12.02.2004

Ошибки и недоработки в honeypot

Последние 18 месяцев мы можем наблюдать необычайный рост honeypot технологий. Все honeypot начиная с OpenSourсe honeypot, таких как Honeyd и Honeynets до коммерческих решений, таких как KFSensor очень бурно развиваются. Как всегда бывает с любыми новыми технологиями, в honeypot встречаются множество ошибок и недоработок. В этой статье мы рассмотрим эти ошибки и недоработки и обсудим возможные их решения. Обсуждая их сейчас, мы можем надеяться на то, что honeypot станут мощными и надёжными технологиями будущего.

Автор статьи: Лэнс Спитцнер
Перевод: Vollter
Последние 18 месяцев мы можем наблюдать необычайный рост honeypot технологий. Все honeypot начиная с OpenSourсe honeypot, таких как Honeyd и Honeynets до коммерческих решений, таких как KFSensor очень бурно развиваются. Как всегда бывает с любыми новыми технологиями, в honeypot встречаются множество ошибок и недоработок. В этой статье мы рассмотрим эти ошибки и недоработки и обсудим возможные их решения. Обсуждая их сейчас, мы можем надеяться на то, что honeypot станут мощными и надёжными технологиями будущего.

В этой статье мы обсудим три проблемы:

1. обнаружение honeypot

2. эксплуатация уязвимостей в honeypot

3. эффективность honeypot.

Статья рассчитана на читателей, которые уже имеют общие сведения о honeypot.

Обнаружение honeypot

Как мы могли заметить в предыдущие месяцы разные типы honeypot (высоко интерактивные и низко интерактивные) могут решать различные задачи. Однако же эффективность honeypot резко уменьшается в случае её обнаружения. При обнаружении взломщик будет точно знать, какие систему ему следует обходить стороной (Ваши honeypot) или что ещё хуже, хакер сможет предоставлять honeypot ложную информацию, тем самым запутывая Вас. Вот почему в большинстве случаев Вам выгодно, чтобы honeypot оставались незаметными. Существуют и исключения. Администратор сети может специально не маскировать honeypot, для того, чтобы взломщик мог их обнаружить и, испугавшись, прекратить исследовать сеть. Но это уже метод психологического давления и он не всегда срабатывает.

Конечно, с бурным развитием honeypot технологий стали появляться и инструменты, пытающиеся противостоять им. Самый наглядный пример, коммерческая программа Honeypot Hunter (http://www.send-safe.com/honeypot-hunter.php). Эта программа используется для обнаружения honeypot.

Итак, что можно сделать? Для начала следует понять, что не важно каким типом honeypot Вы пользуетесь, любая honeypot система может быть обнаружена. Если взломщик обладает определенными знаниями и навыками, имеет в своём распоряжении необходимое ПО, то обнаружение honeypot становится вопросом времени. Когда появляются новые honeypot или обновляются старые версии, хакеры некоторое время не могут обнаружить их, но проходит ещё немного времени и появляются новые методы обнаружения honeypot. Это замкнутый круг.

По-моему эта проблема решается в два этапа. Во-первых следует понять, что если honeypot сможет собрать хоть какую-нибудь информацию до того, как их обнаружат, они всё ещё будут эффективны. Например, давайте представим, что Вы развёртываете honeypot в сети для обнаружения неправомочных действий (таких как, сканирование портов). Представим, что хакер находится в Вашей сети и во время сбора информации обнаруживает honeypot. Однако же можно считать, что honeypot выполнила свою работу, она обнаружила угрозу и оповестила Вас о ней. Но если Вы используете honeypot для сбора информации, то для этого надо чтобы honeypot работали без обнаружения дни, недели и даже месяцы. Итак, первый шаг – понять, насколько критично обнаружение honeypot для Вас и Вашей сети.

