Итак, вторая часть нашей эпопеи о таких
достопримечательностях как Honeypot.
Honeynet
Что же представляет из себя эта медовая
сеть и чем она отличается от Honeypot?
Собственно, понятно из названия, что Honeynet
это разновидность Honeypot, только система
представляет из себя не один компьютер, а
целую их сеть (либо виртуальную, при которой
на одном компьютере эмулируется работа
многих ОС и устройств, либо реальную, при
которой используется совершенно реальная
локалка). Сеть сидит за неким фильтром (файрволом)
и перехватывает все входящие и исходящие
соединения, затем информация о проделанной
хакером работе рассматривается и
анализируется. Внутри Сети может быть
размещено множество различных компьютеров,
например с Solaris, Linux, Windows NT, а так же свичи и
маршрутизаторы. Honeynet, конечно же, создает
для стороннего грабителя более реальную
картину, нежели стоящий отдельно и в
одиночестве Honeypot. К тому же, используя много
машин с различным программным обеспечением,
пусть даже и виртуальным, мы сможем узнать
гораздо больше о тактике хакера нежели при
использовании одного компьютера.
Подобно обычному Honeypot, Honeynet преследует
точно такие же цели - сбор данных о
действиях хакеров, пытающихся взломать
систему, выявление слабых мест в своей защите.
Специфика работы ловушки состоит из двух
факторов - из необходимости перехватывать
всю информацию, передающуюся в вашей
медовой сети, и в необходимости держать
проникшего под полным контролем. Сложность
первого варианта - в необходимости собирать
информацию сразу из множества ресурсов и на
множестве уровней (например - файрвол,
система обнаружения вторжений (IDS), логи
всех систем, входящих в сеть), как можно
больше, только так вы увидите полную
картину действий. Причем необходимо, что бы
хакер даже не подозревал о том, что за ним
ведется слежка и не смотал бы удочки раньше
времени, а потому, по очевидным причинам,
надо предусмотреть систему хранения
информации вне Honeynet.
В контроле Honeynet конечно же есть и свои
проблемы: ежу понятно, что нельзя дать
хакеру использовать вашу сеть для атаки на
другие сервера, например для DoS нападений. В
тоже время необходимо дать возможность
атакующему соединяться с внешним миром -
например для загрузки руткитов, соединения
с IRC, посылки почты и т.д. Вот такой дуализм...
Ты, как человек не обремененный финансами,
наличием локальной сети и большого числа не
занятых компьютеров, думаю задумаешься о
создании виртуальной сети-ловушки.
Профессионалы для ее развертывания
советуют использовать: VMware
Workstation - виртуальную машину, на которой
можно запускать практически любые
операционные системы (о развертывании Honeynet
при помощи VMware ты можешь прочитать тут
или тут, а об
управлении - здесь);
VMware GSX
Server - старший брат рабочей станции; User
Mode Linux - специальный ядреный модуль,
позволяющий запускать несколько
виртуальных копий Linux.
Что же касается софта для работы самой
Honeynet, то отсылаю тебя на сайт организаторов
- www.honeynet.org, там в
разделе Tools собрано все, что тебе необходимо
для работы.
Ну, на этом пока все, пиши комментарии если
интересно.
Honeypot Farm, Honeypot, Хонейпот, ловушка для хакера, основы Honeypot, защита сети, программы-ловушки