В прошлом мы уже
рассказывали
о системах Honeypot, о их
классификации, целях и задах. Сегодня речь
пойдет о глобальной системе, которая
пригодна скорее для огромных организаций с
массой подсетей и тысячами компьютеров - о
системе класса Honeypot Farm.

Так в чем же проблема Honeypot? Ведь за
последние годы системы обнаружения хакера
такого класса доказали свою действенность
и работоспособность. Honeypot'ы по своему
уникальны, однако развертывание таких
систем в большой организации довольно
затруднительно. К тому же ловушки
"видят" лишь ограниченный участок
сети. В отличие от IDS системы, Honeypot не
мониторит весь сетевой трафик и не может
отвечать за всю сеть - для того, что бы
ловушка сработала, хакер должен в нее
залезть. Есть, конечно, несколько методов,
которыми взломщика можно направить к
медовому месту, однако в общем случае верно
правило - чем больше точек существует в
сети, чем большее пространство они
охватывают, тем больше шанс обнаружить
неавторизованную активность. Если большие
организации располагают сотнями, если не
тысячами подсетей, то развертывание
эффективной сети Honeypot'ов в такой ситуации -
отнюдь не тривиальная задача. К сожалению,
как и во многих случаях, чем больше Honeypot'ов
размещается, тем больше ресурсов они
требуют, тем больше людей нужно для
конфигурирования, администрирования,
конечно тем больше времени на них
затрачивается.

Ситуация еще больше усложняется в случае
использования Honeynet'ов, сети (пусть и
виртуальной) Honeypot'ов. Используя такие
простые, примитивные системы как KFSensor,
Honeyd
или Specter, мы
можем просто ограничится их установкой, а
потом сидеть и ждать, что же случится. По
отдельности такие системы довольно легко
контролировать, так как объем
перехватываемых ими данных достаточно мал,
но очень эффективен. Такие системы просто
запускать, и контролировать, в общем говоря
- они практически не требуют ухода. Однако
более комплексные и сложные системы,
которые нам и интересны, требуют гораздо
большего участия человека. Ведь каждая Honeynet
фактически сеть в сети, она требует почти
столько же рабочего времени, что и
настоящая сеть, а может быть даже и больше.
Будучи однажды развернутым, качественная
ловушка требует опеки и внимания :), так как
в случае неправильного конфигурирования
может превратится не в ловушку, а в
помощника для хакера. Кроме того, ее и
настраивать надо тщательно и умело, потому
что в противном случае информации будет
столько, что она просто затопит сисадмина
(по некоторым оценкам на "расшифровку"
получаса действий хакера админ может
потратить до 30 часов рабочего времени). А
теперь представьте, что в вашей сети таких
точек ловли бандитов тысячи...

Кто виноват и что делать?

Видимое решение такой проблемы - Honeypot Farm.
Концепция "фермерства" очень проста.
Вместо разбрасывания большого количества
ловушек или сетей по всем подразделения, мы
просто собираем все Honeypot'ы в одно месте, на
некой виртуальной пасеке. Единая сеть
ловушек и станет вашей фермой, где вы будете
разводить незадачливых хакеров :).
Атакующий будет перенаправляться именно к
ней, несмотря на то, в какую часть вашей сети
он попытался вломиться.

(Продолжение будет)

Оставить мнение