Основа общей архитектуры Honeynet заключатся в ее уровнях. Как мы уже отмечали ранее, наличие нескольких уровней очень важно для записи данных. Чем больше уровней контроля информации, тем легче анализировать нападение и извлекать из него уроки. Однако еще более весомым доводом в пользу многоуровневой системы безопасности является необходимость защиты от сбоев. Имея несколько встроенных в архитектуру уровней, вы защищаете себя от риска при сбое одного из них. Практически каждый раз при взломе honeypot где-нибудь происходил сбой. Он мог заключаться в том, что брандмауэр не предупреждал о подозрительных действиях, IDS не могла записывать пакеты, DNS не выдавала разрешений или сервер syslog не мог отослать или получить системные записи. Поразительно, сколько всего может случиться. Чем больше встроенных в архитектуру уровней, тем безопаснее последствия сбоя.
Тот же самый принцип можно применить и при создании инфраструктуры обеспечения безопасности организации: чем больше уровней, тем лучше. Эта концепция известна под названием глубокой обороны. Один отдельный компонент никогда не сможет защитить сайт. Задача Honeynet заключается в том, чтобы наблюдать и учиться у нападающих. Так что если бы у сети был только один уровень и нападающие могли бы взломать ее, они могли бы скрыться и замаскировать следы своей деятельности. Независимо от того, создаете вы Honeynet или корпоративную сеть, вам необходимо наличие нескольких уровней контроля, чтобы суметь обнаружить нападение до того, как оно успешно завершится. Ваши действия после обнаружения атаки могут различаться в каждом конкретном случае, но первоначальная задача остается прежней - обнаружение.
Преимущество Honeynet заключается в том, что от ее архитектуры не требуется высокой эффективности. Значит, можно использовать старые компьютеры, сетевое оборудование младших моделей, небольшую пропускную способность и т.д. Просто подумайте: какой объем трафика будет проходить через Honeynet? Скорее всего, не очень большой, за исключением подозрительных действий взломщиков. Мы обнаружили, что в среднем за день через Honeynet проходит 1-10 Мб данных - совсем немного. Следовательно, старые или малопроизводительные компьютеры прекрасно подойдут, так как им придется обрабатывать немного данных. Например, компьютеры Honeynet на базе процессоров фирмы Intel - это старые, ненужные компьютеры класса Pentium, имеющие 64 Мб RAM (Random-Access Memory - ОЗУ); машины с ОС Solaris - старые SPARC5 с 64 Мб RAM; маршрутизатор Cisco 2514. Соединение с Internet, которым мы пользовались в течение двух лет, представляло собой линию ISDN со скоростью 128 Кб/с. Требования к эффективности Honeynet могут быть минимальными.
Первоначальные затраты могут быть невелики, но создание и поддержание Honeynet требует существенных временных затрат. Как мы говорили в главе 3, постоянная поддержка Honeynet необходима для обеспечения безопасного окружения. Кроме того, как вы скоро узнаете, для анализа данных нужно потратить очень много времени и усилий. Например, мы обнаружили, что каждые 30 минут, которые тратит взломщик на honeypot, равны 30-40 рабочим часам, потраченным на анализ данных.
Общая архитектура нашей Honeynet аналогична представленной на рис. 3.1. Мы используем один брандмауэр для того, чтобы разделить Honeynet на три четко разграниченных сети: Internet, административную и Honeynet. Как правило, мы обеспечивали функциональность при помощи трех отдельных операционных систем: NT, Linux и Solaris, потому что они наиболее распространены в Internet. Мы хотели узнать о самых обычных уязвимостях и угрозах, вот почему были выбраны именно эти операционные системы. Для Linux использовался установленный с параметрами по умолчанию RedHat с конфигурацией сервера; для NT - NT 4.0 с установленным IIS Web-сервером и разнообразными служебными программами; для Solaris мы установили пакет программ End User (версии 2.6 или 2.7) без добавления патчей.
Нам также потребовались сервисы разрешения DNS (Domain Name System - система доменных имен) и NTP (Network Time Protocol - синхронизирующий сетевой протокол). DNS - необходимая функциональная черта, так как взломщики часто полагаются на разрешение DNS, чтобы загрузить или активизировать свои инструменты. Система доменных имен также зачастую используется во многих организациях, поэтому очень важно протестировать ее на наличие слабых мест. NTP гарантирует, что все системные часы будут синхронизированы. Это окажется полезным при анализе данных, так как все записанные данные различных систем будут регистрироваться в одной системе отсчета времени. Однако имейте в виду, что после взлома honeypot нарушитель может изменить системные часы honeypot. Обычно только одна из систем honeypot предназначена для основного сервера DNS/NTP. Он будет инициировать все соединения с Internet для разрешения имени DNS и синхронизации времени NTP. Все другие системы, входящие в Honeynet, будут затем координировать разрешение DNS и синхронизацию времени NTP с выделенной honeypot. Это позволит инициировать соединения с Internet только одной honeypot. Они жестко контролируются, о чем мы расскажем позже. В создаваемой нами сети Honeynet основным сервером DNS и NTP является honeypot с операционной системой Linux.
