Последние 18 месяцев мы можем наблюдать необычайный рост honeypot технологий. Все honeypot начиная с OpenSourсe honeypot, таких как Honeyd и Honeynets до коммерческих решений, таких как KFSensor очень бурно развиваются. Как всегда бывает с любыми новыми технологиями, в honeypot встречаются множество ошибок и недоработок. В этой статье мы рассмотрим эти ошибки и недоработки и обсудим возможные их решения. Обсуждая их сейчас, мы можем надеяться на то, что honeypot станут мощными и надёжными технологиями будущего.
Автор статьи: Лэнс Спитцнер Перевод: VollterПоследние 18 месяцев мы можем наблюдать необычайный рост honeypot технологий. Все honeypot начиная с OpenSourсe honeypot, таких как Honeyd и Honeynets до коммерческих решений, таких как KFSensor очень бурно развиваются. Как всегда бывает с любыми новыми технологиями, в honeypot встречаются множество ошибок и недоработок. В этой статье мы рассмотрим эти ошибки и недоработки и обсудим возможные их решения. Обсуждая их сейчас, мы можем надеяться на то, что honeypot станут мощными и надёжными технологиями будущего.
В этой статье мы обсудим три проблемы:
1. обнаружение honeypot
2. эксплуатация уязвимостей в honeypot
3. эффективность honeypot.
Статья рассчитана на читателей, которые уже имеют общие сведения о honeypot.
Конечно, с бурным развитием honeypot технологий стали появляться и инструменты, пытающиеся противостоять им. Самый наглядный пример, коммерческая программа Honeypot Hunter (http://www.send-safe.com/honeypot-hunter.php). Эта программа используется для обнаружения honeypot.
Итак, что можно сделать? Для начала следует понять, что не важно каким типом honeypot Вы пользуетесь, любая honeypot система может быть обнаружена. Если взломщик обладает определенными знаниями и навыками, имеет в своём распоряжении необходимое ПО, то обнаружение honeypot становится вопросом времени. Когда появляются новые honeypot или обновляются старые версии, хакеры некоторое время не могут обнаружить их, но проходит ещё немного времени и появляются новые методы обнаружения honeypot. Это замкнутый круг.
По-моему эта проблема решается в два этапа. Во-первых следует понять, что если honeypot сможет собрать хоть какую-нибудь информацию до того, как их обнаружат, они всё ещё будут эффективны. Например, давайте представим, что Вы развёртываете honeypot в сети для обнаружения неправомочных действий (таких как, сканирование портов). Представим, что хакер находится в Вашей сети и во время сбора информации обнаруживает honeypot. Однако же можно считать, что honeypot выполнила свою работу, она обнаружила угрозу и оповестила Вас о ней. Но если Вы используете honeypot для сбора информации, то для этого надо чтобы honeypot работали без обнаружения дни, недели и даже месяцы. Итак, первый шаг – понять, насколько критично обнаружение honeypot для Вас и Вашей сети.
Если после первого этапа Вы пришли к выводу, что обнаружение honeypot для Вас нежелательно, то мы переходим ко второму этапу. Можно найти множество honeypot, которые Вы можете загрузить из Интернета и установить. Точно так же может поступить и взломщик. Он может скачать копию honeypot или её исходные коды, изучить их и собрать сигнатуры. Это подобно тому, как Nmap собирает отпечатки пальцев удаленных ОС. Для противостояния этому Вам следует изменить поведения honeypot, чтобы honeypot не были похожи ни на одни другие honeypot в Интернете. Например, если вы используете Honeyd Toolkit for Linux, Вам следует отказаться от использования стандартного honeyd.conf. Более продвинутые пользователи могут изменить исходные коды, которые отвечают за создания пакетов. В любом случаи хакер ищет honeypot стандартными методами, т.е. он ищет известные honeypot, Вы может очень сильно усложнить ему жизнь, если Ваша honeypot будет вести себя по-новому для взломщика.
Для высоко интерактивных honeypot проблема более актуальна. Эти системы используют настоящие ОС и приложения для взаимодействия с хакером, как следствие риск более высок. У хакера есть шанс получить полный контроль над honeypot. В случаи с высоко интерактивными honeypot Вам следует предпринять два шага. Первый: использовать несколько этапов контроля. Второй - человеческое вмешательство. За высоко интерактивными honeypot должно вестись пристальное наблюдение. В любое время, любая неизвестная активность (исходящие соединения, скачивание файлов, создание новых процессов и т.д.) должна немедленно проверяться человеком. Если хакер проник в Вашу систему, то человек может, например, разорвать соединение. Всё это поможет Вам контролировать поведение honeypot и быть в курсе всех событий.
Сбалансированная диета для серого вещества