Предисловие
Благодарности
Введение
Поле битвы

ПРОЕКТ HONEYNET
СИСТЕМА HONEYPOT
СЕТЬ HONEYNET
Назначение Honeynet
Система Honeypot в сети Honeynet
РЕЗЮМЕ

Как работает Honeynet
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
Уровень контроля доступа
Сетевой уровень
Системный уровень
Автономный уровень
СОЦИОТЕХНИКА
Риск
РЕЗЮМЕ

Создание сети Honeynet
ОБЩАЯ АРХИТЕКТУРА
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ
РЕЗЮМЕ

АНАЛИЗ
Анализ данных
РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА
АНАЛИЗ IDS
СИСТЕМНЫЕ ЖУРНАЛЫ
РЕЗЮМЕ

Анализ взломанной системы
НАПАДЕНИЕ
АНАЛИЗ
Взлом
ПОЛУЧЕНИЕ ДОСТУПА
ВОЗВРАЩЕНИЕ
РЕЗУЛЬТАТЫ АНАЛИЗА
РЕЗЮМЕ

Продвинутый анализ данных
ПАССИВНАЯ ДАКТИЛОСКОПИЯ
Сигнатуры
Пример ICMP
СИСТЕМНОЕ ВСКРЫТИЕ
РЕЗЮМЕ

Практика системного вскрытия
ОБРАЗЫ
ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT
ВРЕМЯ MAC
УДАЛЕННЫЕ СТРУКТУРЫ INODE
ВОССТАНОВЛЕНИЕ ДАННЫХ
РЕЗЮМЕ

УГРОЗА
ТАКТИКА
ИНСТРУМЕНТЫ
Мотивы
МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ
РЕЗЮМЕ

Червяки на войне
УСТАНОВКА
ПЕРВЫЙ ЧЕРВЯК
ВТОРОЙ ЧЕРВЯК
НА СЛЕДУЮЩИЙ ДЕНЬ
РЕЗЮМЕ

Своими собственными словами
Взлом

Наша ссылка ;)


ремонт квартир
металлические двери


ЗАПИСЬ ДАННЫХ

Запись данных - это фиксация всех действий, происходящих в пределах Honeynet, в том числе на уровне системы и сети. Запомните, что в этом и заключается цель Honeynet, а именно в записи и изучении данных. Если мы не сумеем записать данные, потеряет значение весь проект. Что толку обнаружить «элитарный» взлом системы honeypot, если мы поте¬ряем или не сможем зафиксировать информацию? Правильная запись данных крайне важна для успеха всего проекта. Ключом к успеху являет¬ся большое количество разных способов записи информации: чем боль¬ше их, тем лучше. Не нужно зависеть от единственного способа. Слиш¬ком многое может выйти из-под контроля, единственный способ записи информации может дать сбой, например, выйдет из строя модуль про¬верки текущего состояния системы или не хватит места на жестком дис-¦ ке. Один раз у нас взломали honeypot, но система IDS не смогла обнару¬жить нападение. База данных сигнатур еще не была обновлена во время новой атаки. Однако механизм предупреждения брандмауэра оповестил нас, когда взломщик попытался установить соединение с Internet из взло¬манной системы. Благодаря запасному способу записи данных мы получи¬ли предупреждение о том, что система была взломана, когда IDS не вы¬полнила свою задачу. Кроме того, записывая информацию несколькими способами, вы можете составить на ее основе более полную картину того, какие инструменты и тактику применил взломщик, а также его мотивы. Мы описываем разнообразные методы записи данных и рассказываем о том; как их можно применить в Honeynet.

Сначала нужно хорошо запомнить, что никакие собранные данные не могут храниться в локальных системах Honeynet. Любая собранная ин¬формация должна храниться в защищенной, доверенной системе, к ко¬торой у взломщика нет доступа. Этот момент очень важен по причине обнаружения и потери данных:

44 КАК РАБОТАЕТ HONEYNET I ЧАСТЬ I

• если вы записали данные, например историю клавиш, использован ных взломщиком, и сохранили ее в локальной системе, эта информа ция может быть обнаружена и потенциально использована для взло ма honeypot и разрушения системы. Запомните, хорошая honeypot - та, которая никогда не будет выявлена взломщиком. Если honeypot об наружена, то эта система и вся Honeynet могут быть взломаны;

• взломщик может изменить или стереть хранящиеся в локальной сис теме данные. Например, стереть жесткий диск после того, как вос пользуется системой. Большая часть, если не все, данных будет поте ряна. Если взломщик обнаружит, что данные записываются, он может их уничтожить или, что еще хуже, изменить, предоставив вам ложную информацию.
Copyright (ЦЕ) Addison-Wesley