Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf

23
 протокол передачи данных;
 дата и время атаки;
 имя домена;
 страна, откуда производится атака;
 User agent;
 операционная система;
 URL.
Однако собирая данную информацию, важно учитывать, что злоумышленник может использовать разные механизмы и средства скрытия информации о себе. Так, например, многие злоумышленники применяют в своей работе программное решение «Tor», а также используют поддельные IP- адреса других стран.
Заключительным списком данных, который должен формировать honeypot, должен быть список целей злоумышленников. Обычно целью для злоумышленника является:
 программное обеспечение;
 уязвимость в системе;
 сервис;
 прошивка;
 операционная система;
 аппаратное обеспечение;
 устройство целиком (такое возможно, если конкретный уровень архитектуры не определен).
Важно отметить, что все категории данных, которые должен собирать honeypot в процессе своей работы, изменятся в зависимости от его назначения и функциональных возможностей. Описанные выше списки информации об атаках, злоумышленниках и их целях являются наиболее полными и могут как расширяться, так и уменьшаться, исходя от цели использования и развертывания honeypot-системы.

24 5 Обзор существующих реализаций honeypot-систем
5.1 Программные реализации honeypot-систем с низким уровнем взаимодействия
В ходе обзора программных решений honeypot-систем были рассмотрены как реализации honeypot с низким уровнем взаимодействия, так и с высоким.
Реализаций honeypot-технологий с низким уровнем взаимодействия в настоящее время очень большое количество, однако наиболее распространёнными являются:
 Pentbox;
 Dionea;
 HoneyPy;
 HoneyD.
Pentbox - это набор программных решений для обеспечения безопасности, содержащий различные инструменты для оптимизации работы
PenTest, в том числе модуль Honeypot [9]. Данное ПО имеет только консольный интерфейс, что снижает удобство работы с ним. Модуль Honeypot может быть использован на разных портах системы, что существенно увеличивает гибкость данного инструмента в рамках его использования при настройке honeypot-технологий на реальной системе.
Однако производительность настроенного honeypot в Pentbox низкая. Кроме этого, возможность обнаружения honeypot при использовании Pentbox средняя.
Dionea [10] – модульная система, эмулирующая различные протоколы, такие как: SMB, HTTP, FTP, TFTP, MSSQL, VoIP, SIP.
Dionea имеет несколько вариантов вывода информации в процессе работы, как в графическом виде (имеет локальный web-интерфейс), так и консольном. Данная система имеет ряд недостатков при ее настройке и дальнейшем использовании, так как она работает только с версией python2,

25
которая на сегодняшний день уже устарела. Уровень обнаружения же данной реализации honeypot-системы - средний.
HoneyPy [11] представляет собой honeypot с низким и средним уровнем взаимодействия. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций. Данная реализация имеет ряд плагинов на языке Python, которые позволяют эмулировать разные TCP протоколы.
Настройка HoneyPy занимает определенное время, так как необходимо правильно сконфигурировать файл honeypot-системы. Данная система работает только через консоль, однако имеет графический интерфейс для сбора данных. Уровень обнаружения HoneyPy – низкий.
HoneyD - это система, которая позволяет создавать эмулируемую сеть, состоящую из множества компьютеров, с различными операционными системами и запущенными сетевыми приложениями [12]. Главным достоинством данной реализации является гибкость работы, так как она позволяет запускать сразу множество эмулируемых сервисов. Кроме этого, система позволяет симулировать TCP/IP стек различных ОС и сетевых устройств, а также имеет возможность работы одновременно с реальным запущенным приложением. Существенно недостатком HoneyD является сложность настройки по сравнению с предыдущими реализациями, так как занимает большее количество временных ресурсов на конфигурировании всех сервисов. Система имеет только консольный вариант работы, а уровень обнаружения данной системы –низкий.
Сравнительная характеристика реализаций honeypot-технологий с низким уровнем взаимодействия представлен в таблице 1.

26
Таблица 1 – Сравнение программных реализаций низкоинтерактивных honeypot
Программная реализация
Характеристика
Простота настройки и установки
Функциональные возможности
Удобство работы
Уровень обнаружения
Pentbox
Высокая
Средние
Низкое
Средний
Dionea
Средняя
Низкие
Высокое
Средний
HoneyPy
Средняя
Среднее
Среднее
Низкий
HoneyD
Низкая
Высокие
Среднее
Низкий
На основе описания о каждой программной реализации, а также сравнительной характеристики, можно сделать вывод, что наиболее эффективной honeypot-системой с низким уровнем взаимодействия для применения в условиях реальной системы будет система HoneyD. Однако стоит заметить, что в настоящее время honeypot с низким уровнем взаимодействия представляют меньший интерес, чем высокоинтерактивные honeypot-системы, так как данные устройства могут имитировать работу только одной службы или процесса, вследствие чего могут собирать меньше информации о злоумышленнике.
5.2 Программные реализации honeypot-систем с высоким уровнем взаимодействия
В настоящее время
«open-source» проектов в сфере высокоинтерактивных honeypot немного. Наиболее распространенными на сегодняшний день являются:
 T-Pot;
 LyreBird;
 DockPot;
 Modern Honey Network (MHN).

