Развертывание honeynet на FreeBSD

Развертывание honeynet на FreeBSD

Honeyd – наверное, самая популярная реализация системы honeypot на сегодняшний день. Это связано во многом с тем, что Niels Provos создал наиболее удачную модель для построения honeypots на одном, не самом быстром компьютере.

Евтеев Дмитрий

Если переводить дословно, то honeypot - это «горшочек с медом», система ловушка, "обманная система". Его единственная задача – привлечь к себе внимание и заинтересовать злоумышленника, быть атакованным и даже взломанным. В последствии, собранные данные будут проанализированы и могут использоваться в разных целях: от получения ранее ни где не публикуемых уязвимостей, эксплоитов или руткитов до возможности обеспечить правопорядок, используя собранные данные в качестве доказательств злонамеренных действий. Honeynet – это сеть, состоящая из нескольких honeypot, объединенная в единое целое.

До сих пор, honeypots получили свое распространение преимущественно в Интернете. Например, антивирусные компании, на сколько мне известно, используют сети honeynet для получения свежих компьютерных вирусов, по большей части сетевых и почтовых червей. Также, honeynet хорошо зарекомендовали себя в качестве инструмента при борьбе со спамом. Но до сих пор ни кто не решается использовать honeynet для борьбы с угрозами внутри корпоративной сети.

Так уж сложилось, что большинство систем защиты информации, применяемые в компаниях, в первую очередь решают проблемы угроз со стороны Интернета. При этом мало кто устанавливает системы IDS/IPS на промышленные сервера, не доступные со стороны глобальной сети. И причины тому могут быть различны. Это и экономия средств, и экономия ресурсов самого сервера, а также целесообразность в применяемых средствах. Собственно, в сетях, где внутренняя защищенность с технической стороны оставляет желать лучшего, для пресечения возможных сетевых инцидентов, может успешно использоваться искусственная сеть honeynet, которая позволит:

  • выявить компьютеры, с которых происходит сканирование сети
  • выявить компьютеры, с которых происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети
  • выявить компьютеры, с которых происходят попытки или предпосылки для проведения DOS атаки
  • выявить компьютеры, с которых происходит атака типа brute-force
  • выявить компьютеры, с которых происходят попытки несанкционированной отправки писем
  • выявить компьютеры, с которых происходят несанкционированные обращения к ресурсам сети
  • выявить компьютеры, с которых происходит целенаправленная атака на ресурсы сети

За тем, неблагочестивым компьютером может находиться, как сотрудник, пренебрегающий политикой компании, так и простой компьютерный вирус-червь. В первом случае, собранные данные могут быть предъявлены в качестве доказательства неправомерных действий сотрудника в сети, во втором – поможет вовремя устранить возникшую проблему, которая не переросла в вирусную эпидемию. В любом случае, при использовании honeypot в качестве своеобразной системы IDS-ловушки, можно косвенно повысить уровень информационной безопасности в сети, при чем затратами станут: не самый мощный компьютер и время администратора на обслуживание данного ресурса.

Для построения honeynet, я предлагаю воспользоваться самым, на мой взгляд, простым и удобным продуктом honeyd. Honeyd – наверное, самая популярная реализация системы honeypot на сегодняшний день. Это связано во многом с тем, что Niels Provos создал наиболее удачную модель для построения honeypots на одном, не самом быстром компьютере. Вторым фактором популярности и распространенности Honeyd является его бесплатность.

Идея построения honeynet проста:

  1. В сети выделяются свободные IP-адреса с различной степенью удаленности друг от друга (например, для сети класса C из диапазона 10.10.0.0/24 могут быть зарезервированы 10.10.0.15, 10.10.0.94, 10.10.0.212);
  2. С помощью honeyd создаются виртуальные компьютеры с фейковыми сервисами;
  3.  Весь трафик на выделенные IP-адреса перенаправляется на один mac-адрес, на котором установлен honeyd;
  4. В DNS, за выделенными IP-адресами, прописываются «красивые» имена (типа banks, zarplata, money и т.д.), на ресурсы которых, может позариться злоумышленник;
  5. Любая сетевая активность к выделенным IP-адресам, кроме широковещания, будет расцениваться как атака (ведь на самом деле, если данные IP-адреса не используются ни какими ресурсами, то зачем кому-то или чему-то к ним обращаться?).

