Узнай своего врага! Построение виртуальных ловушек

За последние несколько лет honeynets достигли неплохих результатов в качестве механизма защиты, позволяющего узнавать все об инструментальных средствах, тактике, и мотивах хакеров. На сегодняшний день эта информация особенно важна  для лучшего понимания имеющихся тенденций в области компьютерной безопасности и организации защиты от окружающих нас угроз. Основной проблемой использования honeynets является то, что они представляют из себя трудный для формирования и обслуживания ресурс. Honeynets требуют развернутых, тщательно настроенных компьютерных систем и эффективных механизмов защиты. Однако успех проекта Honeynet Project показал новую возможность – создание виртуальных honeynets. Эти фиктивные компьютерные сети и системы обладают большинством преимуществ традиционных honeynets, но выполняются на единственной, отдельно взятой машине, что делает виртуальные honeynets дешевыми, простыми для развертывания, легко поддерживаемыми и контролируемыми.

Что такое - Honeynet?

Honeynets - один из типов honeypot - ресурс, предназначение которого – заинтересовать хакера, быть им исследованным, атакованным и даже взломанным. Honeynet - высокотехнологичный honeypot, обеспечивающий высокую степень эмуляции реальных операционных систем для злоумышленника. Именно эта высокая степень идентичности и позволяет  без вреда и риска узнать многое о злоумышленниках, их методах проникновения в системы, их целях, мотивах и привычках. Honeynets достигает этого, построив сеть, в которой все действия тщательным образом исследуются, и, конечно же, появление в сети постороннего не может пройти незамеченным. В этой сети весь трафик по всем направлениям управляется и фиксируется. Каждая система, в пределах такой сети, представляет из себя обычный honeypot, то есть систему, разработанную именно для того, чтобы быть атакованной. Однако, каждый honeypot  является полностью функционирующей системой, схожей с теми, что мы можем обнаружить сегодня в большинстве организаций. И когда любая из систем-приманок атакована, ловушка срабатывает, и honeynet начинает незаметно фиксировать всю деятельность злоумышленника. Эта информация и позволяет узнавать уникальные, нигде ранее не «засвеченные» уязвимости и эксплоиты, которые сегодня и являются «секретным оружием» современных хакеров.

Технические подробности создания виртуальных сетей-ловушек можно найти по адресу разработчиков проекта: Know Your Enemy: Honeynets. Из описания можно узнать о самых  различных способах построения виртуальных honeynets. Но приведенное описание не является практическим руководством формирования виртуального honeynet, и не дает ответа на ряд возникающих вопросов (а они обязательно возникнут). Мы планируем в будущем подробно описать всю последовательность действий при создании виртуальных honeynets. Данная же статья составлена для облегчения понимания описанных возможностей.

С этого момента вы, предположительно, уже имеете представление о технологии honeynet и требованиях к управлению и сбору данных.

Виртуальные Honeynets

Виртуальный Honeynet использует технологическую концепцию honeynet, и осуществляет ее на единственной системе. Этот способ выполнения имеет ряд уникальных преимуществ, но имеет и существенные недостатки по сравнению с традиционными honeynets. Преимущества мы уже описывали – существенное уменьшение стоимости и более простое управление. Однако, виртуальные сети имеют и существенные недостатки. Первое ограничение, с которым мы сразу же сталкиваемся – ограничение на возможные типы операционных систем – нашей и развернутой   программным обеспечением виртуализации. Во вторых, виртуальные honeynets сопряжены с определенным риском, что какой-нибудь особо талантливый хакер сможет как-то выйти из виртуального программного обеспечения и проникнуть в реальную систему, преодолев защитные механизмы контроля, управления данными и механизмы сбора данных. Здесь сразу же стоит сделать пояснение, что пока что не было зафиксировано ни одного случая прорыва «свирепых хакеров» из виртуальной ловушки, но теоретически такая возможность может существовать. 

Существует два типа виртуального honeynet: замкнутый и гибридный. Мы сначала опишем обе эти возможности, а затем рассмотрим различные способы их развертывания.

