Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.01.2024
Просмотров: 226
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
33
Таблица 2 – Сравнение программных решений высокоинтерактивных honeypot
Программ- ная реализация
Характеристика
Функциональные возможности
Простота настройки и установки
Удобство использования
Уровень возможной компрометации
T-Pot
Высокие. Имеет большое количество низкоинтерактив- ных honeypot и инструментов для сбора информации об атаках и злоумышленниках
Высокая.
Имеет готовый iso-образ для развертывания, а также есть возможность установки на готовый дистрибутив
Linux.
Высокое.
Существует web- приложение с разными инструментами, которые позволяют отслеживать всю информацию об злоумышленни- ках и проводимых ими атаках в разном представлении
(таблицы, графики и т.д.)
Высокий.
При первоначальной конфигурации honeypot имеет более
6000 открытых портов.
Lyrebird
Средние.
Достоинством данной реализации является то, что она может перехватывать атаки «человек по середине»
Средняя.
Установка данной системы происходит через docker- контейнер.
Однако существует сложность при изменении
Низкая.
Информация с honeypot собирается только в дамп- файл.
Заявленный процесс создания html- отчета в документации на
Низкий в силу использованию технологии контейнериза- ции, а также использования только ssh-порта для отслеживания проводимых атак на систему
34
Продолжение таблицы 2
Программ- ная реализация
Характеристика
Функциональные возможности
Простота настройки и установки
Удобство использования
Уровень возможной компрометации конфигурацион ного файла honeypot в связи с спецификой docker-образа проект не работает
Dockpot
Низкие.
Есть только возможности по прослушиванию ssh-сессий
Низкая.
Для развертывания необходимо развернуть
2 docker- контейнера, при этом не каждый docker- образ ssh- сервера подойдет для контейнера системы
Dockpot
Низкая.
Информация о проводимых атаках и злоумышленни- ках можно наблюдать только в лог- файлах
Низкий в связи с использованием технологии контейнериза- ции
MHN
Высокие. Имеет достаточное количество низкоинтерактив- ных honeypot и инструментов для фиксации проводимых на систему атак
Высокая.
Установка происходит с помощью bash- скрипта, при запуске которого можно указать все
Высокая.
Используется web-приложение для подробного анализа собранной информации с honeypot
Средний.
Первоначально система устанавливается на реальную систему с web- приложением, которое можно
35
Продолжение таблицы 2
Программ- ная реализация
Характеристика
Функциональные возможности
Простота настройки и установки
Удобство использования
Уровень возможной компрометации
(более
15 разновидностей) необходимые конфигурацион ные данные для развертывания системы скомпрометиро- вать.
Однако существует возможность запуска и установки MHN в виде docker- контейнера
На основе описания о каждой программной реализации, а также сравнительной характеристики, можно сделать вывод, что наиболее эффективной honeypot-системой с высоким уровнем взаимодействия является система Modern Honey Network. Процесс ее установки и настройки довольно прост. Система может устанавливаться как на готовую систему под управлением ОС Ubuntu Linux или Centos, так и в виде docker-контейнера.
Также плюсом данной системы является то, что на сегодняшний день она поддерживается разработчиками, выходят новые версии (в отличии от Dockpot и Lyrebird). Кроме этого, как показал опыт, MHN работает более стабильно, чем программная реализация высокоинтерактивного honeypot – T-pot.
Однако MHN по своей сути не является точным воплощением honeypot с высоким уровнем взаимодействия. Данная система представляет из себя набор большого количества низкоинтерактивных honeypot, которые хотя и позволят собрать нужную информацию о злоумышленнике, функционал honeypot с высоким уровнем взаимодействия не смогут повторить.
В результате можно, сделать вывод, что большинство описанных высокоинтерактивных honeypot-систем, хотя и являются общедоступными для использования, но при этом давно разработаны и не поддерживаются
36
разработчиками, а также имеют недостатки в стабильности своей работы.
Многие из описанных систем имеют свои плюсы, такие как: использование современной технологии контейнерной виртуализации, сбор, анализ и визуализация данных, зарегистрированных honeypot-системой. Однако данные плюсы имеет каждая описанная «open-source» honeypot-система по отдельности, поэтому разработка высокоинтерактивной honeypot-системы, сочетающая все плюсы описанных систем, является актуальной.
37 6 Разработка honeypot-системы
6.1 Вводные данные для разработки высокоинтерактивной honeypot-системы
Перед тем как разрабатывать модель высокоинтерактивной honeypot- системы с целью дальнейшего исследования сетевых атак, важно определить схему вторжения злоумышленника в высокоинтерактивную honeypot-систему.
