс сбора и накопления данных. Все входящие и исходящие пакеты проходят сквозь межсетевой экран и маршрутизатор. Межсетевой экран - первый эшелон, осуществляющий контроль соединений. Маршрутизатор используется как дополнительное средство фильтрации. Межсетевой экран настроен таким образом, чтобы позволять любые входящие и исходящие соединения. Однако, он ограничивает любой honeypot из состава Honeynet возможностью открывать не более 5 соединений с Internet. Все последующие попытки установления соединений блокируются. Мы достигли этой функциональности с помощью межсетевого экрана CheckPoint FW-1 и скрипта, подсчитывающего число установленных исходящих соединений. При достижении установленного порога (в нашем случае - 5 соединений) скрипт перенастраивает межсетевой экран на блокирование дальнейших попыток установки соединений со стороны скомпрометированной системы. Мы также настроили наш межсетевой экран на посылку предупреждений, уведомляющих об этом факте. Подробности настройки этой функции, включая исходный текст скрипта можно найти в документе "Intrusion Detection for FireWall-1". Конечно, Вы не ограничены использованием только FireWall-1, равно как и предлагаемого скрипта. Мы представляем их лишь как один из вариантов управления данными. Например, того же самого результата можно достичь при использовании IPFilter и Swatch. Эту функцию можно также реализовать при помощи IPTABLES с использованием Dynamic IPTable Scripts.

Маршрутизатор действует как второй эшелон управления доступом. Прежде всего мы используем это чтобы защититься от спуфинга и атак на базе протокола ICMP. Маршрутизатор выпускает наружу лишь пакеты с IP-адресом источника, принадлежащим диапазону Honeynet. В нашем примере, это означает, что только пакеты IP-адресом источника из сети 172.16.1.0/24 могут выходить за пределы Honeynet. Это защищает против большинства атак, использующих спуфинг, таких как SYN-flood или SMURF. Мы также блокируем исходящий ICMP-трафик. Это было сделано из-за наших ограниченных способностей сделать полный автоматизированный анализ ICMP; мы надеемся решить эту проблему позже. Некоторые не ограничивают ICMP таким способом. Ограничение ICMP защищает против SMURF-атаки, определения топологии сети и Ping of Death (да, мы все еще встречаем это на практике). Ниже приведены списки контроля доступа (ACL), использованные на нашем маршрутизаторе. Обратите внимание, что большое количество пакетов ICMP маршрутизатор сбрасывает:

router#show ip access-list 100
Extended IP access list 100
  deny icmp any any (5446314 matches)
  permit ip 172.16.1.0 0.0.0.255 any (66372 matches)
  deny ip any any log (59990 matches)

Мы нашли комбинацию межсетевого экрана и маршрутизатора максимально эффективно выполняющей задачу контроля исходящего трафика. Мы считаем это решение эффективным, т.к. оно дает черным шляпам возможность выполнять все, что им необходимо, ограничивая, в тоже время, возможность осуществления атак на другие системы. Лучшим подтверждением данного тезиса является тот факт, что такая система защиты ни разу не была преодолена. Из скомпрометированной Honeynet была предпринята масса попыток осуществления различных атак, включая SYN-flood, SMURF и Ping of Death; все они были обнаружены и блокированы. Также были обнаружены и блокированы целый ряд сканеров и "автовзломщиков". Однако, преодоление этих мер защиты - лишь вопрос времени, не исключена возможность что кто-то сможет их преодолеть. Помните, что, играя с черными шляпами, Вы всегда рискуете.

Сбор данных

Сбор данных - фиксация действий всех черных шляп. Именно эти действия в последствии анализируются с целью изучения инструментальных средств, тактики и мотивов сообщества черных шляп. Тонкость этого процесса в том, чтобы зафиксировать как можно больше данных, не давая при этом черной шляпе повода заподозрить, что она работает под контролем. Это достигается внесением как можно меньшего числа модификаций в системы, из которых состоит Honeynet. Также, полученные данные не могут сохраняться непосредственно на honeypot. Сохраняемая локально информация может быть обнаружена черной шляпой, которая сразу же поймет, что это - ловушка. Существует также риск потери или уничтожения сохраненных данных. Таким образом, мы должны не только зафиксировать каждый шаг черной шляпы, но и надежно сохранить полученные данные в другой системе. Ключевым решением этой проблемы является многоуровневая фиксация данных. Мы не можем себе позволить полагаться лишь на один источник информации, вместо этого мы будем получать данные несколькими способами. В результате их объединения мы получим наиболее полную картину. Далее мы рассмотрим подробно все источники получения данных и особенности их использования.