Единственным узким местом в данной схеме будет один mac адрес, используемый всеми эмулируемыми компьютерами в honeynet. Т.е. опытный злоумышленник теоретически может получить список соответствия mac&ip, проанализировать его и предположить о существовании в сети honeynet.  Но этого недостатка можно избежать в случае, когда honeyd расположен на шлюзе. К сожалению, в этом случае не удастся использовать honeynet в одной подсети с предполагаемым злоумышленником (в одном vlan). Но с другой стороны, при грамотном промежутке между резервируемыми IP-адресами для honeynet, риск обнаружения одинаковых mac-адресов минимален т.к. в большинстве случаев при проведении атаки на mac-адреса редко обращают внимание, особенно на те, которые не на двух соседних строчках при сканировании nmap’ом. В своей статье, я буду придерживаться именно модели, когда honeynet установлена в общей подсети с р/с и серверами. Наглядно, описанная схема honeynet показана на рис1.

Рис.1

Honeyd – это просто движок, с помощью которого можно легко развернуть honeypot или honeynet. Поэтому, для удобства работы с создаваемой honeynet, необходимы следующие компоненты:

  • механизм хранения собранной информации в БД
  • механизм обработки и представления собранной информации через WEB-интерфейс
  • механизм управления настройками через WEB-интерфейс
  • механизм оповещения об атаках по email
  • механизм, отвечающий за высокую доступность сервисов

Далее идет практическая реализация предложенной схемы на ОС FreeBSD 6.0.

Процесс установки Honeyd на FreeBSD

 После того, как будет установлена ОС, первым делом необходимо получить дерево портов. Получить их можно, например, скачав файл

ftp://ftp.freebsd.org/pub/FreeBSD/ports/ports/ports.tar.gz.
# cd /tmp && fetch ftp://ftp.freebsd.org/pub/FreeBSD/ports/ports/ports.tar.gz
В случае если используется proxy-сервер, тогда команда примет следующий вид:
# cd /tmp && env FTP_PROXY=proxy:21 fetch ftp://ftp.freebsd.org/pub/FreeBSD/ports/ports/ports.tar.gz

Следующий шаг, распаковка репозитария в каталог /usr:

# tar zxvf ports.tar.gz -C /usr

К сожалению, в текущем дереве портов присутствует устаревшая версия honeyd. Поэтому необходимо скачать свежую версию с официального сайта проекта.

# cd /tmp && fetch http://www.citi.umich.edu/u/provos/honeyd/honeyd-1.5a.tar.gz

ИЛИ (в случае, если в сети используется proxy-сервер)

# cd /tmp && env HTTP_PROXY=proxy:3128 fetch 
http://www.citi.umich.edu/u/provos/honeyd/honeyd-1.5a.tar.gz

Далее необходимо установить все зависимые библиотеки для работы honeyd. Для работы honeyd требуются следующие библиотеки:

libpcap
libnet
libevent
libdnsres
libpcre
libedit
libreadline
zlib
python  


Самый простой, быстрый и наиболее правильный способ – это установить все зависимости из дерева портов.[1]

# cd /usr/ports/net/libdnet && make install
# cd /usr/ports/devel/libevent && make install
# cd /usr/ports/net/libpcap && make install
# cd /usr/ports/devel/pcre && make install
# cd /usr/ports/devel/libedit && make install
# cd /usr/ports/lang/python-devel && make install
# cd /usr/ports/devel/libdnsres && make install
После этого, останутся не установленными две библиотеки libreadline и zlib. Их нужно будет собирать «руками»:
# cd /tmp && fetch ftp://ftp.gnu.org/gnu/readline/readline-5.1.tar.gz
# tar zxvf readline-5.1.tar.gz && cd readline-5.1&& ./configure && make && make install
# cd /tmp && fetch http://www.zlib.net/zlib-1.2.3.tar.gz
# tar zxvf zlib-1.2.3.tar.gz && cd zlib-1.2.3 && ./configure && make && make install
Кроме необходимых библиотек для компиляции, необходимо иметь в системе установленный perl и rrdtool (опционально). Собираем из дерева портов:
# cd /usr/ports/lang/perl5.8 && make install
# cd /usr/ports/net/rrdtool && make install
Весь процесс подготовки ОС для работы honeyd можно выразить в виде череды команд:
# cd /usr/ports/net/libdnet && make install && make clean && 
cd /usr/ports/devel/libevent && make install && make clean &&
cd /usr/ports/net/libpcap && make install && make clean &&
cd /usr/ports/devel/pcre && make install && make clean &&
cd /usr/ports/devel/libedit && make install && make clean &&
cd /usr/ports/lang/python-devel && make install && make clean &&
cd /usr/ports/devel/libdnsres && make install && make clean &&
cd /tmp && fetch ftp://ftp.gnu.org/gnu/readline/readline-5.1.tar.gz &&
tar zxvf readline-5.1.tar.gz && cd readline-5.1 && ./configure &&
make && make install && rm -R /tmp/readline-5.1 && cd /tmp &&
fetch http://www.zlib.net/zlib-1.2.3.tar.gz && tar zxvf zlib-1.2.3.tar.gz &&
cd zlib-1.2.3 && ./configure && make && make install && rm -R /tmp/zlib-1.2.3 &&
cd /usr/ports/lang/perl5.8 && make install && make clean &&
cd /usr/ports/net/rrdtool && make install && make clean

