После того как мы установили средства контроля за данными, нам необходимы средства записи данных. Как было описано в главе 3, три уровня записи данных состоят из системных журналов брандмауэра/маршрутизатора, сетевых системных журналов и самих систем.
Брандмауэр уже сконфигурирован для записи данных. В правилах 5 и 6 применяется сценарий предупреждения брандмауэра. Он не только посылает предупреждение, когда регистрируются соответствующие правилу соединения, но и архивирует информацию для анализа данных, как мы увидим в главе 5. Все созданные брандмауэром предупреждения пересылаются в систему Log/Alert в административной сети. Подробная информация о том, как использовать и установить этот сценарий, содержится в отчете, размещенном на сайте http://xirwmdmkpress.ru.
На втором, сетевом, уровне для записи и анализа всего сетевого трафика мы используем IDS, в данном случае Snort. Раньше она находилась на брандмауэре. Это упрощает архитектуру, так как нет нужды подключать к сети отдельный компьютер для IDS. Весь трафик, входящий и исходящий из Honeynet, будет записан в IDS, так как она следит за состоянием Honeynet. Однако с подобной архитектурой связаны две проблемы. Она усиливает риск, так как IDS может оказаться уязвимой, или IDS не может увидеть или записать трафик от одной honeypot к другой. Система IDS не замечает деятельности в пределах самой Honeynet.
Решение заключается в том, чтобы создать выделенную IDS, соединенную собственно с Honeynet. У этой IDS должно быть два интерфейса: один, соединенный с Honeynet, а другой - с административной сетью, чтобы можно было посылать предупреждения. У интерфейса в Honeynet не должно быть IP-адреса или приписанного к нему стека, чтобы на него нельзя было напасть. Кроме того, если Honeynet размещается на коммутаторе, как в данном случае сделали мы, чтобы иметь возможность определить нападения на основе коммутатора, убедитесь, что IDS подсоединена к порту, который контролирует весь трафик коммутатора.
Независимо от того, как будет построена система IDS, выясните, что она записывает и хранит весь трафик. Мы также настроили IDS Snort, чтобы все предупреждения переправлять через syslog на сервер Log/ Alert, где они могут быть обработаны, заархивированы и переданы администратору. Детальное описание конфигурации Snort можно найти в приложении А.
Наконец, необходимо записать все действия самих систем. Для этого сначала устанавливается сервер syslog, предназначенный для» удаленного сбора информации обо всех событиях, происходящих в системах. Для получения всех журналов регистрации удаленных систем мы обычно пользовались защищенной системой Solaris 8. Затем конфигурация всех систем honeypot была настроена на удаленную регистрацию на сервере syslog. Имейте в виду, что сервер syslog - это очень сложная honeypot. При взломе honeypot мы надеемся, что нарушитель примется за защищенный сервер syslog. В этом случае мы сможем узнать о потенциально новых или более изощренных способах нападения. Даже если атака будет успешной, системные журналы не потеряются. Соединенная с сетью Honeynet система IDS пассивно записала всю эту информацию, в том числе и нападение.
Мы также достигли большого успеха, применяя модификации в системах UNIX для записи и передачи комбинаций клавиш. Наиболее эффективными средствами оказались модифицированная версия программы bash системы Linux и модули, встроенные в ядро системы Solaris. Они фиксируют комбинации клавиш, которые используют взломщики в системе honeypot, и передают сами команды на удаленный сервер syslog. Эта информация оказалась очень важной, так как «плохие парни» используют для сообщения со взломанными системами закодированные соединения (см. главу 5). Исходный код для этих утилит можно найти на сайте http://wxvw.dmkpress.ru.
Мы выяснили, что эти три уровня записи данных весьма эффективны. Ни один уровень в отдельности не может предоставить всю необходимую информацию. Чем больше уровней, тем лучше.
