Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf

2
Оглавление
Введение ................................................................................................................... 4 1 Общие сведения о honeypot-технологиях .......................................................... 6 2 Описание классификации honeypot-технологий ............................................... 9 2.1 Классификационные признаки honeypot-устройств ............................ 9 2.2 Классификация honeypot по уровню интерактивности ...................... 9 2.3 Классификация honeypot по уровню адаптивности .......................... 12 2.4 Классификация honeypot по предназначению в сетевой инфраструктуре ..................................................................................................... 12 2.5 Классификация honeypot по типу системы ........................................ 14 2.6 Классификация honeypot по цели применения .................................. 15 2.7 Классификация honeypot по виду размещения .................................. 16 2.8 Классификация honeypot по закономерности развертывания .......... 16 3 Проблемы, присущие honeypot-технологиям .................................................. 19 4 Процесс сбора и анализа информации, выполняемый honeypot- технологиями ......................................................................................................... 22 5 Обзор существующих реализаций honeypot-систем ...................................... 24 5.1 Программные реализации honeypot-систем с низким уровнем взаимодействия ...................................................................................................... 24 5.2 Программные реализации honeypot-систем с высоким уровнем взаимодействия ...................................................................................................... 26 6 Разработка honeypot-системы ........................................................................... 37 6.1 Вводные данные для разработки высокоинтерактивной honeypot- системы ................................................................................................................... 37 6.2 Архитектура системы ........................................................................... 39 6.3 Алгоритм работы honeypot-системы ................................................... 41 6.4 Реализация модели высокоинтерактивной honeypot-системы ......... 43 6.4.1 Описание архитектуры разработанной модели honeypot- системы ................................................................................................................... 43

3 6.4.2 Разработка модуля, реализующего механизм «обмана» злоумышленника ................................................................................................... 44 6.4.3 Разработка модуля обнаружения факта атаки на honeypot- систему ................................................................................................................... 46 6.4.4 Разработка модуля сбора и визуализации данных о действиях злоумышленника ................................................................................................... 48 6.4.5 Разработка модуля управления honeypot-системой ................. 52 7 Разработка стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы .................................................................................................. 55 7.1 Состав разрабатываемого стенда ........................................................ 55 7.2 Подготовка виртуального стенда ........................................................ 57 7.3 Состав учебных заданий по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы .............................................. 58 8 Описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой .......................................................... 60 9 Проверка работоспособности учебной модели высокоинтерактивной honeypot-системы .................................................................................................. 98 10
Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие ....................... 99
Заключение .......................................................................................................... 102
Список используемых источников .................................................................... 104
Приложение А. Алгоритм работы honeypot-системы ..................................... 107
Приложение Б. Dockerfile разработанного docker-контейнера ...................... 109
Приложение В. Файлы конфигурации стека «Loki» ....................................... 110
Приложение Г. Код bash-скрипта «honeypot.sh» ............................................. 112

4
Введение
В настоящее время обеспечение безопасности сетевой инфраструктуры является важнейшей задачей любой организации, так как увеличивается число пользователей и систем, имеющих сетевую связь между собой. Поэтому сотрудники служб и отделов информационной безопасности постоянно стремятся усовершенствовать механизмы защиты, чтобы наилучшим образом подготовиться к моменту действий злоумышленников на объекты сетевой инфраструктуры [1]. Однако способы и методы проведения сетевых атак меняются с каждым днем, поэтому построить полностью безопасную сетевую инфраструктуру очень трудоёмко, а иногда просто невозможно.
В этой связи, наилучшей стратегией по обеспечению безопасности сетевого пространства является рассмотрение вопросов, касающихся анализа уязвимостей, которые могут быть использованы злоумышленниками для проникновения в сеть организации. Также важно иметь представление о типах атак, используемых злоумышленниками, средствах и методах, которые они используют. Все это позволит противостоять сетевым атакам в режиме реально времени [2]. Одним из технических средств, которое поможет реализовать описанную выше стратегию противостояния сетевым атакам, а также позволит снизить риск несанкционированного доступа в сеть, являются honeypot-системы.
Выпускная квалификационная работа посвящена возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Актуальность темы выпускной квалификационной работы обуславливается тем, что в настоящее время использование только классических механизмов обнаружения и предотвращения вторжений не дает возможности собирать в режиме реального времени точную информацию об этапах проводимых атак на объекты сетевой инфраструктуры, о злоумышленниках и инструментарии, которые они применяют. Такую

5
возможность как раз дают honeypot-технологии, в особенности honeypot- устройства с высоким уровнем взаимодействия.
Целью данной выпускной квалификационной работы является разработка учебной модели высокоинтерактивной honeypot-системы для изучения механизмов обнаружения атак на сетевую инфраструктуру.
В ВКР должны быть рассмотрены следующие вопросы:
 описание классификации honeypot-технологий;
 обзор существующих реализаций honeypot-систем;
 разработка модуля управления honeypot-системой;
 разработка модуля обнаружения факта атаки на honeypot-систему;
 разработка модуля сбора и визуализации данных о действиях злоумышленника;
 разработка модуля, реализующего механизм
«обмана» злоумышленника;
 описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой;
 проверка работоспособности учебной модели высокоинтерактивной honeypot-системы на основе разработанных заданий, приведенных в рекомендациях для учебных занятий;
 вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие.

