Продолжаю рассказ
о Honeypot Farm.
Итак, атакующий перенаправляется в "ферму"
несмотря на то, в какую часть сети он
ломится. Надо помнить, что Honeypot не
перехватывает данные, передающиеся по сети,
так что он, фактически, не должен физически
быть подключенным к сети, а лишь
присутствовать в ней виртуально.
Редиректор, который перенаправляет хакера
к медовым машинам, действует как прокси-сервер,
отправляя взломщика пастись на "ферму"
так, что тот даже и не подозревает об этом.
Атакующий думает, что он при делах и все еще
общается с машиной в локальной сети... Такой
редиректор, будучи однажды размещен в сети,
будет отсылать всех атакующих или
неавторизованную активность в Honeypot Farm, где
админы уже будут разбираться с ней. Такой
"прокси" может быть "черным ящиком",
который локальный администратор просто "включает"
в сеть, которому не требуется настройка (вернее
она была предварительно проведена
компетентными специалистами Honeypot Farm).
Редиректор мониторит неиспользуемые IP - при
первом контакте (или подозрительном
контакте) подозреваемый и перебрасывается
в главную ловушку.
Потенциальные преимущества размещения
такой медовой фабрики многочисленны.
Развертывание ловушек становится довольно
простым занятием, ведь вместо тысяч Honeypot'ов
вдоль всей вашей локальной сети мы строим
их сеть в едином, удобном для работы, месте.
В таком виде ферма может состоять из
нескольких не очень сложных ловушек или же
больших Honeynet'ов, имитирующих работу сотен
систем и приложений, которые жаждут принять
в свои объятья хакера. Централизации
позволяет упростить и стандартизировать
возведение, настройку, администрирование,
анализ данных Honeypot'ов. А значит появляется
больше времени на улучшение вашей системы...
Ну и последнее преимущество - в большей
безопасности. Ведь всегда, особенно в
сложных системах типа Honeynet, существует
вероятность того, что хакер возьмет верх и
уже с Honeypot'а начнет атаку на нормальные
компьютеры сети. В случае существования
множества ловушек в разных частях сети риск
увеличивается, а соединение их в единое
целое его уменьшает.
Что делать
Концепция Honeypot Farm достаточно новая и
потому существует еще ряд проблем с
развертыванием таких систем. Например,
концепция редиректа. Ведь перенаправление
должно работать незаметно для хакера. потом,
какие действия отдавать ферме, какой
ловушке внутри нее и как? Какие адрес
мониторить? Это лишь малая часть вопросов
на которые нужно ответить при
развертывании ферм.
Однако уже на основе существующих решения
можно возвести приличную ферму. Одно из
простейших решений - использовать
возможности Honeyd. Это OpenSource Honeypot с
возможностью наблюдения за неиспользуемым
IP пространством. Любое соединение к
неиспользуемому IP адресу (которых может
быть тысячи) перехватывается Honeyd, который
потом и взаимодействует с нападающим. Одна
из возможностей Honeyd - форвардить хакера на
другой IP. Используя эти proxy-возможности
программы можно направлять хакера к
центральному сборищу (ферме), где уже можно
развернуть качественный и богатый Honeynet и
таким образом совместить простые Honeyd со
сложными Honeynet. Итого, нам нужен всего один
реальный Honeyd и мощный Honeynet, такая связка
позволит узнать гораздо больше, чем
множество простых Honeyd. В такой реализации
существует несколько недостатков (например,
атакующий способен заметить редирект), но
все же она показывает преимущества и
возможность построения Honeypot Farm.
Еще одним примером реализации фермы
является NetBait.
В этой коммерческой программе уже заложена
возможность реализации центральной
ловушки (ее называют ServerFarm). В ней можно
разместить любую систему. В NetBait уже сделан
редиректор, который направляет хакера к
заранее определенной системе ServerFarm,
незаметно для нападающего. Причем в
качестве ServerFarm может работать фирменная
ферма NetBait, которую разместили в самой
конторе. В таком варианте в организации
всего лишь нужно разместить редиреторы,
которые будут отсылать все данные в NetBait.
Вуаля - Honeypot Farm уже не служба, а сервис,
организациям не нужно возводить фермы и
анализировать данные, заботится о
возможности проникновения через сами
ловушки. Все это ложится на плечи конторы
NetBait.
Фамилия? Итого!
Honeypot Farm - новая концепция с великолепными
возможностями развития. Вероятно именно в
этом направлении и будет разиваться все
направление Honeypot, особенно в больших сетях.