После всех установок необходимо перезагрузиться, чтобы все изменения вступили в силу.
# reboot
Когда все необходимые библиотеки будут установлены, можно переходить к установке honeyd:
# cd /tmp && tar zxvf honeyd-1.5a.tar.gz && cd honeyd-1.5a
# ./configure && make && mkdir -p /usr/local/share/honeyd && make install
# cp -R scripts /usr/local/share/honeyd/
# chmod +x /usr/local/share/honeyd/scripts/*
Теперь можно протестировать, установленный Honeyd. Для этого необходимо в его arp-таблицу прописать строку:

# arp -s pub

Топология тестовой сети 10.10.0.0/254, где IP 10.10.0.5 компьютер с установленным honeyd, IP 10.10.0.230 эмулируемая ОС.

# arp -s 10.10.0.230 00:0c:29:99:dd:ee pub

Далее, на машине с honeyd (далее «honey#») запускаем tcpdump:

honey# tcpdump –t icmp

И «пингуем» с соседней машины виртуальный IP-адрес. Должны увидеть, что пакеты доходят до установленного honepot:

honey# tcpdump -t icmp

honey# tcpdump -t icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lnc0, link-type EN10MB (Ethernet), capture size 96 bytes
IP 10.10.0.51 > 10.10.0.230: ICMP echo request, id 15374, seq 0, length 64
IP 10.10.0.51 > 10.10.0.230: ICMP echo request, id 15374, seq 1, length 64
IP 10.10.0.51 > 10.10.0.230: ICMP echo request, id 15374, seq 2, length 64
IP 10.10.0.51 > 10.10.0.230: ICMP echo request, id 15374, seq 3, length 64
Создаем тестовую конфигурацию:
honey# cat /usr/local/etc/honeyd.conf
create default
set default default tcp action block
set default default udp action block
set default default icmp action block

create router
set router personality "Cisco 1601R router running IOS 12.1(5)"
set router default tcp action reset
add router tcp port 22 "/bin/sh /usr/local/share/honeyd/scripts/test.sh"
add router tcp port 23 "/usr/local/bin/perl /usr/local/share/honeyd/scripts/router-telnet.pl"
bind 10.10.0.230 router
И запускаем демон honeyd:
honey# /usr/local/bin/honeyd -d -f /usr/local/etc/honeyd.conf
Подключившись с соседнего компьютера к IP 10.10.0.230 на порт 23, должно появиться:

После ввода в качестве имени пользователя и пароля «test», на консоли с honeyd должно появиться:

Далее проверяем с помощью nmap ОС и открытые TCP порты на эмулируемой машине:

# nmap -sS -O 10.10.0.230
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2006-04-16 18:47 MSD
Interesting ports on 10.10.0.230:
(The 1661 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
MAC Address: 00:0c:29:99:dd:ee
Device type: router
Running: Cisco IOS 11.X|12.X
OS details: Cisco IOS 11.3 - 12.0(11)

Nmap finished: 1 IP address (1 host up) scanned in 5.031 seconds
Далее:
honey# touch /var/log/honey_packets.log
honey# touch /var/log/honey_service.log
honey# chmod 622 /var/log/honey_packets.log
honey# chmod 622 /var/log/honey_service.log
honey# /usr/local/bin/honeyd -d -f /usr/local/etc/honeyd.conf -l
/var/log/honey_packets.log -s /var/log/honey_service.log --disable-webserver &

