Honeypot - этот казалось бы детский термин
(горшочек с медом) уже давно широко
используется
в мире компьютерной безопасности. Что же
это за система, которую используют
админы для ловли хакеров? Сейчас я
постараюсь разложить все по полочкам и
рассказать тебе о меде, горшках и чуть-чуть
о хакерах.

Что такое honeypot?

Идея скрытых ловушек или сладкого для
хакер места на самом деле не нова. Идея
зародилась, если я не ошибаюсь, еще 1990 году.
Общее и устоявшееся определение honeypot - "это
ресурс, задача которого отдаться хакеру,
цель которого принять тест, атаку и быть
взломанным". Это означает, что создавая
honeypot мы ожидаем от него регистрации начала атаки и
взлома . В глобальном смысле это инструмент,
который каждый волен применять по своему.
Это может быть эмулятор другой системы или
приложения, некая "темница с засадой", или просто
стандартная система. Как бы вы не построили
свой горшочек, главная его задача -
подвергнутся нападению и рассказать вам в
подробностях об этом. Как инструмент ваш
honeypot может выполнять и разные задачи:
определять начало атаки, собирать
информацию  или рассказывать вам
интересную информацию о действиях хакера (принято
разделение - на производственные ловушки и
исследовательские: первые занимаются
защитой сетей, вторые для сбора информации).

Как работает honeypot? На пальцах это выглядит
очень просто - стоит себе машина (ресурс,
скажем более обще), которая фактически
ничего не делает. Следовательно любое
внешнее взаимодействие с горшком - вероятно
хакерская активность. Тем и хорош honeypot:

  • Он собирает малое количество информации,
    но ее значение велико. Вместо того, что бы
    копаться в 5.000 предупреждениях и 10 Гб
    логах не проще ли разбирать их 30 и всего 1
    Мб? Данные, которые предоставляет ловушка,
    гораздо легче анализировать!
  • Как уже было сказано выше фактически
    honeypot не имеет никакой авторизованной
    активности, то есть он фактически ничего
    не делает (представь, допустим, веб-сервер,
    который не имеет имени и никому не
    известен, количество заходящих на него
    людей стремится к 0), потому все, кто на
    него ломится - потенциальные взломщики.
    Количество ложных сигналов сводится к
    тому же 0...
  • Все потому же не требуется для такой
    системы мощной машины или каких то
    навороченных систем управления.

Определились у  ловушек, конечно, и
недостатки: во-первых это так называемый
ограниченный вид, ведь горшочек
регистрирует только направленные
непосредственно на него атаки, а во-вторых
просто напросто выставление на всеобщее
обозрение нового ресурса - всегда
небезопасно, если у вас нет достаточных
знаний и квалификации хакер может победить
вас в вашей же ловушке. 

С чего начать?

Естественно, как и всюду в мире, лучшего и
универсального honeypot-а не существует. В
каждом конкретном случае надо выбирать
себе программу исходя из намечаемых целей.
Лучшим для начинающих всеми признается
honeypot BackOfficer
Friendly
- чрезвычайно простая, бесплатная
программа для Windows. Она ограничена в
возможностях, но общую концепцию этого
веселья вы поймете. Для *nix систем
существует Honeyd,
OpenSource решение, о котором много раз писали
даже в русском Интернете. Honeyd по своему
уникальная вещь - может эмулировать более
400  различных операционных систем и
тысячи компьютеров одновременно. Причем он
не только эмулирует ОС на уровне приложений,
но и на уровне IP стека, чего никто из
конкурентов делать не в состоянии.  

 

Ну вот пожалуй на сегодня и все, во второй
части я постараюсь рассказать о Honeynet,
некоторых других программах.

Honeypot Farm, Honeypot, Хонейпот, ловушка для хакера, основы Honeypot, защита сети, программы-ловушки

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии