Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov

Honeypoty

Upozornenie: Text je licenčne chránený a nie je ho možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Prevzaté z bakalárskej práce: Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN

Z angličtiny možno slovo honeypot chápať ako „medový hrniec/pohár.“ Takmer každý projekt zaoberajúci sa honeypotmi, či honeynetmi používa symbol vzťahujúci sa k medu, hrncu, poháru, alebo včele, či úľu. Paralela s týmto pomenovaním je značná. Honeypot by bolo možné do IT žargónu preložiť ako sladká návnada (vábnička) pre útočníkov.

Lance Spitzner definuje honeypot nasledovne:

Honeypot predstavuje bezpečnostný prvok, ktorého hodnota je daná tým, že je skúmaný, atakovaný a kompromitovaný.

Vo všeobecnosti sa jedná o systém, ktorý nepredstavuje priamu produkčnú hodnotu a jeho hlavným cieľom je umožniť útočníkovi istý druh prieniku s následnou možnosťou analýzy jeho činnosti. Možno povedať, že jeho hodnota je založená na neautorizovanom použití. Systém je zámerne zraniteľný, zväčša neobsahuje softvérové ani hardvérové prostriedky, ktoré by mohli pomôcť zamedziť útoku. Práve naopak je veľmi často snahou prevádzkovateľa takéhoto systému čo najviac zatraktívniť honeypot ako potenciálny zaujímavý cieľ pre rôznych útočníkov (či už automatizované roboty - tzv. boty, alebo reálnych útočníkov).

Ide o veľmi všeobecnú definíciu tohto pojmu. Honeypotom môže byť v podstate akýkoľvek systém, aplikácia, alebo sieťový prvok postavený na najrôznejších typoch architektúry, či už hardvérovej, alebo softvérovej. Za istých okolností môže byť honeypotom i celá sieť. Honeypot ako sieť možno chápať hneď v niekoľkých súvislostiach ako tzv. honeynet, či napríklad i emulovanú sieť. Honeypot môže taktiež ponúkať mnohé typy zraniteľných služieb s rôznou úrovňou virtualizácie a voči útočníkovi sa správať buďto pasívne, alebo aktívne.

Zmyslom honeypotu je poskytnúť útočníkovi dostatočne realistické prostredie a priestor pre jeho zvyčajne nekalé aktivity, no na druhej strane musí každý honeypot zamedziť prípadnému zneužitiu systému, alebo siete. Pre tento účel sa najčastejšie využívajú rôzne spôsoby virtualizácie i emulácie, špecifické firewally – často nazývané tzv. honeywally a tiež upravené IPS systémy.

Útočník by mal vždy vnímať honeypot ako bežný systém poskytujúci nejakú službu, mal by byť na nerozoznanie od iných produkčných systémov. Honeypot tak môže ponúkať isté služby s dojmom reálnej produkčnej hodnoty za účelom zmätenia útočníka – jedná sa tak o sofistikované maskovanie honeypotu. Útočníci držia krok s aktuálnymi trendmi, a preto je možné získať zaujímavé a prínosné výsledky len ak sa použije adekvátne maskovanie.

model
Všeobecný pohľad na umiestnenie honeypotu do siete, zvyčajne sa jedná o špecifický server.

Stručná história

V akademických kruhoch sa pojem honeypot začal objavovať v 90. rokov 20 storočia. Za priekopníka v tejto oblasti možno označiť Clifforda Stolla, astronóma pracujúceho v laboratóriu Lawrence Berkley, kde spravoval počítačovú sieť, ktorý vo svojej práci z roku 1990 (1. vydanie), popísal ako odhalil počas rokov 1986 a 1987 istého nemeckého narušiteľa pomocou „honeypotu.“ Nešlo však o honeypot v pravom slova zmysle, Stoll útočníka sledoval a dokumentoval jeho postup, namiesto toho, aby zabránil jeho počínaniu hneď po jeho odhalení. Na základe analýzy, ktorú vykonal bol útočník zhruba po roku dolapený.

Ďalším dielom bola v roku 1991 práca od Billa Cheswigoma, ten analyzoval za pomoci honeypotu holandského útočníka. V roku 1997 sa objavil jeden z prvých voľne dostupných honeypotov pod názvom Deception Toolkit, o rok nasledovaný komerčným riešením s názvom Cybercop Sting. Vývoj tohto riešenia napriek vysokej technologickej úrovni, ktorú dosiahlo na svoju dobu nepokračoval, z dôvodu komerčného neúspechu.

Míľnikom vo svete honeypotov bol rok 1999, kedy vzniklo najznámejšie združenie v tejto oblasti – The Honeynet Project. Členovia stáli i za mnohými materiálmi obsahujúcimi definície elementárnych pojmov z oblasti honeypotov, pod názvom - Know Your Enemy. Významný úspech zaznamenal pojem honeypot v roku 2002, kedy bol vďaka tomuto nástroju zachytený exploit pre Solaris využívajúci dosiaľ neznámu bezpečnostnú chybu. V roku 2004 bol vydaný ešte dodnes používaný open-source nástroj z produkcie The Honeynet Project - Honeywall Roo. Po takto aktívnom období došlo k čiastkovému útlmu, no i dnes vznikajú nové implementácie honeypotov ako Dionaea, či Thug. Hoci samotná webová stránka The Honeynet Project zažíva v súčasnosti pri svojej aktivite podobne skôr útlm, komunita napríklad aktívne participuje v úlohe mentora na projekte Google Summer of Code, čo vytvára základ pre vznik mnohých nových riešení. Združenie tiež organizuje medzinárodné konferencie - The Honeynet Project Workshop.

Autor: Matej Zuzčák


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info