Honeypot — Википедия

Honeypot (с англ. — «горшочек с мёдом») — ресурс, представляющий собой приманку для злоумышленников.

Задача honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.

Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.

История появления

[править | править код]

Honeypot появились с первыми компьютерными злоумышленниками. Honeypot’ам насчитывается по меньшей мере 20 лет[уточнить], разработки по их созданию и внедрению проводились параллельно с исследованиями IDS.

Первым документальным упоминанием была книга Клиффорда Столла «The Cuckoo’s Egg», написанная в 1990 г. Через десять лет, в 2000 г. honeypot стали повсеместно распространенными системами-приманками.

Впоследствии IDS и honeypot будут представлять собой единый комплекс по обеспечению информационной безопасности предприятия[источник не указан 2995 дней].

Альтернативные методы защиты

[править | править код]

Помимо honeypot, в настоящее время[когда?] применяются следующие средства защиты компьютерных сетей: honeynet, honeytoken, padded cell, IDS, IPS. Последние два не подходят под определение honeypot — они являются не приманками, а системами обнаружения и предотвращения вторжений. В то же время наиболее близким понятию honeypot становится IDS — система обнаружения вторжений, протоколирующая все несанкционированные подключения к целевой системе.

Padded Cell — это разновидность приманки типа «песочница». Попадая в неё, злоумышленник не может нанести какой-либо вред системе, так как он постоянно находится в изолированном окружении.

Honeynet — это сеть из honeypot, о ней см. ниже.

В любом случае, вне зависимости от того, какая система защиты установлена, на ней в качестве приманки должна быть подложная информация, а не оригинал.

Существуют honeypot, созданные на выделенных серверах и программно-эмулируемые honeypot.

Разница между ними в масштабах сети. Если, к примеру, это малая офисная сеть, то не имеет особого смысла ставить выделенный сервер для протоколирования подозрительных событий в сети. Здесь достаточно будет ограничиться виртуальной системой или даже одним виртуальным сервисом. В больших организациях используются именно выделенные серверы с полностью воспроизведенными на них сетевыми службами. Обычно в конфигурировании таких служб специально допускают ошибки, чтобы у злоумышленника удался взлом системы. В этом и состоит основная идея honeypot — заманить взломщика.

Преимущества Honeypot

[править | править код]

Технологии Honeypot предоставляют аналитикам некоторые преимущества :

  • сбор содержательной информации;
  • нетребовательность к системным ресурсам;
  • простота установки, конфигурирования и эксплуатации;
  • наглядность необходимости использования.

Недостатки Honeypot

[править | править код]

Средства Honeypot имеют несколько недостатков. Honeypot не заменяют никаких механизмов безопасности; они только работают и расширяют полную архитектуру безопасности.

Главными проблемами средств Honeypot являются:

  • ограниченная область видения;
  • возможность раскрытия Honeypot;
  • риск взлома Honeypot и атаки узлов посторонних организаций.

Расположение honeypot

[править | править код]

Различные варианты размещения honeypot помогут дать полные сведения о тактике нападающего. Размещение honeypot внутри локальной сети даст представление об атаках изнутри сети, а размещение на общедоступных серверах этой сети или в DMZ — об атаках на незащищенные сетевые службы, такие как: почтовые сервисы, SMB, ftp-серверы и т. д.

Варианты расположения honeypot в локальной сети

honeypot в локальной сети

[править | править код]

honeypot может быть установлен внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то следует перенаправлять весь входящий ssh-трафик на honeypot. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Honeypot — это не простая программа, которая записывает логи сервера. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра.

В демилитаризованной зоне или DMZ располагаются общедоступные серверы. К примеру, это может быть веб-сервер или почтовый сервер. Поскольку наличие таких серверов зачастую привлекает внимание спамеров и взломщиков, необходимо обеспечить их информационную защиту. Установка honeypot на серверы DMZ является одним из решений этой проблемы.

Если же нет выделенного веб-сервера, можно эмулировать веб-службы при помощи программных honeypot. Они позволяют в точности воспроизвести несуществующий в действительности веб-сервер и заманить взломщика. Эмуляция почтовых и других сетевых служб ограничивается лишь выбором конкретного программного решения.

Сеть с двумя, тремя и более honeypot по определению называется honeynet. Она может быть ограничена от рабочей сети. Управляющий трафик, попадающий в honeynet, должен фиксироваться ловушками этой сети.

Реализации honeypot

[править | править код]

Все известные honeypot можно поделить на 2 класса — открытые и коммерческие

открытые коммерческие
Bubblegum Proxypot PatriotBox
Jackpot KFSensor
BackOfficer Friendly NetBait
Bait-n-Switch (недоступная ссылка) ManTrap
Bigeye Specter
HoneyWeb Honeypot Manager
Deception Toolkit
LaBrea Tarpit
Honeyd
Sendmail SPAM Trap
Tiny Honeypot

Ниже приводится краткое пояснение некоторых реализаций.

Комментарий
Deception Toolkit самый первый open-source honeypot, датирован 1997 годом
HoneyWeb эмулирует различные типы веб-сервисов
BackOfficer Friendly honeypot для ОС Windows, может применяться в качестве HIPS
Honeyd низкоуровневый honeypot для Linux, способен эмулировать сотни ОС
Bubblegum Proxypot open-source honeypot, применяется для борьбы со спамерами
Specter коммерческий низкоуровневый honeypot для ОС Windows. Эмулирует 13 различных ОС.
Honeypot Manager коммерческий honeypot. Эмулирует сервер с установленной СУБД Oracle.