Первый уровень регистрации действий - межсетевой экран. Выше мы обсуждали использование межсетевого экрана для контроля за потоками данных. Логично использовать его также и для регистрации - межсетевой экран будет записывать в журналы информацию обо всех входящих и исходящих соединениях. Эта информация носит критичный характер, т.к. любые соединения между Honeynet и Internet подозрительны. Мы сконфигурировали наш межсетевой экран таким образом, чтобы он не только фиксировал данные соединений, но и оповещал нас обо всех фактах их установления. Например, если кто-то попытается соединиться по протоколу telnet с любой из систем в Honeynet, межсетевой экран зафиксирует эти данные и пошлет нам соответствующее предупреждение. Это чрезвычайно полезно для отслеживания попыток сканирования. Еще одно предназначение - обнаружение оставленных черных входов. Большинство эксплоитов оставляют после себя возможность входа для запуска оболочки, при этом используется один из незанятых (приватных) портов из верхней части диапазона. Наличие черного входа обнаруживается по попытке установить соединение с одним из таких портов. Межсетевой экран также оповестит нас о попытке установления исходящего соединения. И снова, экран не только зафиксирует данные соединения, но и пошлет нам предупреждение. Это предупреждение должно носить высокоприоритетный характер, т.к. указывает на факт компрометации системы. Оно может быть выслано как по электронной почте, так и на пейджер.

Другой важный источник данных - система обнаружения атак (IDS), имеющая два предназначения. Первое и основное - фиксация всей сетевой активности. IDS перехватит и запишет все пакеты, проходящие в сетевом кабеле. Если Вы посмотрите на диаграмму A, Вы увидите, что наша IDS подключена к коммутатору, используемому всеми системами Honeynet. IDS подключена к порту, находящемуся в режиме мониторинга, таким образом ей доступен для записи весь сетевой трафик. Эти записи будут в последующем использоваться для анализа деятельности черных шляп. Вторая функция IDS - оповещать нас о подозрительной активности. Большинство IDS имеют собственные базы сигнатур. Если перехваченный пакет совпадает с сигнатурой, генерируется предупреждение. Эта функция не столь важна для Honeynet, т.к. любая активность в такой сети подозрительна по определению. Однако IDS дает подробную информацию по конкретному соединению.

В настоящее время проект Honeynet использует snort - систему обнаружения атак (IDS), распространяемую с открытыми исходными текстами. Мы настроили snort на запись всего сетевого трафика в бинарном виде. Эти бинарные записи имеют очень большое значение, т.к. содержат в себе все входящие и исходящие пакеты. Дополнительно производится фиксация в ASCII-виде данных сессий (например, все команды во время сеанса FTP) в отдельные файлы. Бинарные и ASCII файлы записываются в каталоги с разбивкой по дням, чтобы облегчить ежедневный просмотр и анализ. Для выполнения этой задачи мы создали сценарий , ежедневно запускаемый планировщиком (cron), перезапускающий snort и производящий размещение регистрационных файлов по каталогам. И, наконец, все предупреждения snort направляются на специальный регистрационный сервер (syslog server). На этом сервере полученные сообщения помещаются в файл /var/log/messages, который постоянно сканируется при помощи Swatch. Swatch анализирует указанный файл в реальном времени и выполняет две задачи. Во-первых, он идентифицирует сообщения от snort и направляет соответствующее уведомление системному администратору. Во-вторых, он архивирует все сообщения от snort в текстовом виде для последующего анализа. Эта функциональность достигается при помощи следующего файла конфигурации swatchrc. Наконец, мы используем snortsnarf, для создания простой интерактивной базы данных для работы с сохраненными сообщениями snort. Она превосходно подходит для анализа тенденций и длительных исследований.

