Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov

Kategorizácia honeypotov

Upozornenie: Text je licenčne chránený a nie je ho možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Prevzaté z bakalárskej práce: Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN

Honeypoty možno klasifikovať na základe mnohých hľadísk. Z literárnych prameňov, ktoré sú pre túto oblasť dostupné, prípadne z relevantných internetových materiálov, je možné zistiť, že nie vždy panuje zhoda ich pri kategorizácií.

Aktivita honeypotov

Primárna kategorizácia sa deje na základe aktivity honeypotov. Honeypot môže byť pasívny, a teda len ponúkať svoje zraniteľné služby ako server, alebo aktívne prehľadáva sieť, ako klient a interaguje tak so servermi. Pasívne honeypoty sa zvyknú označovať ako serverové. Aktívne honeypoty možno označiť, naopak ako klientske. Ak takýto honeypot nájde určitý server, interaguje s ním spôsobom simulácie softvéru na strane klienta. Ide napríklad o simuláciu zraniteľného webového prehliadača, e-mailového klienta, či rôznych aplikačných služieb. Tieto honeypoty sa zjednodušene povedané pokúšajú vyprovokovať server k využitiu klientskej zraniteľnosti. Táto práca sa ďalej venuje len serverovým honeypotom.

Miera interakcie

Mieru interakcie serverových honeypotov možno klasifikovať v dvoch hlavných kategóriách: s vysokou a nízkou mierou interakcie. Niektoré zdroje uvádzajú i klasifikáciu honeypotov so strednou mierou interakcie a tiež hybridné honeypoty.

Honeypoty s nízkou mierou interakcie

Nízko-interaktívne honeypoty sú založené na emulácií sieťových služieb. Ich cieľom je dosiahnuť pripojenie útočníka. Po jeho úspešnom pripojení vykonajú vopred určenú akciu, ide napríklad o odpoveď vopred definovanou správou (banner), dokážu stiahnuť vzorku malware, ktorý chce útočník použiť a pod. Majú obmedzené množstvo aktivít, ktoré sú schopné realizovať a tiež počet aktívnych spojení. Ide o veľmi bezpečné riešenie, útočník nemá k dispozícií operačný systém, ale ma prístup výlučne len k emulovanej službe, ktorá je upravená tak, aby útočník nadobudol pocit, že ide o reálne bežiacu službu s produkčnou hodnotou. Cieľom je v rámci možností získať o útočníkovi čo najviac informácií. Tieto honeypoty sú najčastejšie používané ako produkčné, oproti vysoko-interaktívnym sa ľahko spravujú, majú nízke náklady na beh a nepredstavujú ani menšie riziko. Zvyčajne však zachytia len automatizované, už známe útoky. Dajú sa teda použiť na štatistické účely, účely mapovania, alebo na odvedenie pozornosti útočníka od reálnych systémov, či na tvorbu pravidiel pre bezpečnostné nástroje. Ďalšie podrobnosti je možné získať zo zdrojov, ktoré boli využité i pri písaní tohto odseku.

Honeypoty so strednou mierou interakcie

Stredno-interaktívne honeypoty ponúkajú útočníkom viac možností na interakciu ako nízko-interaktívne honeypoty, ale menej možností a nižšiu funkcionalitu ako vysoko-interaktívne riešenia.
Táto kategória honeypotov často splýva buď s nízko-interaktívnymi honeypotmi, alebo s vysoko-interaktívnymi honeypotmi. Na jej definovaní nepanuje v rôznych materiáloch, či zdrojoch presná zhoda. Tento pojem tak používajú len niektorí autori, iní sa skôr prikláňajú ku kategorizácií zahŕňajúcej len 2 primárne skupiny na báze interakcie – vysokú a nízku. Stredná miera interakcie tak poskytuje útočníkom vyššiu mieru realizácie ich aktivít, než je tomu pri nízkej miere. Napríklad pri protokole HTTP nebude dostupný a otvorený len port 80 s patričným bannerom, prípadne s určitým jednoduchým skriptom, ale celá emulácia serveru Apache. No zároveň nebudú útočníkovi k dispozícii všetky funkcie tohto serveru a už vôbec nie celý operačný systém, ako tomu je pri vysokej miere interakcie.

