Приманка для мух: технологии honeypot

24.02.2007

Многие специалисты отмечают, что в современных сетях объем нежелательного трафика порой превышает объем полезных данных. Почтовый спам, сетевые атаки разного рода, попытки сканирования приводят к необходимости выстраивать эшелонированную оборону между сетями общего пользования и локальными сетями, используя специализированные комплексы программного и аппаратного обеспечения.

Изобретательность авторов вредоносного кода, их значительные познания в области новейших технологий и психологии пользователя хорошо известны специалистам по информационной безопасности. Современные средства безопасности позволяют в значительной мере противостоять стандартным направлениям атак, но как бороться с малоизвестными атаками, защиты от которых может и не быть?

Что это за метод?

Технология honeypot не является готовым решением, это один из методов, позволяющих отследить ранние признаки атаки, локализовать проблему до того, как атака затронет важные объекты системы, затормозить атаку, дав администратору время на принятие контрмер.

Honeypot – это информационная система, предназначенная для неправомерного доступа. Фактически, это обманка, привлекательный объект для атаки, при этом находящийся под полным контролем специалистов по безопасности. Информационная система honeypot может представлять собой как отдельный хост в сети, так и сеть, наполненную разного рода объектами: маршрутизаторами, серверами, рабочими станциями, реальными или виртуальными.

К преимуществам данного метода можно отнести относительную простоту реализации, широкий спектр возможных применений, нетребовательность к ресурсам и легкость в наблюдении. В отличие от систем IDS, реализации honeypot не порождают больших объемов данных, так как регистрируют только нежелательные действия.

Среди недостатков можно отметить, что технология honeypot регистрирует только те действия, которые направлены на нее. Некоторые реализации на основе полнофункциональных ОС могут быть захвачены нарушителем и использованы против собственной информационной системы.

Типы реализаций

Выделяют два основных типа реализаций, эмулирующие и реальные, иногда их определяют как слабо- и высокоинтерактивные.

Первые способны эмулировать взаимодействие от лица определенного сервиса, например, принять соединение на tcp порт 22, принять от атакующего имя пользователя и пароль и так далее, при этом фиксируя все действия атакующего. Интересными примерами реализации эмулирующих honeypot можно назвать Honeyd (http://honeyd.org) и LaBrea (http://labrea.sourceforge.net/labrea-info.html).

Высокоинтерактивные honeypot, основанные на применении реальных ОС и реальных сервисов, несколько сложнее в применении. Фактически они представляют собой специально спроектированные сетевые сегменты, подключенные к сетям общего пользования. Сетевой трафик между honeypot и внешним миром контролируется и фиксируется, чтобы полностью сохранить все действия атакующих, при этом не допустив вреда для собственной инфраструктуры.

Проект Honeynet (http://honeynet.org) предоставляет информационные ресурсы, программные средства и методологию для построения подобных
систем в исследовательских целях.

Что дает honeypot?

Применение honeypot-систем в реальной жизни позволяет определять факт атаки, предотвращать атаки на реальные сервисы и обеспечивать службу безопасности материалами для анализа и ответной деятельности.

Определение факта атаки заложено в саму идею honeypot – к honeypot не могут обращаться за сервисом реальные клиенты. Если к нему обратились, это свидетельствует о том или ином нарушении. Определение факта атаки является важным моментом для администраторов, так как это позволяет оперативно принять меры противодействия.

Honeypot способны предотвращать атаки на реальные объекты информационной системы, истощая ресурсы атакующего. Способность некоторых реализаций контролировать все неиспользуемое адресное пространство в сети позволяет создать целую армию привлекательных для атаки целей, защищая от воздействия немногочисленные действительно важные ресурсы. Некоторые варианты способны ограничить скорость обмена данными между обманкой и атакующим, что может исчерпать ресурсы как автоматизированных систем, так и взломщика-человека.

Использование honeypot-систем позволяет в случае успешной атаки сохранить документальные следы воздействия, что в дальнейшем может быть использовано в процессе расследования инцидента как собственными специалистами компании, так и приглашенными экспертами. Скомпрометированную обманку можно выдать для внешнего анализа, в отличие от скомпрометированного почтового сервера с конфиденциальной перепиской.

Технология honeypot является интересным и достаточно эффективным методом раннего предупреждения и детектирования сетевых атак. Использование ее требует небольших ресурсов и может принести значительную пользу. С другой стороны, эта технология в первую очередь является исследовательской, что несколько ограничивает ее реальное недрение.