Чтобы honeyd стартовал самостоятельно при запуске системы, необходимо создать rc-скрипт:
honey# cat /usr/local/etc/rc.d/honeyd.sh

#!/bin/sh
#
# PROVIDE: honeyd
# REQUIRE: NETWORKING SERVERS
# BEFORE: DAEMON
# KEYWORD: FreeBSD shutdown

honeyd_enable=${honeyd_enable="NO"}

. /etc/rc.subr

name="honeyd"
rcvar=`set_rcvar`

load_rc_config $name

case $1 in

start)
start_cmd="echo \"Starting ${name}.\"; lockf -st 0
/var/tmp/honeyd.lock /usr/local/bin/honeyd -d -f /usr/local/etc/honeyd.conf -l
/var/log/honey_packets.log -s /var/log/honey_service.log --disable-webserver
--disable-update > /dev/null 2>&1 &"
run_rc_command "$1"
;;

stop)
if test -e /var/run/honeyd.pid
then
kill `cat /var/run/honeyd.pid`
rm -f /var/run/honeyd.pid
fi

;;

restart)
if test -e /var/run/honeyd.pid
then
kill `cat /var/run/honeyd.pid`
rm -f /var/run/honeyd.pid
fi

start_cmd="echo \"Starting ${name}.\"; lockf -st 0 /var/tmp/honeyd.lock /usr/local/bin/honeyd
-d -f /usr/local/etc/honeyd.conf -l /var/log/honey_packets.log -s /var/log/honey_service.log
--disable-webserver --disable-update > /dev/null 2>&1 &"

run_rc_command "$1"
;;

*)
echo "Usage: `basename $0` {start|stop|restart}" >&2
exit 64
;;
esac

exit 0
И сделать соответствующую запись в rc.conf:
honey# echo honeyd_enable=\”YES\” >> /etc/rc.conf
Опционально:
honey# chmod +x /usr/local/etc/rc.d/honeyd.sh
Для того, чтобы проходила корректная ротация логов honeyd, нужно выполнить следующее:
honey# echo "/var/log/honey_packets.log	622	31	*	@T00	JC	/var/run/honeyd.pid" >> /etc/newsyslog.conf
honey# echo "/var/log/honey_service.log 622 31 * @T00 JC /var/run/honeyd.pid" >> /etc/newsyslog.conf
honey# echo "5 0 * * *
root /usr/local/etc/rc.d/honeyd.sh stop && /usr/local/etc/rc.d/honeyd.sh start " >> /etc/crontab
Настройка хранения логов Honeyd в БД MySQL

 Для начала необходимо заменить syslog, поставляемый с системой по умолчанию, на syslog-ng. Это необходимо т.к. syslog-ng имеет расширенные возможности для работы с логами, а honeyd умеет отдавать свои логи в syslog.

honey# sh /etc/rc.d/syslogd stop && cd /usr/ports/sysutils/syslog-ng && make install && make clean
honey# echo syslog_ng_enable=\"YES\" >> /etc/rc.conf
honey# echo syslogd_enable=\"NO\" >> /etc/rc.conf
honey# # cp /usr/local/etc/syslog-ng/syslog-ng.conf.sample /usr/local/etc/syslog-ng/syslog-ng.conf
Далее устанавливаем БД MySQL:
honey# cd /usr/ports/databases/mysql41-server && make install && make clean
honey# echo mysql_enable=\"YES\" >> /etc/rc.conf
Следующий шаг – создать pipe и настроить syslog-ng на работу ним:
honey# mkfifo /var/log/syslog-ng.pipe
Добавляем следующие строки в файл /usr/local/etc/syslog-ng/syslog-ng.conf
filter f_honeyd { program("honeyd"); };
destination d_syslog_p { pipe("/var/log/syslog-ng.pipe"
template("INSERT INTO honeyd (host, facility, priority, level, tag, timestamp, program, msg)
VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC','$PROGRAM', '$MSG' );\n")
template-escape(yes)); };
log { source(src); filter(f_honeyd); destination(d_syslog_p); };
И говорим syslog-ng перечитать конфигурацию:
honey# kill -HUP `cat /var/run/syslog.pid`
Или, если syslog-ng не запущен, запускаем его:
honey# /usr/local/etc/rc.d/syslog-ng.sh start

