Honeyd
Honeyd — це невеликий демон, що створює віртуальні хости в мережі, які можуть бути налаштовані для запуску довільних завдань в певних операційних системах. Honeyd дозволяє окремому хосту отримувати декілька адрес по локальній мережі для мережевої імітації, а також підвищує інформаційну безпеку, надаючи механізми для виявлення та оцінки загроз, стримує супротивників, приховуючи реальні системи в середині віртуальних систем.
Honeyd отримав свою назву завдяки здатності бути використаним як приманка Honeypot.
Механізми дії[ред. | ред. код]
Основною метою використання Honeyd є виявлення неавторизованої діяльності всередині локальної мережі організації. Honeyd спостерігає за всіма невживаними IP-адресами, при цьому будь-яка спроба під'єднання до такого IP-адресу розглядається як неавторизована або зловмисна активність. Тому, коли відбувається спроба підключення до одного з них, Honeyd автоматично визначає приналежність невживаної IP-адреси, і починає досліджувати зломщика.
Цей підхід до виявлення має кілька переваг порівняно з традиційними методами:
- Honeyd легко встановлювати і обслуговувати;
- Honeyd виявляє не тільки відомі атаки, але також невідомі;
- Honeyd видає сигнал тривоги тільки в разі реальної атаки, ймовірність помилкового сигналу зведена до мінімуму.
Honeyd також надає і таку можливість Honeypot як емулювання операційної системи на рівні ядра. Внаслідок того, що зломщики часто віддалено визначають тип операційної системи, використовуючи такі утиліти, як Nmap або Xprobe, а Honeyd використовує базу відбитків утиліти Nmap, то можлива і підробка відповідей будь-якої операційної системи, яку необхідно емулювати. Ця здатність Honeyd використовується для дослідження спроб злому систем.
Підсистема віртуалізації[ред. | ред. код]
Honeyd підтримує задачі віртуалізації, виконуючи додатки Unix як підсистем віртуального простору IP-адрес у вже налагодженій пастці Honeypot. Це дозволяє будь-якому мережному додатку динамічно пов'язувати порти, створювати TCP і UDP з'єднання, використовуючи віртуальну IP-адресу. Підсистеми перехоплюють мережеві запити і перенаправляють їх в Honeyd. Додатковою перевагою такого підходу є можливість розстановки приманок для створення фонового трафіку, наприклад, запит вебсторінок і читання електронної пошти і т.і.
WinHoneyd[ред. | ред. код]
WinHoneyd заснована на Honeyd версії для Unix/Linux Platform, розробленої Niels Provos. WinHoneyd здатна моделювати великі мережеві структури з різними операційними системами на одному хості.
Джерела[ред. | ред. код]
- Галатенко В. А. Стандарти інформаційної безпеки. — М .: Інтернет-університет інформаційних технологій, 2006. — 264 с.
- Щербаков А. Ю. Сучасна комп'ютерна безпека. Теоретичні основи. Практичні аспекти. — М: Книжковий світ, 2009. — 352 с.
- Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.
Посилання[ред. | ред. код]
- Developments of the Honeyd Virtual Honeypot [Архівовано 20 квітня 2012 у WebCite].netVigilance.
- Разумов М.Установка honeypot на прикладі OpenSource Honeyd [Архівовано 11 листопада 2013 у Wayback Machine.].Мережеві рішення.
- WinHoneyd