Поддержание honeynet и реагирование на атаки


Поддержание и забота о Honeynet требует постоянного внимания: системам обнаружения вторжения нужны обновленные базы данных сигнатур, регистрационные журналы брандмауэра необходимо просматривать и архивировать, а в исходные коды нужно вносить некоторые изменения. Honeynet не относится к решениям типа «поставил и забыл». Она нуждается в постоянной поддержке (модернизации), поскольку находится в процессе разработки и улучшения. Каждый раз при взломе honeypot мы узнавали много нового не только о взломщике, но и о нас самих. Мы совершенствовали способы сбора данных и средства для их анализа. Например, когда мы «утонули» в трафике IRC, Макс Вижн создал утилиту privmsg.pl, чтобы быстро и эффективно извлекать важную информацию. Марти Рош постоянно вносил изменения в Snort, чтобы улучшить процесс записи данных. Процесс подгонки не прекращается. Кроме того, необходимо идти в ногу со взломщиками. По мере того как «плохие парни» разрабатывают новую технику взлома, нам также нужно придумывать что-то новое. Например, Snort больше года была приемлемым решением для записи комбинаций клавиш, так как она перехватывала в Internet сеансы связи открытым текстом. Однако как только взломщики стали использовать ssh и шифровать весь свой трафик, появилась потребность в альтернативном варианте. Модифицированные версии bash/ и специальные драйверы ядра быстро доказали свою эффективность. По мере того как взломщики адаптируются к новым условиям, должна меняться и Honeynet.
Другой важный момент заключается в реакции на нападение. При взломе honeypot кто-то должен узнать об этом и быстро среагировать. Нет двух взломщиков, которые бы нападали одинаковым способом. Как только атака будет обнаружена, например при помощи предупреждения посланного системой IDS или системного журнала брандмауэра, лучше всего как можно скорее просмотреть всю информацию. Мы обнаружили, что во время осуществления атаки первоначальную информацию лучше всего изучать в виде комбинаций клавиш, которые помогают определить, что ищут взломщики. После этого мы будем знать, как реагировать. Например, хакеры часто пытаются использовать взломанную систему honeypot для проведения нападений типа «отказ от обслуживания» на другие системы в Internet. Как только это намерение определяется, можно сразу же убедиться, что маршрутизатор и брандмауэр пресекают подобные попытки. Однако, если вы узнали, что взломщик планирует использовать honeypot для установления соединений типа IRC, вам не нужно блокировать эти попытки, поскольку IRC - великолепный источник информации. Когда honeypot взломана, очень важно определить мотивы нарушителя. Затем необходимо убедиться, что контроль и запись данных выполняются именно так, как было задумано.