Honeypot

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до: навігація, пошук

Honeypot («Пастка») (англ. горщик з медом) — ресурс, що є собою приманкою для зловмисників.

Мета Honeypot — зазнати атаки або несанкціонованого дослідження, що згодом дозволить вивчити стратегію зловмисника та визначити перелік засобів, за допомогою яких можуть бути завдані удари реально наявним об'єктам безпеки. Реалізація Honeypot може бути спеціальним виділеним сервером, або мережевим сервісом, завдання якого — привернути увагу зловмисника.

Honeypot є ресурсом, що без будь-якого впливу на нього є неактивним. Honeypot збирає невелику кількість інформації, після аналізу якої будується статистика методів, якими користуються зловмисники, а також визначається наявність якихось нових рішень, які згодом будуть застосовуватися в боротьбі з ними.

Наприклад, веб-сервер, який не має імені та фактично нікому не відомий, не повинен, відповідно, мати і гостей, які відвідували б його, тому всі особи, які намагаються на нього проникнути, є потенційними зловмисниками. Honeypot збирає інформацію про характер поведінки цих зловмисників і про їхні способи впливу на сервер. Після цього фахівці зі сфери інформаційної безпеки розробляють стратегії відбиття атак зловмисників.

Історія появи[ред.ред. код]

Honeypot з'явилися з першими комп'ютерними зловмисниками завдяки зусиллям фахівців з інформаційної безпеки. Створення та впровадження Honeypot'ів відбувалися паралельно з дослідженнями IDS.

Першим документальним згадуванням була книга Кліффорда Столла[en] «The Cuckoo's Egg[en]», написана в 1990 р. Через десять років, у 2000 р. honeypot стали повсюдно поширеними системами-приманками.

Згодом IDS і honeypot стали єдиним комплексом із забезпечення інформаційної безпеки підприємства.

Альтернативні методи захисту[ред.ред. код]

Крім honeypot, останнім часом застосовуються такі засоби захисту комп'ютерних мереж: honeynet, honeytoken, padded cell, IDS, IPS. Останні два не приманки, а системи виявлення та запобігання вторгнень. Найбільш близьким поняттю honeypot стає IDS — система виявлення вторгнень, що протоколює всі несанкціоновані підключення до цільової системі. Padded Cell — це різновид приманки типу «пісочниця». Потрапляючи в неї, зловмисник не може завдати якоїсь шкоди системі, він постійно розташований в ізольованому оточенні. Незалежно від того, яка система захисту встановлена, на ній як приманка має бути підроблена інформація, а не оригінал.

Види honeypot[ред.ред. код]

Існують honeypot'и, створені на виділених серверах, та програмно-емульовані honeypot'и.

  • емульований honeypot швидко відновлюється при зломі, а також чітко обмежується від основної ОС. Він може бути створений за допомогою віртуальної машини або Honeyd.

Різниця між ними в масштабах мережі. У малій офісній мережі, немає особливого сенсу ставити виділений сервер для протоколювання підозрілих подій в мережі — достатньо обмежитися віртуальною системою або навіть одним віртуальним сервісом. У великих організаціях використовуються виділені сервери з повністю відтвореними на них мережевими службами. Зазвичай в конфігурації таких служб спеціально допускають помилки, щоб у зловмисника вдався злом системи. В цьому полягає основна ідея honeypot — заманити зловмисника.

Розміщення honeypot[ред.ред. код]

Різні варіанти розміщення honeypot допоможуть дати повні відомості про тактику нападника. Розміщення honeypot всередині локальної мережі дасть уявлення про атаки зсередини мережі, а розміщення на загальнодоступних серверах цієї мережі або в DMZ — про атаки на незахищені мережеві служби, такі як: поштові сервіси, SMB, ftp-сервери і т. д.

Варіанти розташування honeypot в локальній мережі

Honeypot в локальній мережі[ред.ред. код]

Honeypot може бути встановлений всередині локальної мережі (після firewall) — тобто на комп'ютерах локальної мережі та серверах. Якщо не здійснюється віддалене адміністрування мережі, то слід перенаправляти весь вхідний ssh-трафік на honeypot. Приймаючи мережевий трафік, система-пастка повинна протоколювати всі події, причому на низькому рівні. Honeypot — це не проста програма, яка записує логи сервера. Якщо зловмисник зміг отримати доступ до сервера, стерти всі логи йому не важко. В ідеалі всі події в системі повинні записуватися на рівні ядра.

Honeypot в DMZ[ред.ред. код]

У демілітаризованій зоні або DMZ розташовуються загальнодоступні сервери. Наприклад, це може бути веб-сервер або поштовий сервер. Оскільки наявність таких серверів часто привертає увагу спамерів та зловмисників, необхідно забезпечити їхній інформаційний захист. Встановлення honeypot'а на сервері DMZ є одним з рішень цієї проблеми.

За відсутності виділеного веб-серверу, можна емулювати веб-служби за допомогою програмних honeypot’ів. Вони дозволяють в точності відтворити неіснуючий насправді веб-сервер та заманити зловмисника. Емуляція поштових та інших мережевих служб обмежується лише вибором конкретного програмного рішення.

Мережа з двома, трьома та більше honeypot'ами з визначення називається honeynet. Вона може бути відокремлена від робочої мережі. Керуючий трафік, що потрапляє в honeynet, повинен фіксуватися пастками цієї мережі.

Реалізації honeypot[ред.ред. код]

Всі відомі honeypot можна поділити на 2 класи — відкриті та комерційні

відкриті комерційні
Bubblegum Proxypot PatriotBox
Jackpot KFSensor
BackOfficer Friendly NetBait
Bait-n-Switch ManTrap
Bigeye Specter
HoneyWeb Honeypot Manager
Deception Toolkit
LaBrea Tarpit
Honeyd
Sendmail SPAM Trap
Tiny Honeypot

Нижче наводиться коротке пояснення деяких реалізацій:

Deception Toolkit — найперший open-source honeypot, датований 1997 роком

HoneyWeb — емулює різні типи веб-сервісів

BackOfficer Friendly — honeypot для ОС Windows, може застосовуватися як HIPS

Honeyd  — низькорівневий honeypot для Linux, здатний емулювати сотні ОС

Bubblegum Proxypot — open-source honeypot, застосовується для боротьби зі спамерами

Specter — комерційний низькорівневий honeypot для ОС Windows. Емулює 13 різних ОС.

Honeypot Manager  — комерційний honeypot. Емулює сервер з встановленою СКБД Oracle.

Медове шифрування - система шифрування, яка в разі спроби розшифрування шифротексту з неправильним ключем дає правдоподібні, проте неправильні дані.

Посилання[ред.ред. код]