Honeypoty s vysokou mierou interakcie

Tieto honeypoty dávajú útočníkovi k dispozícií celý svoj operačný systém spolu so službami a aplikáciami, ktoré na ňom aktuálne bežia. Najčastejšie sa jedná o virtualizovaný systém, kde je možné pomerne jednoducho a rýchlo obnoviť pôvodný tzv. „čistý,“ (nemodifikovaný) stav. Pri použití tohto riešenia sa však už objavujú isté riziká a taktiež stúpa náročnosť na ich prevádzku, čo je dané okrem iného aj tým, že je oveľa náročnejšie oproti nízko-interaktívnym honeypotom, útočníkovi dať k dispozícii celý systém bez toho, aby mohol rozpoznať, že ide o honeypot. Systém je potrebné veľmi detailne monitorovať, aby mohla byť činnosť útočníka zaznamenaná, analyzovaná a vyhodnotená. Veľmi dôležité je daný systém zabezpečiť pomocou firewallu a špeciálne prispôsobeného IPS systému tak, aby ho nemohol útočník zneužiť, napr. pre cielený útok, či zapojenie do botnetu a vyvíjať tak škodlivú činnosť. Tieto riešenia majú veľký prínos pre výskum, je tak možné identifikovať zraniteľnosti nulového dňa tzv. zero-day zraniteľnosti, odhaliť nový malware, ale i vysoko sofistikované cielené útoky (techniky a nástroje, ktoré používa konkrétny útočník). V poslednej dobe sa vysoko-interaktívne honeypoty používajú i na analýzu útokov smerovaných na priemyselné systémy, či kritickú infraštruktúru.

Hybridné riešenia

Hybridné riešenia sa pokúšajú kombinovať výhody honeypotov s nízkou i vysokou mierou interakcie. Zvyčajne sa snažia o aplikovanie systému vzájomnej spolupráce dvoch senzorov s odlišnou mierou interakcie. V súčasnosti používané hybridné riešenia pracujú v zásade na dvoch princípoch. Tým prvým je využitie senzorov s vysokou mierou interakcie na výučbu identifikácie neznámej sieťovej prevádzky – napr. nájdenie spôsobu ako emulovať neznáme, či nové sieťové protokoly. Následne - po vytvorení systému emulácie, ktorá poslúži pre tento druh sieťovej prevádzky sa táto činnosť prenáša už na senzory s nízkou mierou interakcie. Týmto spôsobom pracuje klientsky honeypot SGNET. Druhý princíp funguje na vytvorení viacerých vrstiev v rámci výskumnej siete. Určitým spôsobom sa rozlíši typ sieťovej prevádzky, ktorá bude smerovaná na nízko-interaktívne honeypoty (napr. známe hrozby a útoky sieťových červov) a na typ sieťovej prevádzky, ktorá vykazuje anomálie vhodné pre analýzu na vysoko-interaktívnom honeypote. Na tomto princípe pracovala napríklad sieť organizácie NoAH. V súčasnosti tento princíp využíva projekt SurfCERT IDS.

Produkčné hľadisko

Honeypoty je potrebné charakterizovať vzhľadom na ich primárny účel využitia, či umiestnenia v rámci rôznych typov sieti.