27
T-Pot – это высокоинтерактивный honeypot, представляющий собой модульную систему из множества docker-контейнеров [13]. Также T-Pot имеет следующие дополнительные инструменты:
 Cockpit – утилита для мониторинга производительности в режиме реального времени и в web-терминале;
 Cyberchef - web-приложение для шифрования, кодирования, сжатия и анализа данных;
 Kibana – инструмент для визуализации в графическом виде данных.
 Elasticsearch - web-интерфейс для просмотра результатов работы honeypot;
 Fatt – скрипт для извлечения метаданных сети из файлов типа «pcap» и сбора сетевого трафика;
 Spiderfoot – инструмент для автоматизации процесса «OSINT»;
 Suricata – механизм мониторинга сетевой безопасности.
Структура T-Pot представлена на рисунке 9.
Рисунок 9 – Архитектура honeypot «T-pot»
Установка «T-pot» может производиться либо с помощью готового ISO- образа, либо в дистрибутиве Debian 10 на основе cклонированного git- репозитория. При этом «T-pot» можно устанавливать как в виде реального

28
хоста, так и виртуальной машины. Единственным условием при установке данного ПО на виртуальную машину является прямое подключение к сети через мост («bridged»). Необходимые системные требования для «T-pot» можно найти в git-репозитории проекта [13].
В то же время «T-pot» нельзя установить на другой дистрибутив Linux.
Так, например, при установке данной honeypot-системы в Kali Linux 20.04, возникает ошибка при запуске bash – скрипта, отвечающего за установку
T-pot.
После завершения установки T-pot создается два web-приложения
(административная консоль и пользовательская система со всеми инструментами). Доступ к web-приложениям можно получить через браузер, введя IP-адрес хоста и указав порт, на котором размещена та или иная система.
В результате установки и настройки создается высокоинтерактивный honeypot c открытыми портами в диапазоне от 21 до 65389. В рамках дополнительного конфигурирования, некоторые порты можно закрыть.
Подробную информацию о нарушителях, проводимых ими атак, можно получить в интерфейсе службы «Kibana».
На основе выше описанной информации можно сделать следующие выводы о данной системе. Достоинством T-pot является его функциональные возможности для развертывания honeypot с высоким уровнем взаимодействия.
Данная модульная система имеет множество низкоинтерактивных honeypot, а также дополнительные инструменты для сбора информации о нарушителях и векторах атак. Процесс настройки и установки данной системы не сложен, однако есть недостаток в виде установки либо только из ISO-образа, либо только на дистрибутив Debian 10. На другие дистрибутивы Linux данная система не устанавливается. Кроме этого, в процессе эксплуатации системы, было замечено, что некоторые сервисы нестабильно работают, что ухудшает целостность и доступность системы.
Еще одним недостатком является то, что при первоначальной конфигурации системы, практически все порты у honeypot с высоким уровнем

29
взаимодействия будут открыты. Такой вид honeypot в большинстве случаев спугнет нарушителя дальше действовать на систему, так как в реальности нет таких хостов, где были бы открыты все известные порты.
LyreBird – это фреймворк для развертывания honeypot с высоким уровнем взаимодействия [14]. Данное ПО позволяет регистрировать все атаки нарушителей в реальном времени, а также позволяет обнаруживать атаки
«человек по середине» из-за специфики своей сборки. Вся информация о векторах атак и злоумышленниках собирается в дамп файл, а также в html- отчет.
Сама же система представляет собой Docker-контейнер. Пример установки и запуска LyreBird на дистрибутиве Kali Linux 20.04 представлен на рисунке 10.
Рисунок 10 – Процесс развертывания LyreBird
В результате установки LyreBird запускается Docker-контейнер, который представляет собой высокоинтерактивный honeypot с открытым 22 портом для перехвата атак «человек по середине».
Достоинством данной системы является то, что она собрана в виде docker-образа, который можно развернуть на любом дистрибутиве Linux.
Однако документация, приложенная к проекту на ресурсе hub-docker, не актуальная на сегодняшний день. Git-репозиторий проекта LyreBird не доступен, а последнее обновление производилось в 2016 году. Еще одним плюсом системы является то, что LyreBird единственный honeypot с высоким