Команда «honey# cat /var/log/syslog-ng.pipe» должна показать, что-то вроде (при запущенном honeyd):

INSERT INTO honeyd (host, facility, priority, level, tag, timestamp, program, msg) 
VALUES ( 'honey', 'daemon', 'notice', 'notice', '1d', '2006-04-17 10:52:29',
'honeyd', 'honeyd[667]: E(10.10.0.51:57867 - 10.10.0.235:23): Attempted login: test/test' );

Теперь, можно создать БД и таблицу, куда в последствии будут помещаться логи honeyd[2].

honey# /usr/local/bin/mysql
mysql> create database honey;
mysql> use honey;
mysql> CREATE TABLE honeyd (id INT UNSIGNED NOT NULL auto_increment, host
VARCHAR(30) NOT NULL, facility VARCHAR(15) DEFAULT NULL, priority VARCHAR(15) DEFAULT NULL, level VARCHAR(15)
DEFAULT NULL, tag VARCHAR(15) DEFAULT NULL, timestamp DATETIME NOT NULL, program VARCHAR(15)
DEFAULT NULL, msg TEXT, PRIMARY KEY (id), INDEX (host), INDEX (timestamp));
mysql> GRANT INSERT ON honey.honeyd TO honey_ins@localhost IDENTIFIED BY '12345';
mysql> flush privileges;
mysql> quit

И наконец, скрипт, который будет помещать логи в БД:

honey# cat /usr/local/etc/rc.d/syslog-honeyd.sh
#!/bin/sh
#
# PROVIDE: honeyd_logs
# REQUIRE: DAEMON
# BEFORE: LOGIN
# KEYWORD: FreeBSD shutdown

honeyd_logs_enable=${honeyd_logs_enable="NO"}

. /etc/rc.subr

name="honeyd_logs"
rcvar=`set_rcvar`

load_rc_config $name

case $1 in

start)
start_cmd="echo \"Starting ${name} (wait 30 sec).\"; sleep 30 && lockf -st 0
/var/tmp/honeyd_logs.lock /usr/local/bin/mysql -h localhost -u honey_ins
--password=12345 honey < /var/log/syslog-ng.pipe &"

run_rc_command "$1"
;;

*)
echo "Usage: `basename $0` {start}" >&2
exit 64
;;
esac

exit 0
honey# chmod +x /usr/local/etc/rc.d/syslog-honeyd.sh
honey# echo honeyd_logs_enable=\"YES\" >> /etc/rc.conf
Ну и для того, чтобы все безотказно работало:
honey# vi /root/scripts/reload_honeyd_services_ext.sh
#!/bin/sh
#
# This is script reload honeyd services and others base honepot server services
#

_function_check() {
i=0
for pid in `ps -auwwx | grep $1 | awk '{ print $1}'`
do
i=$(($i+1))
done
return $i
}

_function_check /usr/local/bin/honeyd
if [ $(($?>1)) -eq 0 ]; then
lockf -st 0 /var/tmp/honeyd.lock /usr/local/bin/honeyd -d -f
/usr/local/etc/honeyd.conf -l /var/log/honey_packets.log -s
/var/log/honey_service.log --disable-webserver > /dev/null 2>&1 &
/usr/bin/logger "SCRIPT: Honeyd service reload!"
fi

_function_check honey_ins
if [ $(($?>1)) -eq 0 ]; then
lockf -st 0 /var/tmp/honeyd_logs.lock /usr/local/bin/mysql -h
localhost -u honey_ins --password=12345 honey < /var/log/syslog-ng.pipe &
/usr/bin/logger "SCRIPT: Honeyd logs to mysql service reload!"
fi

_function_check syslog-ng
if [ $(($?>0)) -eq 0 ]; then
/usr/local/etc/rc.d/syslog-ng.sh start
/usr/bin/logger "SCRIPT: Syslog-ng service reload!"
fi

_function_check mysqld_safe
if [ $(($?>0)) -eq 0 ]; then
/usr/local/etc/rc.d/mysql-server.sh start
/usr/bin/logger "SCRIPT: MySQL service reload!"
fi
honey# chmod +x /root/scripts/reload_honeyd_services_ext.sh
honey# echo "*/1 * * * *
root /bin/sh /root/scripts/reload_honeyd_services_ext.sh" >> /etc/crontab