Поэтому была разработана схема вторжения злоумышленника в высокоинтерактивную систему, которая представлена на рисунке 13, а также в графической части на плакате «Схема вторжения злоумышленника в высокоинтерактивную honeypot-систему».
Рисунок 13 – Схема вторжения злоумышленника в высокоинтерактивную honeypot-систему
Исходя от схемы вторжения, можно также определить и алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему.
Алгоритм позволит определить этапы проведения атак, что даст построить более эффективную систему, которая будет собирать всю необходимую информацию о злоумышленнике. Алгоритм поведения злоумышленника представлен на рисунке 14, а также в графической части на плакате «Алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему».
38
Рисунок 14 – Алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему
Алгоритм поведения злоумышленника в ходе проведения атаки на высокоинтерактивную систему наглядно показывает, что большинство атак имеют 4 этапа, в ходе которых злоумышленник собирает информацию об интересующем объекте, пробует получить доступ к нему и в случае успешного вторжения делает попытки закрепиться в системе. Еще одним видом атак, которые может проводить злоумышленник, являются атаки отказа в обслуживании системы (DDoS-атаки).
Схема вторжения и алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему дают возможность определить, что в ходе разработки модели высокоинтерактивной honeypot-системы с высоким уровнем взаимодействия не следует использовать реальную хостовую систему. Кроме этого, при разработке honeypot-системы необходимо скрыть важные файлы и директории, а также не использовать учетную запись суперпользователя системы или учетную запись пользователя с правами
«sudo». Однако в то же время важно установить и использовать реальные
39
средства и программы в высокоинтерактивной системе, а не низкоинтерактивные honeypot-устройства или средства имитации работы сервисов, для того чтобы злоумышленник не заподозрил, что работает с honeypot-системой.
6.2 Архитектура системы
Разработанная система представляет собой высокоинтерактивную honeypot-систему, которая может применяться в исследовательских целях для определения действий злоумышленников, выполняемых ими на разных этапах сетевых атак. Архитектура разработанной высокоинтерактивной honeypot- системы представлена на рисунке 15, а также в графической части на плакате
«Архитектура высокоинтерактивной honeypot-системы».
Рисунок 15 – Архитектура высокоинтерактивной honeypot-системы
Разработанная система реализована по концепции развертывания honeypot-систем «щит», то есть злоумышленник в ходе проведения атак будет взаимодействовать не с хостовой системой, а c docker-контейнером (модулем, реализующим механизм «обмана» злоумышленника
)
. Хостовая система, в свою очередь, будет выполнять роль прокси-сервера с модулем управления honeypot-системой, модулем обнаружения атак на всю систему, модулем сбора
40
и визуализации данных, собираемых из docker-контейнера, а также модулем очистки контейнера.
Рассмотрим архитектуру высокоинтерактивной honeypot-системы. В процессе описания архитектуры будут определены основные принципы функционирования каждого модуля без уточнения реализации. Описание деталей реализации представлено в п. 6.4.
1 2 3 4 5 6
Модуль управления honeypot-системой. Роль данного модуля состоит в том, чтобы выполнять запуск и остановку других модулей honeypot-системы.
Получая ту или иную команду, данный модуль проверяет запущен ли определенный модуль honeypot-системы, и если он не работает, то производит его запуск. Кроме этого, данный модуль реализовывает возможность подключение злоумышленника через ssh-сессию к компоненту honeypot- системы, реализующему механизм «обмана» злоумышленника, то есть к docker-контейнеру. Для этого модуль управления honeypot-системой переадресовывает весь трафик, идущий на хостовую машину, в docker- контейнер. Также данный модуль honeypot-системы после завершения своей работы производит очистку тех или иных данных, чтобы освобождать системные ресурсы от неактивных или неиспользуемых модулей системы, а также чтобы не нарушать работоспособность хостовой машины.
Технология Docker. Данное программное обеспечение позволит управлять (создавать, конфигурировать, удалять, проводить мониторинг) контейнером, который используется в качестве модуля, реализующего механизм «обмана» злоумышленника.
Модуль, реализующий механизм «обмана» злоумышленника.