Produkčné honeypoty

Honeypoty môžu poslúžiť organizácií ako zdroj nových poznatkov, ale čiastočne i ako systém včasného varovania a obohatiť tak pravidlá firewallov a IPS/IDS systémov. Organizácia tak môže byť o krok vpred, kým zareagujú patričné bezpečnostné inštitúcie vydaním svojich aktualizácií pre najrôznejšie bezpečnostné prvky a riešenia.
Honeypot môže v sieti organizácie v prvom rade slúžiť z vonkajšieho pohľadu ako cieľ, ktorý odláka potenciálnych útočníkov od iných skutočne dôležitých cieľov v danej sieti. Toto pravidlo platí najmä vo vzťahu k automatizovaným útokom, ako je aktivita sieťových červov. Sťažiť a zmiasť však môže i cielený útok fundovanejšieho útočníka.
Ďalším dôvodom, prečo sa v organizácií zaoberať nasadením honeypotu je lokálna sieť. Honeypot môže napomôcť k lepšiemu zmapovaniu súčasnej situácie na takejto sieti, alebo pomôcť vynútiť bezpečnostnú politiku medzi užívateľmi.

model
Všeobecný pohľad na umiestnenie honeypotu do produkčnej siete, zvyčajne sa jedná o špecifický server.

Tieňové honeypoty

Tieňové (shadow) honeypoty sú špeciálnou podskupinou produkčných honeypotov. Pracujú v kombinácií so systémom ADS - Anomaly detection systems. Ak tento systém deteguje v prichádzajúcej sieťovej prevádzke určité anomálie, je táto prevádzka následne presmerovaná na honeypot, namiesto jej zablokovania. Na honeypote podozrivá sieťová komunikácia ďalej analyzovaná. Dochádza tak k segmentácií legitímnej prevádzky, ktorá je štandardne smerovaná na server, alebo sieť a prevádzky, ktorá obsahuje určité anomálie.
Prínos tohto riešenia je pomerne vysoký. Dokáže detegovať nové, alebo veľmi sofistikované útoky smerujúce na reálne produkčné systémy. Samozrejme je potrebné vhodne nakonfigurovať pravidlá pre detekciu anomálií a ich citlivosť a celkovú infraštruktúru. Nemožno zanedbať ani výkonnostné hľadisko a systémy podieľajúce sa na selekcii sieťového toku a analýze anomálií.

model
Príklad implementácie tieňového (shadow) honeypotu.

Výskumné honeypoty

Honeypoty slúžiace pre výskum sa spravidla neumiestňujú v rámci produkčných sieti, ale naopak v prostredí izolovaných sieti, ktoré sú špeciálne monitorované. Pre výskum majú najvyšší prínos honeypoty s vysokou mierou interakcie.

Rozdelenie na základe systémov a zraniteľností

Okrem honeypotov určených na emuláciu konkrétnych zraniteľností operačného systému Windows (Nepenthes, ktorý je v súčasnosti už nepodporovaný; Dionaea; Honeytrap; KFSensor), či SSH honeypotov emulujúcich linuxový shell (Kippo, Kojoney), možno honeypoty ďalej deliť i do ďalších kategórií. Jedná sa napr. o bezdrôtové honeypoty (HoneySpot, modifikácie OpenWrt, či DD-Wrt), honeypoty simulujúce rôzne webové služby (napr. Google Hack Honeypot, Glastopf), tu je snaha predovšetkým o detekciu útokov ako XSS, SQL injection a podobných typov útokov. Ale využitie nájdu i pri výskume spambotov, phishingu a podobných hrozieb. Okrem týchto typov existujú i honeypoty pre Bluetooth (Bluepot), USB (Ghost USB Honeypot), VoIP (Dionaea, Artemisa), sieťové prvky, MIPS zariadenia, či SCADA systémy (napr. SCADA HoneyNet Project, Digital Bond SCADA Honeynet, Conpot) a pod. Kreativite prevádzkovateľov a vývojárov nie sú kladené žiadne striktné hranice. Jednotlivé riešenia zvyčajne spadajú súčasne do viacerých kategórií. Existujú i špecifické honeypoty, ktoré dokážu vytvoriť okrem emulovaného systému i celú virtuálnu sieťovú infraštruktúru, takýmto riešením je Honeyd. Honeyd primárne dokáže otvoriť najrôznejšie sieťové porty a evidovať záujem útočníkov o pripojenie sa na ne. Niektoré porty dokáže i obslúžiť jednoduchými skriptami. Avšak sám o sebe nedokáže hlbšie monitorovať aktivitu útočníkov, či zachytiť vzorky malware, je vhodný skôr práve pre účely tvorby virtuálnej topológie siete. Vytvoriť tak môže fiktívne zariadenia ako smerovače, či stanice, ktoré tak vytvoria pre útočníka ilúziu funkčnej siete.
Všetky vyššie spomenuté riešenia možno z pohľadu interakcie zaradiť medzi nízko až stredne interaktívne. Medzi v súčasnosti používané vysoko-interaktívne honeypoty podľa rozdelenia emulácie systémov, či zraniteľností patria napr. Argos (monitorujúci Windows) a Sebek, či Qebek (modul pre monitorovanie linuxových i Windows operačných systémov), všetky 3 riešenia sú však veľmi zastarané a neaktualizované. V súčasnosti sľubne vyzerajúcim vysoko-interaktívnym riešením je honeypot HonSSH - monitorujúci linuxový shell.

