Файл: Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий.pdf

54
был присвоен docker-контейнеру, содержался в диапазоне адресов, чаще всего используемом в VPN-технологиях.
После запуска docker-контейнера и выполнения его надстроек, honeypot.sh выполнял запуск утилит регистрации событий tcpdump, docker logs, sysdig со сбором данных в log-файлы. После чего скрипт запускал сервисы стека «Loki», настроенные в виде docker-контейнеров. В случае успешного запуска всех модулей и создания правил переадресации данный скрипт выдавал сообщение пользователю об успешном запуске всей honeypot- системы.
После чего программа ждала от пользователя соответствующей команды по работе с системой. В случае, если пользователь захочет завершить работу с honeypot-cистемой, он должен ввести соответствующее значение, отвечающее за завершения работы системы, после чего bash-скрипт совершит остановку и очистку docker-контейнера, очистит все правила переадресации, а после закончит свою работу. Если же пользователь введет команду по перезапуску системы, то honeypot.sh выполнит те же команды, что при завершении работы, но при этом запустится заново. В случае, если пользователь введет любую другую команду или выполнить аварийное завершение bash-скрипта honeypot.sh, процесс очистки не произойдет.
Полный текст bash-скрипта honeypot.sh представлен в приложении Г.

55 7 Разработка стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы
7.1 Состав разрабатываемого стенда
На рисунке 17 и в графической части на плакате «Состав виртуального стенда, применяемого для изучения механизмов обнаружения атак на сетевую инфраструктуру» представлен состав виртуального стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы.
Рисунок 17 - Состав виртуального стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы
Перечень виртуальных машин, входящих в состав виртуального стенда, включает:
 виртуальная машина (ВМ) № 1 с установленной гостевой ОС Ubuntu
18.04.5 LTS, являющаяся honeypot-системой;
 виртуальная машина (ВМ) № 2 с установленной гостевой ОС Kali
Linux 2020.4.0, которая предназначена для проведения атак на honeypot- систему и имитации работы злоумышленника.

56
Аппаратная конфигурация виртуальной машины (ВМ) № 1 включает:
 количество процессоров – 2;
 объем оперативной памяти – 2 Гбайта;
 виртуальный жесткий диск, подключаемый с использованием интерфейса SATA. Объем виртуального жесткого диска – 40 Гбайт;
 привод оптических дисков, подключаемый с использованием интерфейса SATA - 1;
 объем видеопамяти - 128 Мбайт;
 общая папка между гостевой и основной ОС.
Программная конфигурация виртуальной машины (ВМ) № 1 включает:
 гостевая ОС - Ubuntu 18.04.5 LTS (разрядность - 64 бита);
 роль виртуальной машины (ВМ) – honeypot-система.
Виртуальная машина (ВМ) № 2:
Аппаратная конфигурация виртуальной машины (ВМ) № 2 включает:
 количество процессоров – 1;
 объем оперативной памяти – минимальный 1 Гбайт, рекомендуемый 2 Гбайта;
 виртуальный жесткий диск, подключаемый с использованием интерфейса SATA. Объем виртуального жесткого диска – 20 Гбайт;
 привод оптических дисков, подключаемый с использованием интерфейса SATA - 1;
 объем видеопамяти - 128 Мбайт.
Программная конфигурация виртуальной машины (ВМ) № 2 включает:
 гостевая ОС - Kali Linux 2020.4.0 (разрядность - 64 бита);
 роль ВМ – имитация работы злоумышленника с целью проведения атак на honeypot-систему.

57 7.2 Подготовка виртуального стенда
Для развертывания виртуального стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы, а также для изучения механизмов обнаружения атак на сетевую инфраструктуру было использовано программное решение в области виртуализации Virtualbox. На базе этой системы были созданы и настроены виртуальные машины, входящие в состав виртуального стенда.
Виртуальная машина (ВМ) № 1 с установленной гостевой ОС Ubuntu
18.04.5 LTS, являющаяся honeypot-системой, имела имя «Honeypot-Machine».
В качестве хостовой системы honeypot-системы выступала именно гостевая
ОС виртуальной машины. Поэтому в данную гостевую ОС Ubuntu 18.04.5 LTS предварительно был установлен набор инструментов и средств, необходимых для работы honeypot-машины. Также были произведены все настройки программных компонентов, являющихся модулями honeypot-системой либо входящих в состав этих модулей или взаимодействующие с ними.
Виртуальная машина (ВМ) № 2 с установленной гостевой ОС Kali Linux
2020.4.0, которая предназначена для проведения атак на honeypot-систему и имитации работы злоумышленника, имела имя «Hack-Machine». Для проведения атак на honeypot-систему предварительно были установлены программные средства, позволяющие проводить атаки, а также подготовлены необходимые файлы для проведения атак. В частности, были сформированы словари для атак «Brute force», подготовлены файлы для проведения атак с использованием общедоступных уязвимостей.

