Узнай своего врага! (часть вторая), Программное обеспечение виртуализации

Гибридные виртуальные honeynets позволяют нам использовать гибкость классических honeynets в сочетании с увеличенным количеством honeypots, используя программное обеспечение виртуализации. Теперь, когда мы описали две существующие категории виртуальных honeynets, предлагается рассмотреть возможные способы их построения. Обычно выделяют три основных технологии, позволяющие развертывание собственных honeynets. Несомненно, существуют и другие технологии, к примеру Bochs, однако, в данной статье мы освещаем проект Honeynet Project, в котором использовались и тестировались все три основных метода. В данном случае нет единого решения, которое было бы намного лучше остальных. Вместо этого, каждый из методов имеет свои собственные уникальные преимущества и недостатки, и именно вам в каждом конкретном случае решать, какое решение лучше подходит для вашей ситуации. VMware Workstation, VMware GSX Server и User Mode Linux –  те  самые три метода, подробнее о них читайте ниже.

VMware Workstation предназначен для самого широкого круга пользователей. Это – известная и хорошо зарекомендовавшая себя программа длительного использования, которая прекрасно работает практически на всех платформах, в том числе, естественно, и на самых распространенных - Windows и Linux. К преимуществам использования VMware Workstation в виде виртуальной honeynet стоит отнести:

• Широкий диапазон поддерживаемых операционных систем - вы можете эмулировать и поддерживать разнообразные операционные системы в виртуальной среды (называемой GuestOS), включать в систему honeypots, «косящие» под Windows, Linux, Solaris и FreeBSD.

• Опции управления сетью - возможность обеспечения двух способов контроля за сетью. Первый – «bridged» - полезен для гибридных виртуальных сетей honeynet, потому что позволяет любому honeypot использовать карту компьютера и, в итоге, создается впечатление, что он - другой хост в honeynet. Вторая опция - организация сети только для хоста, что хорошо для отдельного виртуального honeynets, потому что вы получаете возможность лучше управлять трафиком с имеющейся межсетевой защитой.

• VMware Workstation создает образ каждой Guest Operating System - Эти образы - обычный файл, что делает такие системы очень портативными. Это означает, что вы можете переместить их на любой другой компьютер. Чтобы восстановить honeypot в его первоначальном состоянии, достаточно просто скопировать резервный файл на место, которое было атаковано хакером.

• Возможность устанавливать отображения виртуальных дисков - способность создавать образы виртуальных дисков, как при использовании vmware-mount.pl.

• Легкость использования - VMware Workstation поставляется с неплохим графическим интерфейсом (как для Windows, так и для Linux), что делает монтаж, конфигурирование, и управление виртуальными операционными системами предельно простым.

• Поддержка - Как коммерческий продукт, VMware Workstation идет в комплекте с инструкциями, осуществляется его поддержка, к нему выходят модернизации и заплаты.

К некоторым неудобствам VMware Workstation стоит отнести:

• Стоимость – лицензия на одно рабочее место VMware стоит приблизительно 300 долларов. В подавляющем большинстве случаев для России, да и не только для нее – это слишком большая цена для рядового пользователя.
• Требования памяти - VMware Workstation должен идти под X (или GUI) средой, и каждая виртуальная машина будут нуждаться в собственном окне. Так что существует предел памяти, выделенной для GuestOS (операционной среде, установленной на каждой виртуальной машине).

• Ограниченное число GuestOS - требование, вытекающее из предыдущего - используя Vmware, вы можете управлять малым количеством виртуальных компьютеров (практически в любых случаях от 1 до 4). Это означает совсем небольшую honeynet (которая, вообще-то, может и не заинтересовать хакера).

• Закрытый источник - так как VMware является закрытым ресурсом, пользователи не могут вносить никаких собственных изменений в программу.

• Возможность «засечения» злоумышленником – Существует возможность определить подобное программное обеспечение VMware методом «отпечатков пальцев»  на honeypot, особенно если "VMware tools" установлены на всех системах. Это может отпугнуть хакеров, знакомых с такими системами. Однако VMware Workstation имеет некоторые опции, делающие снятие «отпечатков пальцев» более затруднительным, типа способности установить MAC адрес для виртуальных интерфейсов.

Более подробную информацию о развертывании виртуального honeynet, использующего VMware Workstation можно получить по адресу http://online.securityfocus.com/infocus/1506.

