Для большинства организаций системные журналы брандмауэра представляют мало ценности. Брандмауэр регистрирует столько данных, что среди них трудно выделить правомочный трафик и подозрительную активность, которая требует дальнейшего анализа. В организациях неделями или даже месяцами не просматриваются регистрационные журналы брандмауэров. Однако в Honeynet весь трафик подозрителен. Следовательно, весь записанный в регистрационном журнале трафик представляет собой полезную информацию.
Брандмауэр Honeynet Project разработан так, чтобы рассылать по электронной почте предупреждения обо всем входящем в Honeynet трафике. Такие предупреждения создаются всякий раз, когда кто-нибудь инициирует соединение с Honeynet. Это упрощает процесс сбора информации. Вместо того чтобы вручную проверять регистрационные записи брандмауэра, мы получаем всю необходимую информацию по e-mail. Так как через брандмауэр проходит не так уж много трафика, мы не тонем в потоке предупреждений. Подобные преимущества системы предупреждения могут быть недоступны в системах IDS. Будьте внимательны при работе с ними, так как они могут ничего не заподозрить и не предупредить о подозрительных действиях. Например, когда вам нужно получить предупреждение об одном соединении с портом, номер которого больше 1023, многие системы IDS могут проигнорировать это соединение как случайный пакет. Однако это может означать, что кто-то зондирует ваши системы на наличие обычного черного хода. Кроме того, еще не существует сигнатур для IDS, которые могли бы создать предупреждение о новых или неизвестных нападениях, хотя отдельные методики, такие как обнаружение статистических аномалий, позволяют заявить о прорыве в этой области. А брандмауэр записывает и предупреждает вас обо всех действиях. Эти сообщения также архивируются для дальнейшего рассмотрения. Например:
Date: Sat, 08 Dec 2000 15:04:06 -0600 (CST)
From: firewall@honeynet.org л
To: admin@honeynet.org
Subject: - - - Firewall Scan Alert - - -
Вы получили это сообщение, потому что кто-то, возможно, сканирует вашу систему. Далее приводится пакет, зарегистрированный брандмауэром. Это четвертое из пяти электронных предупреждений от blackhat.example.com.
CRITICAL INFORMATION
Date: 08Dec2000
Time: 15:04:03
Source: blackhat.example.com
Destination: honeypot-4
Service: rpc
ACTUAL FW-1 LOG ENTRY
08Dec2000 15:04:03 accept firewall >qfe1 usealert proto tcp src blackhat. example.com dst honeypot-4 service rpc s_port 2335 len 48 rule 9 blackhat. example.com xlatedst honeypot-4 xlatesport 2335 xlatedport rpc
Предупреждение брандмауэра извещает нас о том, что система blackhat. example.com пытается установить соединение RPC (Remote Procedure Call - удаленный вызов процедур) с системой honeypot-4. Обратите внимание на то, что это четвертое подобное сообщение.
Три предыдущих предупреждали нас о том, что та же самая система инициировала соединения RPC с honeypot-1, honeypot-2 и honeypot-З. Можно предположить, что система blackhat.example.com производит сетевую разведку, выясняя, кто работает с RPC и, скорее всего, какие имеются сервисы RPC. В различных сервисах на основе RPC в разных системах существует множество уязвимых мест, большая часть которых пользуется особой популярностью у взломщиков, так как является путем к нападению.
Для того чтобы получить подробную информацию о посланном пакете, такую как метки TCP, нам пришлось бы просматривать пакеты, записанные модулем проверки текущего состояния IDS. Однако предупреждения брандмауэра снабжают нас информацией о том, что происходит, в режиме реального времени. Предупреждение в режиме реального времени имеет большое значение, так как оно указывает на то, какие атаки могут быть произведены в будущем. Например, предыдущее предупреждение свидетельствует о сканировании RPC. Теперь мы можем подготовиться к любому RPC-зондированию и взлому Honeynet.
Как уже отмечалось в главе 4, сценарий брандмауэра также архивирует записи о характеристиках и действиях систем, сканирующих Honeynet. Мы поддерживаем базу данных IP-адресов, действий и временных меток нападающих, так что можем определить тенденции развивающихся в Internet событий. В случае с данным сканированием порта приведенная ниже информация представлена в двух файлах: alert.archive и alert.uniq. Файл alert.archive архивирует все предупреждения брандмауэра, и в нем будет храниться следующая информация. Эта информация может быть очень важной в будущем, если нам в ходе анализа потребуется определить действия взломщика.
08Dec2000 15:04:03 accept firewall >qfe1 usealert proto tcp src blackhat. example.com dst honeypot-4 service rpc s_port 2335 len 48 rule 9 blackhat. example.com xlatedst honeypot-4 xlatesport 2335 xlatedport rpc
Второй архивный файл, alert.uniq, содержит список всех неповторяющихся систем, которые сканировали нашу honeypot в течение 24 часов. Даже если один и тот же источник сканировал по 100 раз за день, в этот файл будет добавлена только одна запись - первое сканирование, зарегистрированное брандмауэром. В данном примере в файл alert.uniq будет внесена следующая строка:
Этот пример говорит о том, система blackhat.example.com попыталась установить соединение RPC 8 декабря 2000 года в 15:04:03. Такое краткое изложение может показаться малозначимым, но так как оно архивируется вместе с другими, это дает больше возможности для анализа тенденций. Например, в главе 10 рассказывается о том, как при помощи этих данных мы определили, что в течение 30 дней 524 системы про-сканировали NetBIOS Honeynet, скорее всего, в поисках уязвимых мест ОС Windows (заархивированная информация приведена в приложении D). Такое колоссальное количество попыток указывало на то, что в среде взломщиков что-то происходило. На основании этих данных мы успешно установили honeypot с Windows 98, чтобы определить точную причину сканирования.
Подобные предупреждения также высылаются и при установлении исходящего соединения. Брандмауэр извещают нас о любом исходящем соединении, которое инициировала Honeynet. Эта информация очень важна, так как она означает, что система была взломана. Обычно о таких действиях сообщается по электронной почте и на web-страницу текущего администратора. Важно как можно быстрее взять под наблюдение взломанную систему, чтобы убедиться, что хакер не обойдет меры безопасности, предпринятые в Honeynet. Например, после взлома системы нарушители обычно устанавливают исходящее FTP-соединение с Internet, чтобы получить инструментарий для дальнейшего взлома этой системы и использования дополнительных машин. Такое соединение обычно информирует о том, что honeypot подверглась нападению и взломщики получили доступ к системе.