Если после первого этапа Вы пришли к выводу, что обнаружение honeypot для Вас нежелательно, то мы переходим ко второму этапу. Можно найти множество honeypot, которые Вы можете загрузить из Интернета и установить. Точно так же может поступить и взломщик. Он может скачать копию honeypot или её исходные коды, изучить их и собрать сигнатуры. Это подобно тому, как Nmap собирает отпечатки пальцев удаленных ОС. Для противостояния этому Вам следует изменить поведения honeypot, чтобы honeypot не были похожи ни на одни другие honeypot в Интернете. Например, если вы используете Honeyd Toolkit for Linux, Вам следует отказаться от использования стандартного honeyd.conf. Более продвинутые пользователи могут изменить исходные коды, которые отвечают за создания пакетов. В любом случаи хакер ищет honeypot стандартными методами, т.е. он ищет известные honeypot, Вы может очень сильно усложнить ему жизнь, если Ваша honeypot будет вести себя по-новому для взломщика.

Эксплуатация уязвимостей в honeypot

Всё, что создано человеком, можно скомпрометировать. Этот тезис подтверждается годами для различных приложений: файрволы, веб сервера и т.д. При выходе нового приложения, мы можем ждать появления новостей о нахождении ошибки в нем. Honeypot не являются исключением. Мы должны понять, что в каждой выпущенной honeypot обязательно присутствуют известные (и неизвестные) ошибки. Как и с любой другой технологией для обеспечения безопасности Вы должны предпринять шаги не только для защиты от известных нападений, но так же и для не известных нападений. Что касается низко интерактивных honeypot, то риск немного ниже, т.к. они только имитируют приложения, а не дают настоящие приложения или системы для эксплуатации. Однако Вы должны понимать, что хакер может обойти имитируемые приложения и поэтому должны быть приложены все усилия для защиты honeypot приложений. Для низко интерактивных honeypot под Win32 (таких как KF Sensor) Вы должны построить защищенную ОС с последними обновлениями и с остановкой всех не нужных служб. Возможно, Вам придётся установить даже файрвол, который будет блокировать все порты, которые не контролируют honeypot. Ещё более важно, иметь файрвол, который будет блокировать все исходящие подключения, для того, чтобы защитить honeypot, когда система уже взломана. Для низко интерактивных honeypot, под Unix, Вы можете использовать Chroot (низкоуровневые патчи для ядра, такие как Systrace или Grsecurity, или такие как SE Linux должны использоваться в низко интерактивных honeypot для защиты от известных и неизвестных атак).

Для высоко интерактивных honeypot проблема более актуальна. Эти системы используют настоящие ОС и приложения для взаимодействия с хакером, как следствие риск более высок. У хакера есть шанс получить полный контроль над honeypot. В случаи с высоко интерактивными honeypot Вам следует предпринять два шага. Первый: использовать несколько этапов контроля. Второй - человеческое вмешательство. За высоко интерактивными honeypot должно вестись пристальное наблюдение. В любое время, любая неизвестная активность (исходящие соединения, скачивание файлов, создание новых процессов и т.д.) должна немедленно проверяться человеком. Если хакер проник в Вашу систему, то человек может, например, разорвать соединение. Всё это поможет Вам контролировать поведение honeypot и быть в курсе всех событий.

Эффективность honeypot

Для меня это был самый трудный вопрос. Во многом эффективность honeypot зависит от того, где они будут размещены. Обычно honeypot устанавливаются, не ориентируясь на какую-нибудь конкретную цель. Это является большой ошибкой! Хакеры обычно выбирают цели, на которых они могут что-то поиметь. Ваши honeypot должны размещаться в важных зонах сети. Когда honeypot заточены под конкретную угрозу, шанс поймать крупную рыбу намного возрастает. Для каждой конкретной цели, Ваши honeypot должны настраиваться отдельно!

Заключение

Honeypot имеют огромный потенциал. Как и любая другая новая технология, в них встречаются некоторые недоработки. Скорее всего, не одна из этих ошибок не будет полностью решена. Однако я ожидаю, что в следующие 12 – 18 месяцев этим проблемам уделят более пристальное внимание.
или введите имя

CAPTCHA