Изделия VMware имеют некоторые дополнительные неплохие особенности, подобно возможности временно приостановить работу виртуальной машины или всей виртуальной сети. Вы имеете возможность при необходимости «сделать паузу в VM, скушать Твикс», при этом все процессы будут корректно приостановлены, и ничего не будет отличать вашу машину от миллионов других в Интернет. Это позволяет успокоить хакера, которого мы чем-то неосторожно спугнули. Кроме того, это бывает необходимо в экстренных случаях. К примеру, если система была как-то взломана, и злоумышленник начал ICMP fragment атаку. Злоумышленник к тому же зарегистрирован в IRC серверах. А мы не хотим прерывать связь, потому что мы потеряем очень ценную информацию. Тогда мы приостанавливаем VM, регулируем межсетевую защиту для блокирования нападения, а затем можем возобновить работу VM.

Интересной особенностью VMware, как, впрочем, и другого программного обеспечения виртуализации, является «вандалоустойчивость» и легкость восстановления после нанесенного вреда. Как только honeynet был атакован, заражен, изменен, стерт и т.д., а мы узнали достаточно о методах и возможностях данного хакера, мы можем восстановить виртуальную сеть в исходном виде. С виртуальным honeynet единственное, что нам придется сделать – скопировать заново файлы имеющихся копий, или запустить диск VMware Workstation, чтобы удалить все прошедшие изменения. Другая особенность VMware Workstation – возможность управлять несколькими сетями через HostOS. Так, даже если вы хотите использовать для целей виртуальной ловушки ваш собственный рабочий компьютер, вы можете установить на нем honeynet, и не волноваться о возможном заражении данных.

По вопросу использования VMware имеется множество неплохих статей, но лучшей считается статья Керта Сеифирида Honeypotting with VMware - The Basics.

VMware GSX сервер

VMware GSX Server – основательная, сверхпрочная версия VMware Workstation. Она предназначена для того, чтобы управляться несколькими мощными современными серверами. Фактически, на

сегодняшний день, она является идеалом используемой honeynet. GSX работает под Windows и Linux.

 К ее преимуществам стоит отнести:

• Широкий диапазон имитируемых операционных систем - Сервер GSX поддерживает Windows (любой по выбору:  95, 98, NT, 2000, XP и .NET server), многочисленные вариации Linux, и, реально, еще и BSD и Solaris (хотя официально эти системы и не поддерживаются).

• Организация сети - GSX Server умеет все, что и Workstation.

• Никакого X (GUI), что означает огромное число GuestOSs - Сервер GSX не нуждается в X для управления VMware. Это позволяет вам управлять огромным количеством разнообразных виртуальных компьютеров одновременно. Однако требуется установка некоторых библиотек из X, если хост использует Linux.

• Web Интерфейс - GSX может управляться через web-интерфейс. GuestOS может быть запущен, приостановлен, отключен, создан через web-страницу.

• Удаленный терминал - Это - одна из лучших особенностей GSX Server. Через web-страницу и при использования программного обеспечения VMware, вы можете удаленно получить доступ к GuestOSs, так, как будто вы, непосредственно, сидите за клавиатурой. Вы получаете возможность делать самые различные вещи - подобно удаленному инсталлированию программ, проверок систем. Вы можете имитировать бурную деятельность в виртуальной сети, а можете и, наоборот, выполнять любые тесты, записи и проверки так, что внутри виртуальной сети не будет абсолютно никаких признаков этого, и попавший в honeynet злоумышленник даже не будет подозревать о вашем присутствии. 

• Возможность устанавливать VMwareотображения, как и в случае Workstation.

• Большие возможности для работы - VMware GSX Server может выделить для своих целей намного больше памяти (до 8GB), больше процессоров (до 8), и существуют большие возможности варьирования выделенной памяти на каждую виртуальную машину-приманку (при желании, у виртуальной машины может быть до 2GB «оперативной памяти»). Существуют богатейшие возможности для конструирования виртуальных сетей, создания самых разнообразных виртуальных машин-приманок, которые, при этом, могут «жить своей жизнью». Реализм достигается полнейший, очень трудно представить хакера, которого что-то в такой конструкции может насторожить.

• Включение Perl API для управления GuestOS.
• Поддержка - GSX Server - поддерживаемое изделие, также выходят заплаты и модернизации.

Что относительно недостатков VMware GSX Сервера, то они:

• Стоимость – очевидно, она намного выше, чем в случаеWorkstation. Лицензия GSX стоит  приблизительно 3500 долларов.
• Не все типы GuestOS официально поддерживаются - операционные системы Solaris X86 и FreeBSD официально не поддерживаются (однако, вы можете их установить на свой страх и риск. И, вроде бы, все работает нормально). Это несколько ограничивает ваш «зоопарк» возможных систем в Honeynet.

• Жесткие требования к памяти - GSX минимально требует 256 Мб только на управление программным обеспечением GSX. GUI-based операционные системы, такие как Windows XP, требует дополнительно 256 Мб.