Третий уровень - непосредственно сами системы, входящие в Honeynet, т.к. мы хотим фиксировать все происходящие в них системные и прикладные события. Первый метод для достижения этого - заставить все системы вести журналы не только локально, но и отправлять информацию на специальный регистрационный сервер. Для систем на базе UNIX и большинства сетевых устройств это достигается добавлением в файл конфигурации соответствующей строки. Для систем на базе Windows существуют решения третьих фирм, позволяющие направлять информацию на удаленный syslog-сервер. Также, системные журналы могут записываться в общий ресурс на syslog-сервере по протоколу NFS или SMB. Windows NT часто не обладает возможностью отправлять системную информацию по протоколу syslog, но может делать это через NFS. Таким образом, критичная системная информация, такая как активность процессов, соединения и попытки выполнения эксплоитов безопасно сохраняется в удаленной системе. Мы не пытаемся полностью скрыть факт удаленной записи регистрационных журналов. Если черная шляпа обнаружит это, она отключит syslog (что является стандартным ходом для большинства из них). Фактически, с этого момента мы теряем этот источник данных, однако мы, по крайней мере, имеем информацию откуда и каким образом был получен доступ к системе.

Более продвинутые черные шляпы могут попытаться скомпрометировать syslog-сервер, чтобы скрыть следы своего пребывания. Это как раз то, чего мы хотим. Данный сервер обычно более защищенная система, это означает, что для ее взлома черные шляпы должны использовать более совершенные методы, которые мы зафиксируем и изучим. Если syslog-сервер будет скомпрометирован, мы ничего не потеряем. Да, черная шляпа получит контроль над системой и очистит регистрационные журналы. Но не забывайте, что наша IDS продолжает пассивно накапливать все проходящие по сети пакеты. Фактически, IDS является еще одним удаленным регистрационным сервером, фиксирующим информацию (правда, от этого мало толку, если злоумышленник воспользуется ssh - прим. перев.).

Второй метод получения информации заключается в модификации системы таким образом, чтобы она фиксировала нажатия клавишей и снимки экрана и перенаправляла эти данные. Проект Honeynet в настоящее время тестирует несколько продуктов, обеспечивающих данную функцию. Первый представляет собой модифицированную версию bash. Эта оболочка, разработанная Antonomasia, используется для замены стандартного /bin/bash. "Троянизированная" оболочка передает коды нажатых клавишей демону syslogd, который затем отправляет их на удаленный syslog-сервер. Второе средство - модифицированная версия TTY Watcher. Этот модуль ядра перенаправляет нажатия клавишей пользователем и снимки экранов на удаленный сервер через нестандартное TCP-соединение. Имеется еще целый ряд других средств с аналогичными возможностями. Проект Honeynet призывает специалистов по безопасности разрабатывать и развивать такие средства.

Осторожность, Сопровождение и Риск

Honeynet - не отлитое в бронзе решение, которое можно поставить и забыть о нем, оно требует постоянного внимания и бессонных ночей. Для достижения максимального эффекта Вы должны обнаруживать инциденты и реагировать на них как можно быстрее. Наблюдая за черными шляпами в реальном времени, Вы сумеете собрать больше информации и увеличите возможности анализа. Чтобы обнаружить что-то неизвестное Вам необходимо постоянно и глубоко изучать подозрительную активность, а это требует массы времени и аналитических способностей. Например, черная шляпа провела всего около 30 минут на скомпрометированном honeypot, а Вам может понадобиться 30-40 часов для анализа накопленных за это время данных. Постоянное техническое обслуживание также требуется, чтобы гарантировать работоспособность Вашей Honeynet. Если что-то пойдет не так (обычно так и случается), это может вызывать отказ всей Honeynet. Процессы оповещения могут остановиться, диски переполниться, база сигнатур системы обнаружения атак устаревает со временем, системные журналы необходимо периодически просматривать, межсетевые экраны нуждаются в периодическом обновлении и исправлении. Здесь перечислены только некоторые заботы и проблемы, решение которых необходимо для успешного функционирования Honeynet. Таким образом, Ваша работа только начинается после установки и настройки Honeynet.