6 1 Общие сведения о honeypot-технологиях
По определению, которое было сформулировано Лансом Шпицнером, основателем Honeypot Technology [3], honeypot – это ресурс информационной системы, ценность которого заключается в его несанкционированном или незаконном использовании. Honeypot-технологии представляют собой приложение или систему с заранее созданными уязвимыми местами с целью привлечения внимания злоумышленника. Такими уязвимыми местами могут быть ненужные открытые порты, устаревшие версии программного обеспечения, слабые пароли учетных записей пользователей, старые незащищенные ядра операционных систем и многое другое [4]. Пример топологии сетевой инфраструктуры с honeypot-устройством представлен на рисунке 1.
Рисунок 1 – Пример топологии сетевой инфраструктуры с honeypot- устройством
Технологии honeypot отличаются от классических средств обеспечения безопасности тем, что они не призваны решать какую-либо конкретную задачу.
Межсетевые экраны чаще всего устанавливаются по периметру организации, чтобы заблокировать несанкционированный доступ путем

7
фильтрации сетевого трафика на определенных портах [5]. Однако данные средства не имеют возможности анализировать трафик. Их функциональность ограничивается блокированием доступа к определенной службе для предотвращения нежелательного трафика, однако в то же время межсетевые экраны блокируют любой и другой трафик, если он поступает даже от проверенного источника. Honeypot-технологии в свою очередь устроены таким образом, что у таких систем порты всегда открыты, для того чтобы захватывать как можно больше входящего трафика для дальнейшего анализа проводимых сетевых атак.
Системы обнаружения вторжений (IDS) используются для оценки входящего трафика с целью обнаружения любых несоответствующих или аномальных действий и ситуаций в сетевом пространстве [5]. Однако IDS- системы имеют недостаток, связанный с ложными предупреждениями таких технологий. Это может привести к тому, что технологии обнаружения вторжений могут срабатывать на действия не только злоумышленников, но и на действия авторизованных пользователей. По сравнению с IDS-системами honeypot-технологии имеют большое преимущество в том, что они никогда не генерируют ложные предупреждения, так как в их сущности (такое устройство является «приманкой») заложено, что любой наблюдаемый и обрабатываемый трафик является подозрительным.
Системы предотвращения вторжений (IPS), состоящие из межсетевого экрана и IDS-системы, могут анализировать трафик и блокировать вредоносные программы и данные. Такие системы действуют как «защитный щит» от сетевых атак, однако IPS-системы не могут определять, используется ли созданный запрос на уровне приложений модели OSI с целью несанкционируемого получения данных [5]. Данный недостаток потенциально может привести к атакам, будучи не обнаруженным системой предотвращения вторжений. Например, с помощью атаки методами социальной инженерии злоумышленник получит доступ к конфиденциальной информации с помощью переданных легитимным пользователем логина и пароля. Honeypot-

8
технологии в свою очередь собирают всю информацию об атаках злоумышленников и могут быть использованы для создания контрмер на их действия.
Делая общий вывод, можно утвердить, что honeypot – это гибкое средство, которое может быть применено в различных ситуациях для поддержания безопасности сетевой инфраструктуры организации, а также для выявления и определения разных методов проникновения и взлома систем, используемых в организации.
Функциями honeypot-технологий являются:
 регистрация и контроль данных в сети организации;
 обнаружение разных видов атак с целью исследования новых видов угроз на систему;
 идентификация злоумышленников и информации о них;
 сбор и анализ информации о средствах и технологиях, применяемых злоумышленниками, в том числе сбор информации об атаках, проводимых только с помощью автоматизированных средств;
 исследование действий злоумышленников в скомпрометированной среде с целью предотвращения в будущем разных векторов атак.

9 2 Описание классификации honeypot-технологий
2.1 Классификационные признаки honeypot-устройств
В настоящее время honeypot-технологии можно классифицировать по:
 уровню интерактивности;
 уровню адаптивности;
 по предназначению в сетевой инфраструктуре;
 по типу системы;
 по цели применения;
 по виду размещения;
 по закономерности развертывания.
Рассмотрим разновидности honeypot-технологий по данным признакам.
2.2 Классификация honeypot по уровню интерактивности
Интерактивность определяет степень взаимодействия злоумышленника и средства, применяемого в качестве honeypot-технологии. Существуют honeypot c низким и высоким уровнем взаимодействия.
Honeypot с низким уровнем взаимодействия (низкоинтерактивные honeypot) чаще всего используется, как средство для имитации какой-либо реальной системы или приложения. Это может быть операционная система, сервер баз данных, web-сервер или сетевое приложение [4]. Структура honeypot с низким уровнем взаимодействия представлена на рисунке 2, а также в графической части на плакате «Структура honeypot-системы с низким и высоким уровнем взаимодействия».

