Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov

Honeynety s vysokou mierou interakcie

Upozornenie: Text je licenčne chránený a nie je ho možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Prevzaté z bakalárskej práce: Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN

Honeynety zložené z honeypotov s vysokou interakciou sa formovali postupne v určitých generáciách. Ich históriu začal písať zakladateľ projektu The Honeynet Project - Lance Spitzner V roku 1999 bol navrhnutý a implementovaný honeynet prvej generácie s vysokou mierou voľnosti pre útočníka. Tento honeynet pozostával z honeypotu (počítača) s plnohodnotným operačným systémom a z modifikovaného firewallu, prípadne IDS/IPS systému, ďalej i z jednoduchého prostriedku pre monitorovacie účely. Pri prvej generácií honeypotov sa ako brána zaisťujúca prístup i výstup z honeynetu a zároveň tiež limity pre sieťovú prevádzku používal firewall pracujúci na sieťovej vrstve ISO/OSI modelu. Tento firewall zvyčajne fungoval na báze modulu iptables. Individuálne mohol byť použitý i smerovač.

model
Prvá generácia honeynetu. Prerušovaná čiara značí, že IDS môže monitorovať prevádzku z lokálnej siete ešte pred samotným vstupom na smerovač.

Pri druhej generácií honeynetov, uvedenej v roku 2001 získal firewall výstižnejšie pomenovanie – honeywall. Honeywall disponuje vždy 3 sieťovými rozhraniami. Jedno slúži pre prístup na internet, druhé pre prístup k internej sieti (honeypotom), to je aj patrične monitorované a kontrolované. Pracuje ako bridge (most). Tretie rozhranie slúži pre účely vzdialenej správy. Hlavným rozdielom oproti prvej generácií je sieťové spojenie medzi honeywallom a honeypotmi na linkovej vrstve ISO/OSI modelu. Tým sa stáva pre útočníka prakticky neviditeľným. Avšak firewall na sieťovej vrstve je i naďalej používaný pre obmedzenie aktivít útočníka (limitovanie prietoku určitých paketov, uzatvorenie niektorých portov), ktoré by mohli ohroziť zvyšok siete.

model
Druhá generácia honeynetu.

Tretia a zároveň nateraz posledná priamo definovaná generácia honeynetov, využíva aj naďalej metódu mostu (bridga), avšak získané dáta vzťahujúce sa k útočníkovi dokáže identifikovať na základe ich vzájomných vzťahov. Všetko je tak prehľadne spracovávané a logované do databázy. Zlepšil sa i interný spôsob monitoringu útočníka a možnosti spracovania výstupu, napr. prostredníctvom webového rozhrania. Model bol popísaný v roku 2004 a v praxi ho využíva dnes už zastarané, nevyvíjané a nepodporované riešenie Honeywall Roo v spolupráci s modulom Sebek. V súčasnej dobe na tento koncept vo veľkej miere nadväzujú novo vznikajúce riešenia HonSSH a Bifrozt.

model
Rámcove znázornenie funkčnosti honeynetu 3. generácie.

V súčasnosti sa však detailne vyššie spomínané konvencie nedodržiavajú a prevádzkovateľ sa pridŕža len základného konceptu s tým, že konečnú implementáciu prispôsobuje aktuálnym trendom. Táto skutočnosť je podložená faktom, že od roku 2004 nebol autoritatívne predstavený a širšie akceptovaný žiadny nový koncept zohľadňujúci pokročilosť technológií a samotnej doby z časového hľadiska.

Základný koncept spočíva v troch až štyroch líniách (v závislosti na implementácií) použitých pri každom honeynete:
Data control – úlohou tejto vrstvy je zabezpečiť, aby aktivita určená pre honeynet, a teda konkrétne pre jednotlivé honeypoty neopustila uzatvorené prostredie, a tak nespôsobila reálne škody, či riziká. V súčasnosti sa tento aspekt napĺňa vďaka použitiu virtualizačných nástrojov (Oracle VirtualBox, VmWare, QEMU, či pokročilých technológií ako napr. OpenVZ) a tiež vďaka firewallom – honeywallom, či IPS systémom. Primárnou úlohou firewallu, či IPS systému je najmä zablokovať, prípadne markantne obmedziť odchádzajúcu škodlivú prevádzku napr. znížením rýchlosti pripojenia pri prebiehajúcom DDoS útoku.
Data capture – je vrstva zodpovedná za analýzu a monitorovanie aktivity v rámci honeynetu. Získava tak prehľad o technikách používaných útočníkom, monitoruje sťahované súbory, modifikované súčasti systému, či spôsoby ďalšieho šírenia. Tiež môže poslúžiť k skúmaniu ďalších spôsobov šírenia danej hrozby. V praxi sa používajú rôzne monitorovacie nástroje, ako monitorovacie moduly pre jadro systému Linux napr. Auditd, či moduly Sebek a Qebek, alebo komplexné riešenia ako Argos, z aktuálne podporovaných napr. HonSSH, ale aj vlastné navrhnuté sondy, ktoré umožňuje implementovať napríklad pokročilá virtualizácia OpenVZ. Vždy sa však jedná o kompromis, nakoľko je vhodné zasiahnuť do systému používaného ako honeypot, tak aby si to daný útočník nevšimol. Čím je zásah hlbší, tým sa znižuje pravdepodobnosť identifikácie sofistikovaného útoku. Pri takomto type útoku sa totiž predpokladá vyššia erudovanosť útočníka, ktorý môže zásahy v systéme objaviť. Ideálna situácia je, ak sa do honeypot systému vôbec nezasahuje a všetky monitorovacie aktivity sa vykonávajú mimo takýto systém. To je možné realizovať napr. použitím špecializovaných nástrojov na báze port forwardingu, alebo vďaka spomínanej pokročilej virtualizácií.
Data collection a Data analysis – predstavuje spôsob akým bezpečne transportovať, zhromaždiť a uschovávať dáta produkované senzormi. Veľmi často sa do tejto vrstvy pridáva i funkcionalita záverečného spracovania získaných dát. Jedná sa napríklad o štatistické vyhodnotenie alebo podrobnejšiu analýzu údajov, ktoré potenciálne poukazujú na nové techniky útokov, či dosiaľ neznáme hrozby. V praxi sa zvyčajne jedná o pokročilé databázové systémy, webové rozhrania a nástroje slúžiace na vizualizáciu získaných dát. Tá môže prebiehať v reálnom čase i súhrnne za určité obdobie.

Virtuálne honeynety

Virtuálny honeynet je komplexný honeynet bežiaci na jednom počítači vo virtuálnom prostredí. Na jednom výkonnom serveri (počítači) môže bežať v súčasnosti celý honeynet, skladajúci sa z honeypotov, ktoré majú rôzne operačné systémy a softvérové vybavenie. Tieto virtuálne stanice zdieľajú výkon hostiteľského stroja – teda procesor, pamäť, diskovú kapacitu, či periférie. Ide o veľmi efektívnu úsporu financií i zjednodušenie správy a zálohovania. V prípade komplikácií je možné celý systém jednoducho obnoviť. Technológie, ktoré umožňujú vytvoriť takýto honeynet už boli spomínané, jedná sa napr. o VmWare, či OpenVZ.

Autor: Matej Zuzčák


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info