Не следует забывать и о рисках, связанных с использованием Honeynet. Мы имеем дело с черными шляпами, атакующими наши системы с целью получения контроля над ними. Формируя сеть, специально предназначенную для компрометации, мы подвергаем риску и себя, и других. Вы должны осознавать, что принимаете на себя ответственность за то, чтобы после компрометации Honeynet не была использована для причинения вреда другим системам. С окружением, подобным этому, всегда есть потенциальная опасность, что что-то пойдет не так. Мы предусмотрели ряд мер, чтобы снизить этот риск. Однако, не исключена возможность, что черные шляпы придумают новый метод или разработают новое средство, которое позволит им обойти наши меры защиты. Поэтому необходимо постоянно тестировать и обновлять все окружение, чтобы быть уверенным, что контроль над системой эффективен. Никогда не следует недооценивать творческие способности сообщества черных шляп. Использование межсетевого экрана, маршрутизаторов и других решений помогает снизить риск того, что Honeynet будет использована для причинения вреда другим системам. Однако, определенная доля риска, все же, остается.

Существует также потенциальная возможность того, что злоумышленник сможет обойти нашу систему сбора данных. Черные шляпы постоянно придумывают новые методы избежать этого. К ним относятся специальные методы противодействия системам обнаружения атак и шифрование информации. Например, K2 разработала набор полиморфных эксплоитов под названием ADMmutate, дизайн которого позволяет обходить системы обнаружения атак. При помощи этого средства возможно осуществление атак со случайным изменением сигнатур, что затрудняет их обнаружение при помощи IDS. Rain Forest Puppy разработал специальный сканер под названием whisker , который обходит сбор данных, сегментируя пакеты или изменяя некоторые их характеристики, чтобы они не совпадали с сигнатурами. Большинство систем сбора данных могут детектировать использование этих технологий. Но нет гарантии, что не появятся новые, неизвестные средства и методы, о которых наша система сбора данных не знает. Это лишь малая часть примеров того, как меры безопасности Honeynet могут быть преодолены. Всегда помните, что независимо от принятых нами мер безопасности, риск остается. Риск того, что противник окажется умнее нас.

Наконец, Honeynet не решает Ваши проблемы безопасности. Мы настойчиво рекомендуем использовать зарекомендовавшие себя методы, такие как строгая аутентификация, использование протоколов с криптографической защитой, регулярный просмотр системных журналов и использование защищенных решений. Приоритет следует отдать четкой регламентации и описанию процедур, это поможет снизить риск. Honeynet может помочь лишь когда перечисленные выше меры защиты уже приняты, неукоснительно выполняются и сопровождаются.

Заключение

Honeynet - специальное средство, предназначенное для сбора разведывательных данных об инструментальных средствах, тактике и мотивах сообщества черных шляп. Оно включает в себя все положительные стороны honeypot, в частности работу в качестве ложной цели и системы оповещения, однако ее основное предназначение - изучение. Между honeypot и Honeynet есть два принципиальных различия. Первое различие состоит в том, что Honeynet не одиночная система, а сеть, состоящая из нескольких систем и приложений. Второе различие в том, что в состав Honeynet входят самые обычные системы, которые можно повсюду встретить в Internet; т.е. мы не эмулируем ни системы, ни уязвимости. Такая комбинация делает Honeynet превосходным средством для обучения. Однако, Honeynet требует огромного количества административных затрат. Администратор Honeynet несет ответственность за то, чтобы другие системы не были атакованы с использованием скомпрометированной Honeynet. Без надлежащего администрирования риски могут превышать получаемую выгоду. Этот средство не является панацеей в области безопасности и не является подходящим решением для каждой организации. Проект Honeynet настойчиво рекомендует сначала предпринять все стандартные меры обеспечения безопасности, типа своевременного внесения изменений в системы и отключения ненужных сервисов. Лишь после этого можно задумываться о построении и использовании Honeynet для сбора информации и изучения противника.

обсудить  |  все отзывы (0)

[24734; 6; 8.16]




Rambler's Top100
Рейтинг@Mail.ru





  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach