СОЦИОТЕХНИКА


Предисловие Благодарности Введение Поле битвы ПРОЕКТ HONEYNET СИСТЕМА HONEYPOT СЕТЬ HONEYNET Назначение Honeynet Система Honeypot в сети Honeynet РЕЗЮМЕ Как работает Honeynet КОНТРОЛЬ ДАННЫХ ЗАПИСЬ ДАННЫХ Уровень контроля доступа Сетевой уровень Системный уровень Автономный уровень СОЦИОТЕХНИКА Риск РЕЗЮМЕ Создание сети Honeynet ОБЩАЯ АРХИТЕКТУРА КОНТРОЛЬ ДАННЫХ ЗАПИСЬ ДАННЫХ ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ РЕЗЮМЕ АНАЛИЗ Анализ данных РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА АНАЛИЗ IDS СИСТЕМНЫЕ ЖУРНАЛЫ РЕЗЮМЕ Анализ взломанной системы НАПАДЕНИЕ АНАЛИЗ Взлом ПОЛУЧЕНИЕ ДОСТУПА ВОЗВРАЩЕНИЕ РЕЗУЛЬТАТЫ АНАЛИЗА РЕЗЮМЕ Продвинутый анализ данных ПАССИВНАЯ ДАКТИЛОСКОПИЯ Сигнатуры Пример ICMP СИСТЕМНОЕ ВСКРЫТИЕ РЕЗЮМЕ Практика системного вскрытия ОБРАЗЫ ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT ВРЕМЯ MAC УДАЛЕННЫЕ СТРУКТУРЫ INODE ВОССТАНОВЛЕНИЕ ДАННЫХ РЕЗЮМЕ УГРОЗА ТАКТИКА ИНСТРУМЕНТЫ Мотивы МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ РЕЗЮМЕ Червяки на войне УСТАНОВКА ПЕРВЫЙ ЧЕРВЯК ВТОРОЙ ЧЕРВЯК НА СЛЕДУЮЩИЙ ДЕНЬ РЕЗЮМЕ Своими собственными словами Взлом Наша ссылка ;) <a href="http://www.honeynet.info/" title="полный антихак">Защита от хакеров</a> датчики движения, опс

СОЦИОТЕХНИКА

Запись и локализация данных - наиболее важные элементы работы с Honeynet. Если они правильно выполняются, Honeynet обеспечит вас обширной информацией. Однако можно собрать еще и дополнительные сведения. Проблема текущей установки Honeynet заключается в том, что ее системы инсталлированы с параметрами по умолчанию. Эти системы определенно привлекут внимание взломщиков, но извлеченные уроки могут быть незначительными. Вероятно, вы захотите спроектировать в Honeynet среду, повторяющую систему вашей организации. Это создаст более реалистичное окружение, которое, как говорит Макс Килгер (Max Kilger), наш штатный психолог, «поддерживает привлекательность Honeynet». На этом относительно новом поле деятельности Honeynet Project мы уже достигли определенных успехов. Перечислим действия, с помощью которых можно создать более активную и реалистичную Honeynet:

• добавьте в систему учетные записи пользователей, может быть, даже реальные записи вашей организации. Подпишите этих пользователей на почтовые рассылки, чтобы они казались активными;

• создайте для пользователей входящие и исходящие сообщения элект ронной почты. Обычно взломщики просматривают e-mail, чтобы най ти пароли или конфиденциальную информацию;

• создайте документы и оставьте их в каталогах пользователей. У нас были случаи, когда взломщики читали и изменяли такие документы;

• выполните какие-нибудь команды так, чтобы они были записаны в фай ле .history. Это создаст впечатление, что система активна и ею пользу ются;

• установите соединения с системами Honeynet при помощи таких ути лит, как TELNET или FTP. Взломщики часто пытаются проследить этот трафик и узнать регистрационные имена/пароли. У нас был один слу чай, когда взломщик оставил sniffer, отследил внутреннее соединение в Honeynet и воспользовался им для установления соединения с други ми системами Honeynet;

• создайте регистрационные заголовки, сообщающие, что в сети есть проблемы с соединениями. Взломщики станут менее подозрительны ми, если у них появятся проблемы при соединении с Internet;

• настройте Web-сайт, сообщающий о том, что сеть находится в разра ботке и несколько недель не выйдет в онлайновый режим. Это помо жет объяснить взломщикам, почему они не видят активную сетевую деятельность;

• если у вас есть две Honeynet, установите соединение от одной Honeynet к другой. Когда эти данные будут захвачены, нарушитель может поду мать, что была взломана новая сеть.

Возможности социотехники ограничены только вашим воображением.