Как работает Honeynet


Одной из самых больших проблем при обнаружении и фиксации подозрительных действий, с которыми сталкиваются администраторы и приложения, обеспечивающие безопасность, такие как системы обнаружения вторжения, является перегрузка данных. На них обрушивается море информации, поэтому очень трудно определить, что относится к производственному трафику, а что - к подозрительным и «ненормальным» действиям. Сетевые системы обнаружения вторжения также постоянно сталкиваются с необходимостью каким-то образом исключать ошибочные результаты, когда высылается предупреждение о подозрительных действиях при отсутствии таковых. Администраторам ежедневно приходится просматривать сотни мегабайт журналов регистрации системы и брандмауэра. Производственный трафик постоянно изменяется и развивается, усложняя задачу определения «нормального» трафика. Honeynet решает эту и многие другие проблемы благодаря своей простоте.
Идея такова - создать жестко контролируемую сеть. В пределах этой сети разместить производственные системы, а затем выполнять наблюдение, запись и анализ всех действий, происходящих в ней. Так как это не производственная система, а все-таки наша Honeynet, весь трафик является изначально подозрительным. Если кто-то инициирует соединение с системой, входящей в Honeynet, это, скорее всего, означает проведение какого-то сканирования или зондирования системы или сети. Если система, входящая в Honeynet, инициирует исходящее соединение, значит, она была взломана. Это упрощает весь процесс исследования, так как записывается совсем немного данных. По умолчанию вся собранная информация подозрительна. Затем можно легко и быстро сконцентрироваться на той информации, которая имеет наибольшую ценность.
В этой книге любую систему (имеется в виду отдельный компьютер, подключенный к сети Honeynet), входящую в Honeynet, мы будем называть honeypot. Это определение отличается от традиционного подхода, при котором предполагается наличие имитируемых систем или слабых мест системы. Однако когда мы говорим о honeypot, то подразумеваем производственную систему, входящую в Honeynet.
Создание и поддержка Honeynet зависит от двух важных составляющих контроля и записи данных:
• после того как honeypot, входящая в Honeynet, взломана, мы должны остановить взломщика и убедиться, что honeypot не используется для взлома производственных систем в других сетях. Поток входящей и исходящей из Honeynet информации должен автоматически конт-ролироваться, чтобы взломщик ничего не заподозрил. Эта часть работы называется контролем данных,
• нужно каким-то образом зафиксировать всю информацию, которая входит и покидает сеть, чтобы взломщики не знали о том, что за ними наблюдают. Кроме того, данные нельзя хранить на самих системах honeypot. Взломщик может найти эти данные, которые раскроют ему истинную суть Honeynet. Если хранить данные в локальных системах honeypot, они могут потеряться, когда взломщик разрушит или изменит систему. Эта часть работы называется записью данных.