Доступные фейковые сервисы при работе с Honeyd

Поставляемые вместе с honeyd:

router-telnet.pl

- эмулятор telnet (полноценная эмуляция протокола telnet без возможности успешной авторизации)

Настройка не требуется. Логи данного эмулятора отдаются демону honeyd (через STDERR), что очень удобно.

test.sh

- эмулятор ssh (скрипт показывает баннер ssh, полноценной эмуляции ssh не происходит)

smtp.pl

- эмулятор smtp; эмулирует демон Postfix/Sendmail. Для работы необходимо:
# mkdir –p /tmp/mailstore
# chown nobody:nobody /tmp/mailstore
# cd /usr/ports/mail/p5-Mail-Sendmail && make install && make clean
# cd /usr/ports/dns/p5-Net-DNS && make install && make clean

cmdexe.pl

- эмулирует командную строку Windows. Для работы необходимо:

# mkdir -p /var/cmdexe/
# chown nobody:nobody /var/cmdexe/

web.sh

- эмулирует HTTP сервер IIS 5.0

proxy.pl

- эмулирует HTTP Proxy сервер. Для работы необходимо:

# cd /usr/ports/dns/p5-Net-DNS && make install && make clean

mydom.pl

- эмулирует вирус mydom. (работа не проверялась) Для работы необходимо:

# mkdir –p /var/mydoom/
# chown nobody:nobody /var/mydoom/

kuang2.pl

- эмулирует вирус kuang2. (работа не проверялась) Для работы необходимо:

# cd /usr/ports/security/p5-Digest-SHA1 && make install
# mkdir –p /var/kuang2/
# chown nobody:nobody /var/kuang2/

Поставляемые отдельно от honeyd:

ftp.sh

- эмулирует работу WU-FTPD 2.6.0. (полноценно эмулирует протокол FTP) Для работы необходимо:

# mkdir –p /tmp/honeyd

iisemul8.pl

- эмулирует работу IIS 5.0 (полноценно эмулирует протокол HTTP)

smtp.sh

- эмулирует работу Sendmail. (не полноценная эмуляция протокола SMTP)

honeyd.tgz (Fabian Bieker)

коллекция из множества bash скриптов для эмуляции различных приложений под Linux и Windows (ssh, inetd, ldap, telnet, apache, ftp и т.д.) (не полноценная эмуляция протоколов)

На самом деле, зная любой скриптовый язык программирования (shell, perl, php, etc) можно наскоро создать свой сценарий эмулирующий работу любого сервиса TCP/UDP.

Доступные эмулируемые ОС с помощью Honeyd

honey# grep "^Fingerprint" /usr/local/share/honeyd/nmap.prints | more

Доступно 989 отпечатков различных ОС и устройств. От самых распространенных (Windows, Linux, BSD, Cisco) до экзотики (AmigaOS, BeOS, Astaro Security Linux).

Например:

personality "AmigaOS AmiTCP/IP 4.3"
personality "Astaro Security Linux 4 (Kernel 2.4.19)"
personality "BeOS 4 - 4.5"
personality "Microsoft Windows Millennium Edition (Me), Windows 2000
Professional or Advanced Server, or Windows XP"
personality "FreeBSD 4.7-RELEASE"
personality "IBM AIX 4.0 - 4.2"
personality "Apple Mac OS X 10.1.5-10.2.6"
personality "Cisco Catalyst 2820 switch Management Console"
personality "Sun Solaris 9"

При сканировании nmap:

В следующей статье будет рассмотрена техническая реализация Web-управления для honeyd, мониторинга его работы, а также механизмы предупреждения об атаках по email.

http://www.honeyd.org/
http://www.securitylab.ru/analytics/216254.php (Михаил Разумов, по материалам SecurityFocus)
http://honeyview.sourceforge.net/ (HoneyView - a honeyd Logfile Analyzer)
http://www.citforum.ru/security/internet/honeynet/ (Ланс Спитцнер. Honeynet Project: ловушка для хакеров)
Статья «Honeypot» Крис Касперски
 

[1] В случае если в сети используется proxy-сервер, удобно прописать настройки proxy в файл /etc/make.conf:

FETCH_ENV=HTTP_PROXY=proxy:3128

FETCH_ENV=FTP_PROXY=proxy:21

[2] При этом должен быть запущен сервер mysql - # /usr/local/etc/rc.d/mysql-server.sh start

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь