Системный уровень


При записи всех данных нельзя зависеть от регистрационных журналов (log) брандмауэра или модулей проверки текущего состояния. Например, если взломщик использует при работе с Honeynet шифрование данных, в частности ssh, запись их усложняется, так как сетевые данные зашифрованы. Мы должны записывать комбинации клавиш и действия в системе внутри программ, например в ssh. Запись данных в системах составляет следующий уровень.
Однако какая бы информация из систем ни записывалась, ее нельзя хранить локально, как мы уже обсуждали. Любые собранные системные данные должны храниться удаленно, чтобы защитить их целостность. Для сбора данных и удаленного их хранения существует несколько методов. Первый метод заключается в использовании выделенного сервера syslog во внутренней сети Honeynet. Задача syslog состоит в сборе всех системных журналов Honeynet. Системные журналы - это отличный источник информации, поскольку они обычно регистрируют то, как хакер взломал систему и получил к ней доступ. Тем не менее после атаки взломщики зачастую изменяют или стирают именно системные журналы. По этой причине нужно хранить информацию удаленно на защищенном сервере.
Даже если сервер syslog взломанной системы будет уничтожен, первоначальная информация о том, как взломщик получил доступ, может оказаться необычайно ценной. Теперь у нас есть централизованный пункт для удаленного сбора информации, который защищает системные журналы, как важные источники записи информации, от изменения или уничтожения из взломанных систем. Практически все сетевые устройства поддерживают удаленную регистрацию, включая маршрутизаторы, Windows NT, коммутаторы и системы UNIX, так что это является эффективным методом сбора данных.
Сервер syslog также служит еще одной, более коварной задаче. Сервер syslog представляет собой также сложную систему honeypot и, следовательно, наиболее защищенную систему в Honeynet. На примере этой honeypot мы можем изучить более изощренные инструменты и тактику сообщества взломщиков. Когда они взламывают одну из менее защищенных систем Honeynet, то могут заметить, что system logs переправляются на удаленный сервер. Многие из атакующих попытаются взломать удаленный сервер, чтобы скрыть свои следы и уничтожить записи. Однако удаленный регистрационный сервер - гораздо более защищенная система, для взлома которой требуются изощренные инструменты и сложная тактика. Таким образом, можно узнать намного больше, если взломщик нацелится на регистрационный сервер. Имейте в виду, что, даже если будет взломан удаленный сервер syslog и все записи будут стерты, ничего не потеряется. Помните, наш сервер IDS, который записывает все пакеты, также фиксирует все регистрационные файлы, посылаемые на удаленный сервер syslog, потому что эта информация пересылается в пределах сети. IDS выступает в качестве вторичного, но пассивного сервера syslog. Таким образом, не только регистрационные файлы удаленно регистрируются на сервере syslog, но и все system logs пассивно записываются в IDS. Еще раз повторим, что многоуровневая запись данных имеет огромное значение.
Дополнительная информация - в частности, комбинации клавиш - также может быть зафиксирована в системах. Запомните, если взломщик установил соединение с шифрованием передаваемых данных, мы не сможем записать комбинации клавиш из сети, вот почему нам нужен альтернативный вариант записи данных. Однако изменения в системах honeypot необходимо свести к абсолютному минимуму. Эти системы должны дублировать функции производственных систем. Так что нужно минимизировать все изменения.
Для систем UNIX можно модифицировать системную оболочку, чтобы записывать и регистрировать комбинации клавиш. При этих изменениях bash будет регистрировать комбинации клавиш через syslogd2. Кроме того, можно создать драйверы устройства, которые записывают и пересылают комбинации клавиш. Подобные изменения более подробно опи-саны на сайте http://www.dmkpress.ru. Можно найти и исходный код, и компилированный двоичный код. Однако у syslogd есть свои ограничения при записи данных. Именно эту программу взломщики уничтожают или изменяют в числе первых. Если регистрация и пересылка комбинаций клавиш будут зависеть только от syslogd, то мы сумеем записать лишь первоначальный взлом. Требуется более надежное решение. Один вариант заключается в использовании привилегированных модулей, которые записывают действия в системе, в том числе и комбинации клавиш, а затем переправляют эти данные в удаленную систему, где они все собираются. Однако по приведенным выше причинам нельзя полагаться на syslogd при пересылке информации. Нужно использовать какие-то иные средства, например запись информации на последовательный кабель, или другое сетевое устройство записи данных.