Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.01.2024
Просмотров: 221
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
13
Основной задачей клиентского honeypot является имитация клиентского процесса. Такой вид honeypot позволяет проверять являются ли сервера, подключающиеся к нему, вредоносными с целью получения неавторизованного доступа. Так, клиентский honeypot стремится установить соединение с разними видами серверов. Если тот или иной подключившийся сервер начинает производить атаку на клиента или начинает отправлять вредоносные файлы, то honeypot-клиент сообщает это административному центру. Структура honeypot-клиента представлена на рисунке 4.
Рисунок 4 – Структура honeypot-клиента
В свою очередь задача серверного honeypot заключается в том, чтобы имитировать или моделировать разные виды сервисов для привлечения внимания злоумышленников. Такой вид honeypot дает возможность собирать информацию о злоумышленнике, об типе атак, инструментах, которые используют атакующие. Структура honeypot-сервера представлена на рисунке
5.
Рисунок 5 – Структура honeypot-сервера
14
Honeypot-сервер всегда находится в пассивном состоянии до тех пор, пока он не будет атакован. Поэтому важно настроить серверный honeypot таким образом, чтобы он привлек внимание атакующих.
2.5 Классификация honeypot по типу системы
В зависимости от типа системы, а также количества ресурсов, которые могут быть выделены для развертывания «приманок», различают физические и виртуальные honeypot-устройства [5].
Физические honeypot работают непосредственно на физических носителях и системах в зависимости от топологии сети. Данный вид устройств представляют из себя honeypot с высоким уровнем взаимодействия, поэтому они позволяют собирать большее количество данных о злоумышленниках и проводимых ими атаками. Несмотря на то, что такой вид honeypot можно выделить в отдельный сегмент сети для изоляции их от реальных хостов, для физических honeypot необходимо много производительных ресурсов для их развертывания и поддержания в рабочем состоянии.
Виртуальные honeypot же можно использовать на одном физическом хосте, при этом они требуют меньше ресурсов, а также более просты в настройке.
Также виртуальный honeypot может быть, как низкоинтерактивный, так и высокоинтерактивный.
Для реализации такого вида систем в настоящее время используются разные решения в области виртуализации. Основными из них являются
VMWare и Virtualbox. Также для развертывания honeypot может использоваться технология виртуализации на уровне ядра, например, KVM.
Для имитации работы сетевого оборудования на базе x86-систем могут быть также применены эмуляторы, например, QEMU. Кроме этого, все больше приобретает популярность виртуализация на основе технологии контейнеризации. Примерами таких решений являются LXC и Docker.
15
Большим преимуществом виртуальных honeypot состоит в том, что на их основе можно построить целую систему из honeypot. Такая система получила название honeynet. Данная технология является гибридной системой, состоящей из комбинации honeypot с высоким и низким уровнем взаимодействия и позволяющей большую свободу действий для злоумышленника с целью более детального сбора информации о нем. Пример конфигурации honeynet представлен на рисунке 6.
Рисунок 6 – Конфигурация honeynet
2.6 Классификация honeypot по цели применения
В зависимости от целей применения, которые ставятся перед развертыванием honeypot, существуют производственные и исследовательские honeypot [6].
Производственные honeypot-устройства используются в целях минимизации ущерба, который можно получить от существующих уязвимостей в системе, а также помогают принимать оптимальные меры по устранению таких уязвимых мест. Такие системы позволяют проверить корректность настройки межсетевого экрана, проколов безопасности и IDS- систем. Еще одна функция производственного honeypot заключается в том, что такая система привлекает атаки на определенную службу, которая имитирует
16
ее работу. Тем самым такой honeypot отвлекает злоумышленников от реальных систем, служб и хостов, установленных в сети, сохраняя их безопасность.
Исследовательский honeypot позволяет собирать большее количество информации о злоумышленниках, методах и средствах, которые они применяют, об инструментах, используемых ими. Такой вид honeypot позволяет подготовиться к будущим атакам, чтобы не пострадать от них. В своей сущности исследовательские honeypot-устройства дают возможность понять принцип проведения как существующих, так и новых видов атак. Такой вид «приманки» будет имитировать полную систему, а не только один сервис или службу. Поэтому большинство исследовательских honeypot являются высокоинтерактивными.
2.7 Классификация honeypot по виду размещения
В зависимости от физического местонахождения сети различают локальные и удаленные honeypot [3].
