Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov

Honeynety s nízkou mierou interakcie

Upozornenie: Text je licenčne chránený a nie je ho možné nijakým spôsobom ďalej modifikovať, používať a šíriť bez písomného súhlasu autora.

Prevzaté z bakalárskej práce: Matej Zuzčák: Možnosti využití honeypotů a honeynetů při detekci síťových útoků a ochrane sítí LAN

V súčasnosti sú stále viac populárne honeynety zložené zo senzorov – honeypotov s nízkou mierou interakcie. Tieto honeynety často používajú aj CERT/CSIRT tímy. Ide o určité prebratie definície honeynetu, ako bolo zmienené vyššie a o jeho úpravu na odlišné podmienky. Pri týchto systémoch už nemusí byť nevyhnutne použitý honeywall. Stráca totiž primárnu úlohu, ktorou bola eliminácia rizík potenciálneho zneužitia honeypotu. Zásadné riziko znužitia pri nízko-interaktívnych honeypotoch nehrozí vyplývajúc z ich podstaty.

Nízko-interaktívny honeynet sa tak v základnej forme skladá z jednotlivých senzorov, ktoré môžu byť umiestnené v rôznych lokalitách a z centrálnej databázy, kde sa zhromažďujú získané dáta o útokoch a hrozbách. Výhodou takéhoto typu honeynetu sú v prvom rade nižšie prevádzkové náklady, kde nie je potrebné do činnosti zapojiť honeywall, reálny operačný systém, či rôzne monitorovacie nástroje ako tomu je na strane honeypotu s vysokou mierou interakcie.

model
Základný model nízko-interaktívneho honeynetu.

Ďalšie technológie pre monitorovanie a získavanie dát

Hlavne vo vysoko-interaktívnom honeynete možno využiť ďalšie nástroje na získavanie informácií o získaných dátach. Veľmi prospešnou je technológia nazvaná NetFlow. Pomocou zachytávania a analyzovania celkovej sieťovej prevádzky možno získať tzv. surové – raw dáta. V nich sa následne dajú hľadať stopy po útokoch, ktoré neboli identifikované inými súčasťami honeynetu. Tiež je z nich možné budovať určité štatistické výstupy. Okrem dodatočných analytických nástrojov je v prostredí honeynetov s vysokou mierou interakcie potrebné používať tiež systémy IPS upravené tak, aby dokázali identifikovať a zastaviť šírenie sa útoku z honeypotu v smere do produkčnej siete prípadne internetu, alebo eliminovať prevádzku na neškodnú úroveň. Často je používaný nástroj Snort-inline. Eliminácia je často aplikovaná ako kontrola prietoku paketov a jeho obmedzovanie na určitú úroveň – najmä kvôli riziku zapojenia honeypotu do potenciálneho DDoS útoku.

Autor: Matej Zuzčák


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info