Honeypot
Honeypot («Пастка») (англ. горщик з медом) — ресурс, що є собою приманкою для зловмисників.
Мета Honeypot — зазнати атаки або несанкціонованого дослідження, що згодом дозволить вивчити стратегію зловмисника та визначити перелік засобів, за допомогою яких можуть бути завдані удари реально наявним об'єктам безпеки. Реалізація Honeypot може бути спеціальним виділеним сервером, або мережевим сервісом, завдання якого — привернути увагу зловмисника.
Honeypot є ресурсом, що без будь-якого впливу на нього є неактивним. Honeypot збирає невелику кількість інформації, після аналізу якої будується статистика методів, якими користуються зловмисники, а також визначається наявність якихось нових рішень, які згодом будуть застосовуватися в боротьбі з ними.
Наприклад, веб-сервер, який не має імені та фактично нікому не відомий, не повинен, відповідно, мати і гостей, які відвідували б його, тому всі особи, які намагаються на нього проникнути, є потенційними зловмисниками. Honeypot збирає інформацію про характер поведінки цих зловмисників і про їхні способи впливу на сервер. Після цього фахівці зі сфери інформаційної безпеки розробляють стратегії відбиття атак зловмисників.
Історія появи
Honeypot з'явилися з першими комп'ютерними зловмисниками завдяки зусиллям фахівців з інформаційної безпеки. Створення та впровадження Honeypot'ів відбувалися паралельно з дослідженнями систем виявлення вторгнень (англ. Intrusion Detection System, IDS).
Першим документальним згадуванням була книга Кліффорда Столла «The Cuckoo's Egg», написана в 1990 р. Через десять років, у 2000 р. honeypot стали повсюдно поширеними системами-приманками.
Згодом IDS і honeypot стали єдиним комплексом із забезпечення інформаційної безпеки підприємства.
Альтернативні методи захисту
Крім honeypot, останнім часом[коли?] застосовуються такі засоби захисту комп'ютерних мереж: honeynet, honeytoken, padded cell, система виявлення вторгнень. Найбільш близьким поняттю honeypot є система виявлення вторгнень, що протоколює всі несанкціоновані підключення до цільової системі. Padded Cell — це різновид приманки типу «пісочниця». Потрапляючи в неї, зловмисник не може завдати якоїсь шкоди системі, він постійно розташований в ізольованому оточенні. Незалежно від того, яка система захисту встановлена, на ній як приманка має бути підроблена інформація, а не оригінал.
Види honeypot
Існують honeypot'и, створені на виділених серверах, та програмно-емульовані honeypot'и.
- Honeypot, встановлений на виділеному сервері, дозволяють максимально наблизити його до реального серверу, роль якого він виконує (сервер даних, сервер застосунків, проксі-сервер).
- емульований honeypot швидко відновлюється при зломі, а також чітко обмежується від основної ОС. Він може бути створений за допомогою віртуальної машини або Honeyd.
Різниця між ними в масштабах мережі. У малій офісній мережі, немає особливого сенсу ставити виділений сервер для протоколювання підозрілих подій в мережі — достатньо обмежитися віртуальною системою або навіть одним віртуальним сервісом. У великих організаціях використовуються виділені сервери з повністю відтвореними на них мережевими службами. Зазвичай в конфігурації таких служб спеціально допускають помилки, щоб у зловмисника вдався злом системи. В цьому полягає основна ідея honeypot — заманити зловмисника.
Розміщення honeypot
Різні варіанти розміщення honeypot допоможуть дати повні відомості про тактику нападника. Розміщення honeypot всередині локальної мережі дасть уявлення про атаки зсередини мережі, а розміщення на загальнодоступних серверах цієї мережі або в DMZ — про атаки на незахищені мережеві служби, такі як: поштові сервіси, SMB, ftp-сервери і т. д.
Honeypot в локальній мережі
Honeypot може бути встановлений всередині локальної мережі (після firewall) — тобто на комп'ютерах локальної мережі та серверах. Якщо не здійснюється віддалене адміністрування мережі, то слід перенаправляти весь вхідний ssh-трафік на honeypot. Приймаючи мережевий трафік, система-пастка повинна протоколювати всі події, причому на низькому рівні. Honeypot — це не проста програма, яка записує логи сервера. Якщо зловмисник зміг отримати доступ до сервера, стерти всі логи йому не важко. В ідеалі всі події в системі повинні записуватися на рівні ядра.
Honeypot в DMZ
У демілітаризованій зоні або DMZ розташовуються загальнодоступні сервери. Наприклад, це може бути веб-сервер або поштовий сервер. Оскільки наявність таких серверів часто привертає увагу спамерів та зловмисників, необхідно забезпечити їхній інформаційний захист. Встановлення honeypot'а на сервері DMZ є одним з рішень цієї проблеми.
За відсутності виділеного веб-серверу, можна емулювати веб-служби за допомогою програмних honeypot’ів. Вони дозволяють в точності відтворити неіснуючий насправді веб-сервер та заманити зловмисника. Емуляція поштових та інших мережевих служб обмежується лише вибором конкретного програмного рішення.
Мережа з двома, трьома та більше honeypot'ами з визначення називається honeynet. Вона може бути відокремлена від робочої мережі. Керуючий трафік, що потрапляє в honeynet, повинен фіксуватися пастками цієї мережі.
Реалізації honeypot
Всі відомі honeypot можна поділити на 2 класи — відкриті та комерційні
| відкриті | комерційні |
|---|---|
| Bubblegum Proxypot | PatriotBox |
| Jackpot | KFSensor |
| BackOfficer Friendly | NetBait |
| Bait-n-Switch Архівовано 14 березня 2006 у Wayback Machine. | ManTrap |
| Bigeye | Specter |
| HoneyWeb | Honeypot Manager |
| Deception Toolkit | |
| LaBrea Tarpit | |
| Honeyd | |
| Sendmail SPAM Trap | |
| Tiny Honeypot |
Нижче наводиться коротке пояснення деяких реалізацій:
Deception Toolkit — найперший open-source honeypot, датований 1997 роком
HoneyWeb — емулює різні типи веб-сервісів
BackOfficer Friendly — honeypot для ОС Windows, може застосовуватися як HIPS
Honeyd — низькорівневий honeypot для Linux, здатний емулювати сотні ОС
Bubblegum Proxypot — open-source honeypot, застосовується для боротьби зі спамерами
Specter — комерційний низькорівневий honeypot для ОС Windows. Емулює 13 різних ОС.
Honeypot Manager — комерційний honeypot. Емулює сервер з встановленою СКБД Oracle.
Медове шифрування - система шифрування, яка в разі спроби розшифрування шифротексту з неправильним ключем дає правдоподібні, проте неправильні дані.
Посилання
- Види honeypot'ів(англ.)
- Проактивний захист від хакерів й інсайдерів(рос.) — стаття про принципи роботи та переваги Honeypot-систем, а також їхнє місце в загальній системі безпеки