Honeypot - этот казалось бы детский термин
(горшочек с медом) уже давно широко
используется
в мире компьютерной безопасности. Что же
это за система, которую используют
админы для ловли хакеров? Сейчас я
постараюсь разложить все по полочкам и
рассказать тебе о меде, горшках и чуть-чуть
о хакерах.
Что такое honeypot?
Идея скрытых ловушек или сладкого для
хакер места на самом деле не нова. Идея
зародилась, если я не ошибаюсь, еще 1990 году.
Общее и устоявшееся определение honeypot - "это
ресурс, задача которого отдаться хакеру,
цель которого принять тест, атаку и быть
взломанным". Это означает, что создавая
honeypot мы ожидаем от него регистрации начала атаки и
взлома . В глобальном смысле это инструмент,
который каждый волен применять по своему.
Это может быть эмулятор другой системы или
приложения, некая "темница с засадой", или просто
стандартная система. Как бы вы не построили
свой горшочек, главная его задача -
подвергнутся нападению и рассказать вам в
подробностях об этом. Как инструмент ваш
honeypot может выполнять и разные задачи:
определять начало атаки, собирать
информацию или рассказывать вам
интересную информацию о действиях хакера (принято
разделение - на производственные ловушки и
исследовательские: первые занимаются
защитой сетей, вторые для сбора информации).
Как работает honeypot? На пальцах это выглядит
очень просто - стоит себе машина (ресурс,
скажем более обще), которая фактически
ничего не делает. Следовательно любое
внешнее взаимодействие с горшком - вероятно
хакерская активность. Тем и хорош honeypot:
- Он собирает малое количество информации,
но ее значение велико. Вместо того, что бы
копаться в 5.000 предупреждениях и 10 Гб
логах не проще ли разбирать их 30 и всего 1
Мб? Данные, которые предоставляет ловушка,
гораздо легче анализировать! - Как уже было сказано выше фактически
honeypot не имеет никакой авторизованной
активности, то есть он фактически ничего
не делает (представь, допустим, веб-сервер,
который не имеет имени и никому не
известен, количество заходящих на него
людей стремится к 0), потому все, кто на
него ломится - потенциальные взломщики.
Количество ложных сигналов сводится к
тому же 0... - Все потому же не требуется для такой
системы мощной машины или каких то
навороченных систем управления.
Определились у ловушек, конечно, и
недостатки: во-первых это так называемый
ограниченный вид, ведь горшочек
регистрирует только направленные
непосредственно на него атаки, а во-вторых
просто напросто выставление на всеобщее
обозрение нового ресурса - всегда
небезопасно, если у вас нет достаточных
знаний и квалификации хакер может победить
вас в вашей же ловушке.
С чего начать?
Естественно, как и всюду в мире, лучшего и
универсального honeypot-а не существует. В
каждом конкретном случае надо выбирать
себе программу исходя из намечаемых целей.
Лучшим для начинающих всеми признается
honeypot BackOfficer
Friendly - чрезвычайно простая, бесплатная
программа для Windows. Она ограничена в
возможностях, но общую концепцию этого
веселья вы поймете. Для *nix систем
существует Honeyd,
OpenSource решение, о котором много раз писали
даже в русском Интернете. Honeyd по своему
уникальная вещь - может эмулировать более
400 различных операционных систем и
тысячи компьютеров одновременно. Причем он
не только эмулирует ОС на уровне приложений,
но и на уровне IP стека, чего никто из
конкурентов делать не в состоянии.
Ну вот пожалуй на сегодня и все, во второй
части я постараюсь рассказать о Honeynet,
некоторых других программах.
Honeypot Farm, Honeypot, Хонейпот, ловушка для хакера, основы Honeypot, защита сети, программы-ловушки