30
уровнем взаимодействия, которое позволяет перехватывать атаки типа «man- in-the-middle». Скомпрометировать honeypot, созданный с помощью LyreBird, сложно, так как на нем открыт только один 22 порт, отвечающий за ssh- соединение. Все попытки ввести нелегальные данные для авторизации по ssh или провести атаки брутфорса пароля пользователя регистрируются данной системой. Кроме этого, так как LyreBird выполнен в виде docker-образа, то безопасность высокинтерактивного honeypot также увеличивается. LyreBird во время тестирования стабильно работал, однако при завершении работы с docker-контейнером, его необходимо удалить из репозитория запущенных контейнеров и заново собрать.
Недостатком данной системы является сложность ее настройки, так как она уже представлена в готовом docker-контейнере, который сложно пересобрать. Заявленный же в документации к проекту конфигурационный файл «docker-compose.yml» отсутствует. Кроме этого, при окончании работы
LyreBird не создает html-отчет, о котором также говорится в документации.
DockPot – это высокоинтерактивный ssh-honeypot, основанный на docker-контейнере. Данное ПО представляет собой NAT-устройство, которое имеет возможность выступать в качестве ssh-прокси между злоумышленником и honeypot с возможностью регистрации действий злоумышленника [15].
Dockpot основан на honeypot «Honssh» с некоторыми изменениями для запуска docker-контейнеров при новых соединениях. Кроме этого, Dockpot имеет в своем составе низкоинтерактивный honeypot – Kippo. Процесс установки Dockpot в дистрибутиве Kali Linux 20.04 представлен на рисунке 11.
Рисунок 11 - Процесс развертывания Dockpot

31
В процессе установки Dockpot необходимо собирать два docker- контейнера, один из которых является ssh-сервером, а другим honeypot
Dockpot.
Достоинством Dockpot является то, что он представлен в виде docker- контейнера, что облегчает процесс установки данной системы на любом дистрибутиве Linux. Однако сравнивая с тем же LyreBird, который также выполнен в виде контейнера, для Dockpot необходимо создать дополнительный docker-контейнер в виде ssh-сервера. Dockpot также, как и
LyreBird давно не обновлялся, последние изменения проекта на github зафиксированы в 2015 году. Система имеет только открытый 22 порт, собрана в виде docker-образа, поэтому скомпрометировать honeypot будет сложно.
Большим недостатком данного решения honeypot с высоким уровнем взаимодействия является то, что данные о злоумышленниках, фиксируются только в логах контейнера. Никакого графического представления собранной информации или отчета Dockpot не предусматривает. Также при тестировании
Dockpot не всегда стабильно работал, так как docker-контейнер, отвечающий за ssh-сервер, не всегда мог установить соединение с docker-контейнером honeypot.
MHN – Modern Honey Network – это высокоинтерактивный honeypot, представляющий собой централизованный сервер для управления и сбора данных [16]. MHN позволяет быстро развертывать разные сервисы и службы, а также собирать данные, которые можно просматривать с помощью web- интерфейса. Некоторые сервисы и службы MHN являются honeypot с низким уровнем взаимодействия, такие как: Snort, Cowrie, Dionaea, glastopf и другие.
Для удобства использования Modern Honey Network собран в виде web- приложения, написанном на фреймворке Flask [16]. Web-интерфейс позволяет собирать и разворачивать низкоинтерактивные honeypot, регистрировать и просматривать списки атак, формировать и сохранять отчеты о вторжениях, а также о злоумышленниках. В соответствии с документацией на данное ПО сервер MHN поддерживает работу на дистрибутивах Linux Ubuntu 18.04,

32
Ubuntu 16.04 и Centos 6.9. Процесс установки, настройки и запуска данной системы представлен на рисунке 12.
Рисунок 12 – Процесс развертывания Modern Honey Network
Достоинством MHN является его стабильная работа. Система позволяет в разном виде собирать всю информацию о проводимых атаках на honeypot и выводить пользователю в удобном для него виде в web-интерфейсе. Еще одним плюсом данного решения honeypot с высоким уровнем взаимодействия является то, что установка и настройка не занимают больших временных и технических затрат. Также имеется система авторизации пользователя при входе на web-интерфейс honeypot. Еще одним плюсом данной системы является то, что набор программных компонентов в составе высокоинтерактивного honeypot для сбора информации об атаках и злоумышленниках довольно обширный.
Кроме этого, есть возможность установки Modern Honey Network в виде docker-контейнера. Однако процесс стабильного развертывания MHN возможен только на некоторых дистрибутивах Linux. Например, на дистрибутиве Kali Linux 20.04 не получится развернуть данный honeypot, так как MHN работает с системой управления пакетами python-pip, а в Kali Linux
20.04 возможна работа только с версией python-pip3.
Общая сравнительная характеристика реализаций honeypot-технологий с высоким уровнем взаимодействия представлена в таблице 2.