Замкнутый виртуальный Honeynet

Замкнутый виртуальный honeynet – имитация полной сети honeynet, сжатая на единственном компьютере. Сеть honeynet состоит из шлюза межсетевой защиты для управления данными и сбора данных, и нескольких honeypots в пределах honeynet. Преимущества этого типа виртуального honeynet:

●   Переносной - Виртуальный Honeynets может быть размещен на любой машине, в том числе и на ноутбуке, и перенесен куда угодно. Проект Honeynet успешно демонстрировал эту функциональную возможность на многочисленных конференциях, в том числе и на Blackhat Briefings in August, 2002.

●   Plug and catch  - «Подключай и лови» - Вы можете просто взять один системный блок или лэптоп и подключить его к любой сети, в которой предполагается активность хакеров. И все – западня готова! Это делает развертывание крайне простым, поскольку вам физически надо лишь подключаете в сеть одну систему.

● Дешевый в терминах времени и денег - Вам нужен всего лишь один более-менее свободный компьютер и установленная на нем программа. Это значительно сокращает расходы, по сравнению с традиционным Honeynet. Система также практически не занимает дополнительного места в офисе и использует только один вывод и один порт!

Виртуальный замкнутый honeynet имеет и несколько специфичных недостатков:

●   Единая точка отказа - Если что-то вдруг пойдет не так, как ожидалось, (к примеру, сбой в операционной среде или какой-либо программе), то весь honeynet выходит из строя и не функционирует до устранения неисправности.

●  Высокие требования к компьютеру – Да, при этом способе требуется всего один компьютер, но он должен быть мощным и обладать значительным объемом оперативной памяти, чтобы имитировать работу целой локальной сети.

●  Возможное ослабление классической защиты - Так, как все в компании могут использовать те же самые стандартные программы, что и в ловушке, есть опасность того, что хакер может предположить их использование и, зная какие-нибудь слабые места этих программ, провести успешную атаку на другие части сети. Здесь все зависит от программного обеспечения виртуализации.

●    Ограничение на программное обеспечение - Так как все должно выполняться на одной машине, возникают ограничения на используемое программное обеспечение, с которым вам придется считаться. К примеру, трудно будет выполнить Cisco IOS на чипе Intel.

Гибридный виртуальный Honeynet

Гибридный виртуальный honeynet - гибрид классического honeynet и программного обеспечения виртуализации. Перехват данных, по типу межсетевых защит, и анализ информации, как в сенсорах систем обнаружения вторжения, проводится на отдельной, изолированной системе. Эта изоляция уменьшает риск взлома. Однако все honeypots фактически выполнены в единственном системном блоке. Преимущества данного подхода:

●   Безопасность - В случае с замкнутым виртуальным Honeynet существовала опасность, что атакующий сможет причинить вред другим системам или программам, используя, к примеру, уязвимость в межсетевой защите. В случае же гибридного виртуального Honeynets, единственная «опасность» состоит в том, что хакер сможет атаковать другую ловушку-honeypot.

● Гибкость - Пользователи имеют возможность использовать практически любое программное обеспечение и оборудование для классических частей гибридной сети. К примеру, вы можете использовать датчик OpenSnort или вставить Checkpoint в сеть. Вы можете создавать любые виды honeypots, что позволяет исследовать на реальную уязвимость «в боевых условиях» системы с самым невероятным сочетанием программного обеспечения. Пожалуй, если мы ставим перед собой цель исследовать возможности хакеров и их методы работы, то это - идеальный вариант.

Среди недостатков этого метода стоит отметить:

●  Не переносной - Такая сеть honeynet состоит из нескольких (а может, и нескольких десятков) системных блоков, что затрудняет транспортировку.

●    Дорогой, как в терминах времени, так и в терминах денег и места - Вам потребуется достаточно много места в офисе для размещения всего этого оборудования, да и подключение и налаживание всей этой системы тоже отнюдь не является делом пяти минут (и даже не одного часа). Про то, что потребуется все это приобрести, можно и не упоминать…

В следующей части мы рассмотрим программное обеспечение, необходимое для виртуализации.

(продолжение следует…)