Локальный honeypot располагается непосредственно в сети, на которую будут направлены атаки злоумышленников. Такая система может имитировать какой-то внутрисетевой ресурс или службу.
Удаленный honeypot в свою очередь чаще всего располагается в DMZ.
Такая система будет собирать информацию о действиях злоумышленников на общедоступные ресурсы, например, на web-сервер с белым IP-адресом.
2.8 Классификация honeypot по закономерности развертывания
Под закономерностью развертывания понимается логическая взаимосвязь между honeypot и реальной сетевой инфраструктурой. Стратегию по развертыванию honeypot в данной классификации можно разделить на две категории: «минное поле» и «щит» [3].
17
При использовании концепции «минное поле» honeypot-устройства пассивно собирают данные. При развертывании «приманок» они чаще всего размещаются среди реальных систем и хостов, иногда полностью копируя некоторые из них. Таким образом, honeypot логически интегрированы в сетевую инфраструктуру. Им выдаются IP-адреса из числа неиспользуемых в сетевом пространстве. В результате применения такой концепции развертывания «приманок» honeypot-устройства собирают информацию не только о действиях злоумышленников, но и внутренних пользователях сети.
Пример развертывания honeypot по стратегии «минное поле» представлен на рисунке 7.
Рисунок 7 - Пример развертывания honeypot-устройства по стратегии
«минное поле»
Используя же концепцию развертывания honeypot-устройства «щит», honeypot будет действовать как «зеркало» той или иной системы. Так, если система будет регистрировать какие-либо действия, то весь трафик, исходящий от злоумышленника будет перенаправляться на honeypot, который в свою очередь будет анализировать всю деятельность нарушителя и позволит защитить реальный хост от компрометации. В данной концепции honeypot могут располагаться как в одном адресном пространстве с реальными системами и хостами, так и в выделенной подсети. Однако для реализации концепции «щит» необходимо использовать разные средства перенаправления
18
трафика, например, туннели NAT или GRE [3]. Пример развертывания honeypot-системы по стратегии «щит» представлен на рисунке 8.
Рисунок 8 - Пример развертывания honeypot-устройства по стратегии «щит»
Делая общий вывод по разным видам классификаций honeypot- технологий, можно утверждать, что наибольший интерес и значимость в настоящее время имеют динамические, исследовательские и виртуальные honeypot-технологии с высоким уровнем взаимодействия.
19 3 Проблемы, присущие honeypot-технологиям
Несмотря на то, что honeypot-устройства являются очень гибкими и мощными инструментами для защиты от несанкционированного доступа в сетевую инфраструктуру, существует ряд недостатков при их использовании.
Процесс настройки и конфигурирования. В силу своей сущности и функциональных возможностей, honeypot-технологии требуют хорошей классификации сотрудников, которые их развертывают. В связи с этим важно точно и правильно настроить honeypot, чтобы в дальнейшем злоумышленник не распознал в honeypot нереальную систему. Кроме этого, необходимо правильно выполнять и процесс реконфигурации honeypot, если он будет скомпрометирован.
Проблемы, связанные с компрометацией honeypot, могут решаться через использование технологии виртуализации, когда honeypot представлен в виде виртуальной машины. Однако сложность настройки «приманки» в данном случаи только возрастает.
Обнаружение. В процессе работы honeypot-системы важно, чтобы злоумышленник не обнаружил факт того, что находится в нереальной системе.
В зависимости от того, какого вида honeypot развернут в сетевом пространстве, существуют различные механизмы и методы, которые позволяют атакующим распознать реальную систему от honeypot.
Так, злоумышленник может обнаружить honeypot с низким уровнем взаимодействия, если «приманка» не поддерживает тот или иной функционал реальной службы или сервиса. Кроме этого, низкоинтерактивный honeypot можно обнаружить, если он неправильно настроен, например, honeypot работает на порту, несоответствующему реальной системе. Также по утверждению, которое выдвигается в работе «Virtual Honeypots: From Botnet
Tracking to Intrusion Detection» [7], реальные системы быстрее обрабатывают запросы, чем honeypot низкого уровня взаимодействия, в том числе при работе сервиса в многопоточном режиме.