Rozdelenie podľa spôsobu virtualizácie

Každý honeypot môže byť buďto fyzický, alebo virtualizovaný za pomoci nástrojov akými sú napríklad VmWare, Oracle VirtualBox, či QEMU. V praxi je výhoda virtualizovaného systému nesporná. Správca ho môže flexibilne a veľmi jednoducho obnoviť do pôvodného stavu a tiež pohodlne modifikovať jeho parametre prípadne celý systém presunúť z jedného servera na iný server. V istých prípadoch, kde sa predpokladá výskum veľmi sofistikovaných útokov by však použitie virtualizácie mohlo predstavovať riziko odhalenia prípadného veľmi fundovaného útočníka.

Farmy honeypotov

Farma honeypotov predstavuje riešenie, keď sú jednotlivé honeypoty koncentrované v rámci špeciálne vytvorenej siete určenej výhradne pre tieto účely. Často sa z pohľadu správy, analýzy získaných dát i výkonu jedná o efektívnejšie riešenie, než umiestnenie jednotlivých honeypotov v rámci infraštruktúry konkrétnej miestnej siete. Avšak, aby takáto sieť resp. farma mala zmysel musí byť do nej efektívne smerovaná sieťová prevádzka. Presmerovanie sieťového toku sa musí útočníkovi javiť tak, aby ostal v presvedčení, že komunikuje so systémom na miestnej sieti. Farma môže predstavovať rôznorodé typy honeypotov, od senzorov s nízkou mierou interakcie až po honeypoty, ktoré ponúkajú útočníkovi reálny operačný systém. Správca takejto siete môže následne sofistikovane obmedziť hrozby zneužitia farmy, ďalej prerozdeľovať využitie honeypotov podľa požadovaného výkonu, efektívne tlmiť napríklad útočníkmi prevádzané DDoS útoky a pod. V praxi sa samotný spôsob presmerovania komunikácie rieši rôznorodo. Najčastejšie sa jedná o 2 spôsoby: V miestnej sieti môže byť vytvorený honeypot, ktorý zdanlivo poskytuje určité služby, no akékoľvek spojenie presmeruje na farmu. Využiť sa môže i pokročilá detekcia potenciálnych hrozieb plynúcich z reálnej prevádzky. Čiastočne sa tak preberá koncept tieňových honeypotov. Implementačne sa riešia tieto problémy použitím proxy serverov, firewallov, či špeciálnych nástrojov ako The Bait and Switch.

model
Princíp honeypot farmy. Dva najčastejšie spôsoby presmerovania sieťovej prevádzky na farmu.

Autor: Matej Zuzčák


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info