Данный модуль представляет собой docker-контейнер. Выбор механизма контейнерной виртуализации для данного модуля обусловлен тем, что контейнер на основе технологии docker может представлять из себя полноценную рабочую систему, что повысить уровень взаимодействие с злоумышленником. В то же время docker-контейнер позволит сэкономить производственные ресурсы, а также обезопасит хостовую систему от
41
компрометации. Также для привлечения внимания злоумышленника в docker- контейнер будут установлены несколько видов сервисов и служб (ssh-сервер, web-сервер и другие). Также контейнер будет иметь ряд уязвимостей, что позволит исследовать действия злоумышленника в режиме реального времени, так как все действия, проводимые с docker-контейнером, будут регистрироваться с помощью модуля обнаружения факта атаки.
Модуль обнаружения факта атаки на honeypot-систему. Роль данного модуля состоит в том, чтобы регистрировать все события, связанные с атаками на систему, а также действиями злоумышленника, которые они выполняют в ходе проведения данных атак. Информацией, которая относится к данным событиям, является как обычный сетевой трафик и сетевые соединения, например, ssh-соединение, так и любые попытки авторизации в системе, а также команды и действия, выполняемые злоумышленниками в момент проникновения в систему.
Модуль
сбора
и
визуализации
данных
о
действиях
злоумышленника. Данный модуль выполняет функции сборщика всей зарегистрированной информации, которая была получена с помощью модуля обнаружена факта атаки на систему. Сбор информации происходит в специально-созданные log-файлы. После сбора всех данных в log-файлы собранная информация централизованно передается в web-интерфейс для дальнейшего анализа. Важно, чтобы данный модуль собирал информацию, которая позволила бы давать представление об IP-адресе злоумышленника, времени, в которое проводилось то или иное действие нарушителя, а также целях злоумышленника (сервисы и службы, на которые производятся атаки).
6.3 Алгоритм работы honeypot-системы
Алгоритм работы высокоинтерактивной honeypot-системы представлен на рисунке А1 приложения А, а также в графической части на плакате
«Алгоритм работы высокоинтерактивной honeypot-системы».
42
Модуль управления honeypot-системой проверяет не запущен ли модуль, реализующий механизм «обмана» злоумышленника в виде docker- контейнера. Если модуль управления honeypot-системой не находит образ контейнера, он завершает работу всей honeypot-системы.
В случае нахождения образа docker-контейнера модуль управления honeypot-системой производит запуск модуля, реализующего механизм
«обмана» злоумышленника, тем самым, делая хостовую систему доступной для подключения злоумышленника по определенному порту.
Для перенаправления попыток получения доступа к хостовой системе в модуль, реализующий механизм «обмана» злоумышленника, то есть в docker- контейнер, модуль управления honeypot-системой создает правила переадресации входящего трафика и межсетевого экранирования. Далее модуль управления honeypot-системой запускает модуль обнаружения факта атаки. В случаи сетевой или системной активности в docker-контейнере, данный модуль начинает регистрировать все события. Модуль сбора и визуализации данных, который также запускается модулем управления honeypot-системой, собирает всю необходимую информацию. После этого собранная информация передается в web-интерфейс с помощью того же модуля сбора и визуализации данных.
После запуска всех модулей компонент управления honeypot-системой ждет ответа от пользователя для завершения работы honeypot-системы. В случае ввода команды по завершению работы, модуль управления honeypot- системой останавливает работу других модулей системы, производит очистку docker-контейнера, а также всех правил переадресации и межсетевого экранирования. В случае же команды перезапуска модуль управления honeypot-системой производит все команды, описанные выше, после чего вновь запускает свою работу и других модулей системы.
43 6.4 Реализация модели высокоинтерактивной honeypot-системы
6.4.1 Описание архитектуры разработанной модели honeypot-системы
В ходе выполнения выпускной квалификационной работы была реализована модель высокоинтерактивной honeypot-системы. В качестве хостовой системы выступала ОС Ubuntu 18.04.5 LTS. Архитектура разработанной модели высокоинтерактивной honeypot-системы представлена на рисунке 16.
Рисунок 16 – Архитектура модели honeypot-системы
Данная модель высокоинтерактивной honeypot-системы соответствует той архитектуре, что была определена в п. 6.2.
Модуль управления honeypot-системой представляет собой программу, написанную на языке bash (honeypot.sh). Подсистема очистки реализована внутри данной программы.
В роле модуля, реализующего механизм «обмана» злоумышленника, выступает docker-контейнер, созданный на основе чистой ОС Ubuntu 20.04.2.
Модуль обнаружения факта атаки на honeypot-cистему представляет собой совокупность утилит tcpdump, docker logs, а также sysdig.