10
Рисунок 2 – Структура honeypot с низким уровнем взаимодействия
Преимуществом honeypot-технологий с низким уровнем взаимодействия является простота их настройки и развертывания, данный тип honeypot менее ресурсоемкий по сравнению с honeypot-технологиями с более высоким уровнем взаимодействия. Кроме этого, еще одним преимуществом низкоинтерактивных honeypot заключается в отсутствии реальных рисков для сети, так как они представляют собой нереальный сервис или службу. Однако из этого преимущества вытекают и недостатки такого вида honeypot.
Honeypot-технологии с низким уровнем взаимодействия очень легко могут быть обнаружены, так как сервис или служба в виде honeypot никогда не ответит на запрос злоумышленника, ведь такой сервис лишь имитирует свою работу. Также такой вид honeypot-технологии не позволяет получать большое количество информации об атакующем, об видах и средствах, которые он использует для проведения атак. Еще одним недостатком honeypot с низким уровнем взаимодействия является то, что такие системы не могут реагировать на созданные злоумышленником эксплойты. Вследствие чего это ограничивает сотрудников служб информационной безопасности обнаружить и проанализировать новые уязвимости и вектора атак.
Honeypot-технологии с высоким уровнем взаимодействия чаще всего представляют собой отдельный хост или устройство, расположенное внутри корпоративной сети, но не участвующее в информационных процессах [4].
Данный вид honeypot предназначен не для того, чтобы эмулировать определенные сервисы или службы, а для того, чтобы представлять для злоумышленника видимую системы для атаки. Такой подход снижает вероятность того, что нарушитель поймет, что действует с нереальной системой. Структура высокоинтерактивного honeypot представлена на

11
рисунке 3, а также в графической части на плакате «Структура honeypot- системы с низким и высоким уровнем взаимодействия».
Рисунок 3 – Структура honeypot с высоким уровнем взаимодействия
Преимущество высокоинтерактивных honeypot состоит в том, что такая разновидность honeypot позволяет собирать всю информацию об злоумышленниках, об этапах выполняемых атак, средствах и методах, используемых атакующими для несанкционированного доступа и раскрытия конфиденциальной информации, а также возможных уязвимостях в корпоративной инфраструктуре. Кроме этого, преимуществом honeypot c высоким уровнем взаимодействия является то, что данные средства позволяют сотрудникам отдела безопасности организации реагировать на инциденты безопасности в режиме реального времени, то есть в момент, когда злоумышленник продолжает проводить атаку. Также, в отличие от honeypot с низким уровнем взаимодействия, высокоинтерактивные honeypot могут противостоять атакам «нулевого дня» [2].
Однако honeypot высокого уровня взаимодействия имеют и ряд недостатков. Главный из них заключается в том, что, если система в виде honeypot будет скомпрометирована, то она может быть использована как средство для проведения атак «пост-эксплуатации», то есть для дальнейшего проникновения в реальную сеть организации, а также закрепления в этой

12
системе. Еще одним недостатком такого вида honeypot является то, что необходимы значительные временные и технические ресурсы для развертывания высокоинтерактивного honeypot, а также хорошая квалификация сотрудников, выполняющих их настройку.
2.3 Классификация honeypot по уровню адаптивности
Адаптивность определяет возможность изменения конфигурации honeypot-технологии. С точки зрения уровня адаптивности honeypot бывают статическими и динамическими [3].
Статический honeypot заранее настраивается специалистами по информационной безопасности, которые определяют конфигурацию
«приманки» и затем развертывают honeypot в сетевой инфраструктуре.
Главным недостатком статического honeypot заключается в том, что данный вид «приманки» нельзя модифицировать или изменить. Для перенастройки статического honeypot специалистам, которые настраивали его, приходится повторно разворачивать данный honeypot. Также статическая конфигурация honeypot не имеет возможности давать мгновенный ответ на вторжение в данную систему.
Honeypot, которые в свою очередь автоматически подстраиваются под изменения конфигурации, называются динамическими. Такой вид систем дает возможность настраивать их в режиме реального времени в результате запроса управления, например, администратором, или ответа на какое-то событие в сети (несанкционированный доступ).
2.4 Классификация honeypot по предназначению в сетевой инфраструктуре
В зависимости от своего предназначения в топологии сети, различают honeypot-клиент и honeypot-сервер [2].