58 7.3 Состав учебных заданий по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы
Состав учебных заданий, позволяющих изучить работу honeypot- системы, включал:
 изучение процедуры запуска и первоначальной конфигурации honeypot-системы;
 изучение принципа работы honeypot-системы при проведении злоумышленником сетевой разведки;
 изучение принципа работы honeypot-системы при получении злоумышленником доступа к honeypot-системе методом подбора учетных записей;
 изучение принципа работы honeypot-системы в ходе выполнения злоумышленником действий по сбору и анализу данных в honeypot-системе;
 изучение принципа работы honeypot-системы в ходе выполнения злоумышленником действий, связанных с закреплением в honeypot-системе методом повышения привилегий пользователя;
 изучение принципа работы honeypot-системы при получении злоумышленником доступа к honeypot-системе методом эксплуатации общеизвестной уязвимости;
 изучение принципа работы honeypot-системы в ходе проведения злоумышленником DDoS-атак методом TCP-flood.
Состав учебных заданий, позволяющих изучить возможные вектора атак на honeypot-систему, включал:
 изучение механизма проведения сетевой разведки;
 изучение механизма получения доступа к объекту сетевой инфраструктуры методом подбора учетных записей;
 изучение механизма сбора и анализа данных внутри системы после успешной атаки на объект сетевой инфраструктуры;

59
 изучение механизма закрепления в системе методом повышения привилегий пользователя;
 изучение механизма получения доступа к объекту сетевой инфраструктуры методом эксплуатации общеизвестной уязвимости;
 изучение механизма проведения DDoS-атак методом TCP-flood на объект сетевой инфраструктуры.

60 8 Описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой
Для выполнения учебных заданий с целью изучения механизма обнаружения атак на сетевую инфраструктуру необходимо запустить виртуальную машину, являющуюся honeypot-системой, а также запустить виртуальную машину, имитирующую работу злоумышленника. Для этого необходимо запустить программу Oracle VirtualBox Менеджер. В разделе с виртуальными машинами находится виртуальная машина «Honeypot-
Machine». На панели инструментов необходимо нажать кнопку «Запустить».
После запуска виртуальной машины «Honeypot-Machine» будет отображаться меню входа в хостовую систему от учетной записи «user» (см. рисунок 18).
Рисунок 18 – Меню входа в систему
Далее необходимо ввести пароль учетной записи «user» - «P@ssw0rd!».

61
Далее необходимо выполнить запуск honeypot-системы. Для этого необходимо перейти в каталог «honeypot». Далее необходимо выдать права на выполнение bash-скрипта «honeypot.sh». Далее выполнить запуск данного скрипта от имени суперпользователя, введя пароль пользователя «user» (см. рисунок 19).
Рисунок 19 – Процесс запуска honeypot-системы
В результате запуска honeypot-системы с помощью bash-скрипта
«honeypot.sh» в терминале выведется меню с доступными сетевыми интерфейсами хостовой системы (см. рисунок 20). Сетевой интерфейс «lo» является локальным, интерфейс «docker0», а также с именованием «br-» используются для управления docker-контейнерами. После вывода всех сетевых интерфейсов программа попросит выбрать и ввести внешний сетевой интерфейс хостовой системы для дальнейшей работы c honeypot-системой (см. рисунок 20). В примере таким интерфейсом является «ens32». Необходимо ввести в терминале соответствующий внешний интерфейс (см. рисунок 20).
Рисунок 20 – Выбор внешнего сетевого интерфейса хостовой системы
После ввода внешнего сетевого интерфейса хостовой системы программа выводит сообщение об успешном или не успешном запуске honeypot-системы.