20
При обнаружении же honeypot с высоким уровнем взаимодействия, злоумышленник будет искать уязвимые места для понимания того, находится ли он в реальной системе или нет. Если, же honeypot будет установлен в виде виртуальной системы, то злоумышленник может определить «приманку» по используемым именам устройств и сервисов, специфичному идентификатору процессора, МАС-адресу, а также по дополнительным характеристикам, которые характерны виртуальным машинам. Также реестр виртуальных устройств имеет определенные ключи, которые присущи только средствам виртуализации. Например, версия BIOS определяется ключом «System Product
Name». Обнаружив honeypot в виде виртуальной машины VMware, злоумышленник может увидеть в ключе версии BIOS запись вида «VMware
Virtual Platform», обнаружив же honeypot на базе виртуальной машины среды
VirtualBox, атакующий найдет запись «VBOX — 1». Еще одним фактором, который поможет обнаружить злоумышленнику виртуальный honeypot, является наличие у виртуальных машин вспомогательных процессов.
Кроме этого, многие виртуальные машины используют дополнения к гостевой операционной машине. Так, среда VirtualBox использует дополнение
«VBox Guest Addition».
Исходя из выше описанных проблем, можно сделать предположение, что средства виртуализации только увеличивают вероятность компрометации honeypot. Однако стоит заметить, что в настоящее время многие организации используют средства виртуализации для развертывания реальных систем с целью уменьшения производительных затрат. Так, например, в среде
«VMware vSphere» можно создать целую систему из виртуальных хостов, на которых будут работать различные реальные службы и сервисы. Поэтому использование виртуального honeypot приемлемо с учетом правильной его настройки. Кроме этого, сейчас возможно развертывание honeypot с использованием более новых технологий, таких как средства контейнеризации.
21
Безопасность. От безопасности honeypot зависит дальнейшая компрометация всей системы. Поэтому важно ещё при настройке honeypot использовать разные механизмы их защиты. Так, для низкоинтерактивных honeypot существует механизм chroot, который позволяет оградить систему, на которой размещена «приманка», от последствий компрометации сервиса или приложения, являющего honeypot с низким уровнем взаимодействия.
В случаи же высокоинтерактивных honeypot для снижения риска их компрометации необходимо сделать корректную настройку iptables, а также использовать разные виды межсетевых экранов.
Функциональность. Функциональность honeypot еще один фактор, который обуславливает корректную работу данной технологии. Так, важно, чтобы honeypot почти полностью повторял функционал той системы, работу которого он имитирует, вне зависимости какого вида honeypot
(высокоинтерактивный или низкоинтерактивный).
Гибкость. Если функциональность honeypot подразумевает полноту возможностей honeypot при имитации какой-либо системы, то гибкость подразумевает, насколько «приманка» может имитировать работу той или иной системы без привязки к какой-либо роли, например, honeypot в виде web- сервера, имитирующий работу уже ssh-сервера.
Делая выводы из выше описанных проблем honeypot, можно утверждать, что для снижения влияния проблем, связанных с использованием honeypot-технологий, необходимо учитывать все тонкости настройки и развертывания данного вида систем, а также использовать дополнительные технологии при их эксплуатации.
22 4 Процесс сбора и анализа информации, выполняемый honeypot- технологиями
Как было описано в разд. 1, одной из самых важных функций honeypot- устройства является сбор информации об проводимых атак, злоумышленниках, а также об используемых ими технологиях и средствах.
Поэтому важным аспектом перед развертыванием honeypot является определение списка информации, которую должна собирать honeypot-система о проводимых на нее атаках. На основе методики, сформулированной Р.
МакГрю [8], можно утверждать, что основными критериями, которые позволяют полностью описать атаку, производимую на honeypot, являются:
мотивация злоумышленника – определяет причину нападения;
ширина и глубина – определяет количество используемых инструментов для проведения атаки, а также степень влияния атаки на систему;
скрытность – определяет уровень сокрытия действий, проводимых злоумышленником при проведении атаки;
сложность – определяет опыт злоумышленника, проводившего атаку, а также его уровень знаний;
источник атаки
– определяет уровень идентификации злоумышленника;
уязвимость – определяет выявленный недостаток системы;
технологии – определяет список инструментов, используемых злоумышленником для проведения атак.
После формирования описания атаки необходимо также определить информацию об злоумышленнике, которую должен собирать honeypot. Так, к таким данным относятся:
IP-адрес злоумышленника или IP-префикс;
порт, на котором работает злоумышленник или на котором работает автоматизированное средство, контролируемое им;