Риск


Вместе с Honeynet появляется огромная ответственность. Необходимо убедиться, что вы сделали все возможное, чтобы минимизировать риск и продолжать наблюдать и поддерживать защищенное окружение. Мы заставляем взломщиков нападать и взламывать наши системы. С подобным окружением всегда есть вероятность, что что-то пойдет не так. С целью сдержать исходящие соединения мы установили брандмауэр. Вполне возможно, что взломщик разработает способ или инструмент, чтобы обойти наши методы контроля доступа. Нельзя недооценивать творческие способности взломщиков. Использование брандмауэров, маршрутизаторов и других технических приемов снижает риск использования Honeynet для нанесения ущерба другим системам. Тем не менее риск остается.
Например, несмотря на то что мы предприняли меры, чтобы Honeynet не была использована для нанесения вреда производственным системам, контроль данных можно обойти. Предположим, наша защищенная Honeynet жестко ограничивает исходящие соединения, разрешая только одно исходящее соединение для каждой системы в Honeynet. Если взломщик пытается установить два или более исходящих соединения, брандмауэр автоматически блокирует попытку и любые другие соединения. После того как honeypot взломана, атакующий может использовать единственное разрешенное соединение, выйдя в Internet при помощи FTP, чтобы загрузить свой инструментарий. Если взломщик захочет установить любое другое соединение с Internet, брандмауэр его заблокирует. Это кажется безопасным: система, входящая в Honeynet, не может быть использована для взлома других систем. Однако данное утверждение неверно. В нашем примере взломщик устанавливает программу Named NXT, которую разработал Horizon (псевдоним хакера) из ADM Crew (команда хакеров). Она функционирует так, что взломщик устанавливает в систему DNS с троянским конем, после чего может взламывать уязвимые DNS в Internet, запрашивая у них определенное имя домена. Это имя разрешается DNS с троянским конем, которая установлена на взломанной honeypot. В результате уязвимые серверы начинают поиск имени домена во взломанной системе Honeynet. Поскольку любая система Internet может установить соединение с Honeynet, этот прием, скорее всего, сработает. Итак, система из Internet взламывается при помощи системы Honeynet, несмотря на то что мы жестко ограничили исходящие соединения. Более подробную информацию о взломе с помощью Named NXT можно найти в приложении С.
Помимо этого можно обойти запись данных. Взломщики постоянно совершенствуют технику анти-IDS или шифрование. Например, Дуг Сонг (Dug Song) разработал инструментарий под названием fragrouter (http:// www.anzen.com/research/nidsbench/) специально для того, чтобы обойти системы обнаружения вторжения. Этот инструментарий разбивает пакеты на уникальные паттерны, из-за чего системам обнаружения вторжения трудно вычислить сигнатуры нападения. В компании Rain Forest Puppy разработали механизм сканирования под названием whisker (http:// iuwmwiretrip.net/rfp/p/doc.asp?id=21&iface=5); этот инструмент пытается противодействовать записи данных путем сегментации сигнатур. Большинство систем записи способны обнаружить применение этих приемов. Однако могут появиться новые неизвестные разработки, которые позволят обойти любые используемые нами методы.
Имейте в виду: независимо оттого, какие предпринимаются меры по обеспечению безопасности, всегда существует риск - в частности, риск того, что появится кто-то умнее нас. Для того чтобы снизить его, Honeynet нуждается в постоянном администрировании и поддержке.
Два основных момента заключаются в контроле и записи данных. Контроль данных - это их фильтрация, место направления определенных данных. Важным элементом является учет того, какие исходящие соединения можно устанавливать, чтобы минимизировать риск. Запись данных заключается в сборе информации, что является конечной целью создания Honeynet. Залог успеха записи данных - в многоуровневости. Для сбора данных необходимо использовать разнообразные техники. Ни один уровень не должен быть единственным хранилищем какой-то информации. Наконец, социотехника - это метод «поддержания привлекательности Honeynet, позволяющий приманить и изучить более продвинутых членов сообщества взломщиков. Однако имейте в виду, что, какие бы шаги вы ни предпринимали, риск существует всегда. Команда Honeynet Project сделала все возможное, чтобы снизить этот риск, но его никогда нельзя исключить. В армии сказали бы: «Нельзя недооценивать своего противника».