62
В случае неудачного запуска honeypot-системы (аварийное прерывание работы bash-скрипта «honeypot.sh» также повлечет за собой нерабочее состояние honeypot-системы) программа выведет на экран следующее сообщение (см. рисунок 21).
Рисунок 21 – Результат неуспешной попытки honeypot-системы
Для возобновления работы honeypot-системы необходимо выполнить команды по остановке и удалению docker-контейнера, входящего в состав honeypot-системы (см. рисунок 22).
Рисунок 22 – Механизм возобновления работы honeypot-системы
В случае же успешного запуска программа выведет сообщение об старте системе, а также выведет IP-адрес honeypot-системы (см. рисунок 23).
Рисунок 23 – Успешный запуск honeypot-системы

63
Кроме этого, программа выведет информацию об дальнейшем действии с honeypot-системой. Таким действием может быть завершение работы системы или ее перезапуск. Для дальнейшей работы с honeypot-системой вводить команды не нужно.
Далее необходимо перейти в web-интерфейс сервиса «Grafana», в котором будет находится информация, связанная с зарегистрированными honeypot-системой событиями. Необходимо открыть приложение «Web- браузер Firefox». В поисковой строке необходимо вести команду
«http://localhost:3000» для получения доступа к информационной панели
«Grafana» (см. рисунок 24).
Рисунок 24 – Получение доступа к информационной панели «Grafana»
В результате на экране будет отображена форма аутентификации в сервис «Grafana» (см. рисунок 25). Необходимо ввести в поле логина «admin», в поле пароля «admin» (см. рисунок 25).
Рисунок 25 – Форма входа в сервис «Grafana»
После этого будет предложено ввести новый пароль для учетной записи пользователя «admin». Необходимо ввести дважды новый пароль –
«P@ssw0rd!» (см. рисунок 26).

64
Рисунок 26 – Обновление учетной данных пользователя «admin»
В результате выполнится вход в web-интерфейс «Grafana» (см. рисунок 27).
Рисунок 27 – Результат входа в web-интерфейс «Grafana»
Далее необходимо выполнить настройки данного сервиса. В меню
«Configuration» необходимо выбрать раздел «Preferences» (см. рисунок 28). В пункте «UI Theme» необходимо выбрать «Light» (см. рисунок 28).

65
Рисунок 28 – Настройки web-интерфейса «Grafana»
В результате web-интерфейс «Grafana» будет отображаться в светлых цветах. Далее необходимо выполнить переход в меню «Data sources» (см. рисунок 29). Далее необходимо нажать на кнопку «Add data source» для создания нового источника данных. В меню доступных источников данных выбрать сервис «Loki» и нажать кнопку «Select» (см. рисунок 29).
Рисунок 29 – Добавление источника данных для информационной панели
«Grafana»

66
На странице по настройке источника данных «Loki» в поле данных
«URL» необходимо ввести адрес сервиса «Loki» (см. рисунок 30). Далее необходимо нажать кнопку «Save & Test». При верной настройке на экране выведется сообщение об успешном создании нового источника данных (см. рисунок 30).
Рисунок 30 – Настройка источника данных «Loki»
После создания источника данных «Loki» в панели меню сервиса
«Grafana» необходимо выбрать раздел «Explore» (см. рисунок 31).
Рисунок 31 – Переход в панель исследования «Grafana»

67
В результате на экране будет выведена информационная- исследовательская панель «Grafana» (см. рисунок 32). Далее необходимо нажать на кнопку «Log labels», выбрать раздел «filename» для отображения списка log-файлов, куда собирается вся зарегистрированная honeypot- системой информация (см. рисунок 32).
Рисунок 32 – Информационная панель «Grafana»
Далее необходимо выбрать из списка файл «docker_logs.log», в котором будет хранится информация, связанная с запуском служб в docker-контейнере
«honeypot» (см. рисунок 33).
Рисунок 33 – Просмотр файла «docker_logs.log»

68
Информация из данного log-файла, а также из последующих, будет располагаться на информационно-исследовательской панели «Grafana» по времени регистрации того или иного события, связанного с honeypot- системой. То есть, чем новее собранная информация по времени, тем выше она располагается на информационной панели.
После просмотра файла «docker_logs.log» необходимо нажать на кнопку
«Log labels», выбрать раздел «filename» и открыть содержимое файла
«docker_net.log» (см. рисунок 34).
Рисунок 34 – Просмотр содержимого файла «docker_net.log»
В информационной панели «Grafana» будут отображаться данные, информирующие, что утилита tcpdump «слушает» сетевой интерфейс
«docker0» для сбора входящего сетевого трафика, связанного с honeypot- системой.
Далее необходимо выполнить переход в разделе «filename» для отображения файла «file_operation.log», который выведет информацию, связанную с чтением, записью и изменением прав доступа к файлам и директориям, находящимся в docker-контейнере, применяемом в качестве модуля «обмана» злоумышленника (см. рисунок 35).