Итак, вторая часть нашей эпопеи о таких
достопримечательностях как Honeypot. 

Honeynet

Что же представляет из себя эта медовая
сеть и чем она отличается от Honeypot?
Собственно, понятно из названия, что Honeynet
это разновидность Honeypot, только система
представляет из себя не один компьютер, а
целую их сеть (либо виртуальную, при которой
на одном компьютере эмулируется работа
многих ОС и устройств, либо реальную, при
которой используется совершенно реальная
локалка). Сеть сидит за неким фильтром (файрволом)
и перехватывает все входящие и исходящие
соединения, затем информация о проделанной
хакером работе рассматривается и
анализируется. Внутри Сети может быть
размещено множество различных компьютеров,
например с Solaris, Linux, Windows NT, а так же свичи и
маршрутизаторы. Honeynet, конечно же, создает
для стороннего грабителя более реальную
картину, нежели стоящий отдельно и в
одиночестве Honeypot. К тому же, используя много
машин с различным программным обеспечением,
пусть даже и виртуальным, мы сможем узнать
гораздо больше о тактике хакера нежели при
использовании одного компьютера. 

Подобно обычному Honeypot, Honeynet преследует
точно такие же цели - сбор данных о
действиях хакеров, пытающихся взломать
систему, выявление слабых мест в своей защите.
Специфика работы ловушки состоит из двух
факторов - из необходимости перехватывать
всю информацию, передающуюся в вашей
медовой сети, и в необходимости держать
проникшего под полным контролем. Сложность
первого варианта - в необходимости собирать
информацию сразу из множества ресурсов и на
множестве уровней (например - файрвол,
система обнаружения вторжений (IDS), логи
всех систем, входящих в сеть), как можно
больше, только так вы увидите полную
картину действий. Причем необходимо, что бы
хакер даже не подозревал о том, что за ним
ведется слежка и не смотал бы удочки раньше
времени, а потому, по очевидным причинам,
надо предусмотреть систему хранения
информации вне Honeynet.

В контроле Honeynet конечно же есть и свои
проблемы: ежу понятно, что нельзя дать
хакеру использовать вашу сеть для атаки на
другие сервера, например для DoS нападений. В
тоже время необходимо дать возможность
атакующему соединяться с внешним миром -
например для загрузки руткитов, соединения
с IRC, посылки почты и т.д. Вот такой дуализм...

Ты, как человек не обремененный финансами,
наличием локальной сети и большого числа не
занятых компьютеров, думаю задумаешься о
создании виртуальной сети-ловушки.
Профессионалы для ее развертывания
советуют использовать: VMware
Workstation
- виртуальную машину, на которой
можно запускать практически любые
операционные системы (о развертывании Honeynet
при помощи VMware ты можешь прочитать тут
или тут, а об
управлении - здесь);
VMware GSX
Server
- старший брат рабочей станции; User
Mode Linux
- специальный ядреный модуль,
позволяющий запускать несколько
виртуальных копий Linux.

Что же касается софта для работы самой
Honeynet, то отсылаю тебя на сайт организаторов
- www.honeynet.org, там в
разделе Tools собрано все, что тебе необходимо
для работы.

Ну, на этом пока все, пиши комментарии если
интересно.

Honeypot Farm, Honeypot, Хонейпот, ловушка для хакера, основы Honeypot, защита сети, программы-ловушки

Check Also

Фреймворки для постэксплуатации. Выбираем между Metasploit, Cobalt Strike, Merlin, Apfell, Faction C2, Koadic и другими

В этой статье мы поговорим о фреймворках, которые помогут эксплуатировать уязвимости, закр…

Оставить мнение