Система Honeypot в сети Honeynet


Чтобы как можно лучше изучить сообщество взломщиков, наши honeypot представляют собой установленные с параметрами по умолчанию используемые системы. Мы ничего не делали для того, чтобы защитить их, но мы ничего не делали и для того, чтобы снизить степень защищенности. Наша цель заключалась в использовании систем, которые легко можно найти в Internet. Многие специалисты полагают, что их системы защищены от рисков, и мало что делают, чтобы их защитить. Мы надеялись доказать именно этим ребятам, что они не правы. Рассказав о технических приемах, тактике и мотивах сообщества взломщиков, мы надеялись не только научить и научиться, но и усилить бдительность. Многие организации также считают, что у них нет ничего особенно ценного, ради чего их системы можно взломать. Как вы вскоре узнаете, именно такие организации становятся целью многих взломщиков.
В качестве honeypot были использованы операционные системы Red Hat Linux, Windows 98, Windows NT server и Solaris server с установками по умолчанию. Мы устанавливали эти системы, выбирая параметры по умолчанию и сводя к минимуму настройку от пользователя, и ничего не делали для того, чтобы защитить их. Многие из тех, кто занимается обес-печением безопасности, сочтут эти системы незащищенными и будут правы. Большинство настроек операционной системы по умолчанию очень ненадежны, особенно если не предпринимается никаких мер для их усиления. К несчастью, огромное количество систем, подключенных к Internet, имеют установки по умолчанию. Многие организации не пред-принимают никаких мер для защиты своих систем, полагая, что они защи-щены, или не осознавая, какому риску они подвергаются. Именно этим организациям старался подражать Honeynet Project. Полученные знания также пригодятся и тем организациям, которые защищают свои системы. Как вы скоро узнаете, независимо от того, кто вы и где находитесь, взломщики вас найдут. Требуется всего лишь одна ошибка или неизвестное уязвимое место, и система организации будет взломана.
Некоторые люди спрашивали, не является ли такая техника провокацией. Системы, намеренно созданные для взлома, можно рассматривать как попытку спровоцировать взломщиков на преступление. Однако мы глубоко уверены, что Honeynet не является какой-то формой провокации по следующим причинам:
• задача Honeynet состоит не в том, чтобы поймать «плохих парней», а в том; чтобы научиться у них. Действия в пределах Honeynet записываются и анализируются, но не используются для возбуждения уголовных дел. В определенных случаях судебные органы извещались о наших находках. Однако эта информация не используется для возбуждения дел против конкретных лиц;
• системы в Honeynet не отличаются от многих других производственных сред. Единственное отличие заключается в том, что входящие и исходящие из Honeynet данные изучаются более пристально. Если рассматривать Honeynet как вид провокации, тогда под это определение попадают и многие производственные сети, находящиеся в Internet;
• участники проекта Honeynet ничего не делают для того, чтобы привлечь внимание взломщиков к своим машинам. Мы не рекламируем их существование и не заманиваем людей, чтобы они получили к ним доступ. Взломщики активно находят и нападают на эти системы по собственной инициативе. Вы будете поражены тем, насколько агрессивными могут быть хакеры.
У Honeynet также есть свои ограничения. Это прежде всего инструмент изучения, который используется для исследования и сбора данных. Honeynet - это не общее решение всех проблем обеспечения безопасности. Мы, команда Honeynet Project, настоятельно рекомендуем, чтобы сначала вы занялись защитой существующей среды, используя лучшие способы обеспечения безопасности, такие как применение патчей, удаление ненужных сервисов и просмотр системного журнала (system log). Именно эти повседневные, приземленные, но необычайно важные процедуры являются жизненно необходимой частью обеспечения безопасности организации. После того как наши требования будут выполнены и станут частью ежедневной практики, накопленный опыт использования Honeynet поможет увеличить эффективность вашей защиты. Тем временем мы надеемся продолжать свое исследование и делиться полученной информацией.
Honeynet - это механизм изучения инструментов, тактики и мотивов сообщества взломщиков. Эта система уникальна тем, что ничего не имитируется. Вместо этого создается полностью контролируемая сеть из машин с операционными системами и приложениями, которые идентичны тем, что используются в производственной системе. После того как системы взломаны, они помогают не только понять действия взломщиков, но и определить риски и слабости, существующие во внешней среде. Основная ценность проекта Honeynet заключается именно в возможности обучения. А сейчас рассмотрим, как работает Honeynet.