• Закрытый источник - то же самое, что в случае Workstation.

• Возможность обнаружения – как и в случае Workstation, теоретически возможно определение использования этого программного обеспечения методом «отпечатков пальцев» на honeypot, особенно если установлены "VMware tools". Это может отпугнуть хакеров, ради которых, собственно, и создается вся эта навороченная конструкция. Хотя, также, имеются опции  конфигурации, которые уменьшают этот риск.

Подробнее про данную систему можно прочитать по адресу VMware ESX server. ESX Server имеет свой собственный монитор активности виртуальных машин, который регулирует «аппаратные средства» виртуальных машин-ловушек. Это позволяет очень точное и правдоподобное управление имеющимися ресурсами, типа загрузок виртуальных процессоров, управления  трафиком, создание сетевых дисков, управление доступом… И все эти параметры изменяются динамически.

Существуют и более мощные модификации GSX Server. Некоторые из его версий поддерживают многопроцессорные серверы, имеют более крупные виртуальные сети (до 64 машин-ловушек со своими собственными характеристиками, имеют больше памяти (до 64Гб) и больше памяти на конкретную виртуальную машину (до 3.6Гб).

User Mode Linux

User Mode Linux является специальным модулем, который позволяет вам управлять многими виртуальными версиями linux одновременно. Разработанный Джефом Дайком, UML дает вам возможность устанавливать многочисленные версии Linux, запущенные на той же самой системе и в то же самое время. Это - относительно новый инструмент с большими перспективами.

Преимущества User Mode Linux:

• Доступный и открытый источник - имеется доступ к исходному коду.

• Небольшие системные требования и трудность «засечения» - User Mode Linux не использует X, может управлять несколькими системами при относительно малой выделенной памяти, плохо определятся методом «отпечатков пальцев». 

•  Возможность создавать нескольких виртуальных сетей – UML позволяет пользователям создавать несколько виртуальных сетей (и даже создавать виртуальные маршрутизаторы!). И все эти конструкции располагаются в виртуальной сети.

•  UML может управляться комбинациями клавиш через ядро GuestOS. Нажатия клавиш зарегистрированы прямо в HostOS, так что нет никаких проблем с тем, что можно использовать комбинации клавиш для honeypot в качестве скрытого, обходного пути.

• UML поставляется заранее сконфигурированной и готовой для загрузки, что делает простым и быстрым создание вашей honeynet с honeypots. Как и в случае с VMware, возможно создание образа файловой системы.

•  Вы можете получить доступ к управлению UML самыми разнообразными способами, даже через псевдотерминалы, xterms, и порталы в хосте, к которому есть telnet.

Неудобства:

•  В настоящее время поддерживает только Linux-виртуальные машины. Действительно серьезный недостаток, по крайней мере, для России, так как достаточно тяжело будет убедить российского хакера, что это - правда. А те из хакеров, кто поверит, могут не заинтересоваться сетью с Linux-системами, так как «специализируются» по различным Windows-системам. Хотя, насколько известно, в настоящее время разрабатываются программы эмуляции Windows-машин.

•  Ошибки, дефекты, другие проблемы - Как и любой совсем новый, сырой инструмент, имеется пока что немало «глюков», практически отсутствует документация, имеются серьезные проблемы в области совместимости и безопасности.

•  Отсутствует нормальный графический интерфейс - в настоящее время все конфигурирование и выполнение осуществляется через командную строку, что требует определенных навыков и более глубокого изучения продукта и системы. Хотя, может быть, мы просто обленились, ведь еще лет 7-8 назад это являлось нормой и никого не раздражало!

• Никакой поддержки - Как инструмент с открытым исходным кодом, отсутствует какая-либо официальная или коммерческая поддержка.

• Возможность определения методом «отпечатков пальцев» - Как и в случае с системами VMware, UML Honeynet может быть «засечена». Однако автор, Джеф Дайк, заявляет, что постарается принять меры для устранения этого недостатка.

Заключение

Цель этой статьи состояла в том, чтобы определить, что такое виртуальные honeynets, какие существуют их разновидности, как их развертывают. Виртуальный honeynets использует технологии honeynet, и комбинирует их на отдельной системе. Это делает их более дешевыми, более простыми развертывания и обслуживания. Однако, как можно и было ожидать, не бывает получения многочисленных преимуществ без получения каких-либо недостатков, и виртуальные  honeynets не являются исключением.

В любом случае, именно будущим пользователям решать, какой метод является лучшим в их условиях и именно для их операционных сред. Так или иначе, желающие могут «открыть охоту на хакеров» или по долгу службы, или просто ради спортивного азарта.

Ловите на здоровье! В будущем мы планируем опубликовать детализацию документации по развертыванию подобных систем.