Идея создания honeypot (горшочка с медом) разрабатывалась многие годы. Проще говоря, honeypot - это система, разработанная для того, чтобы на нее напали. После взлома ее можно использовать для разнообразных целей, например для разработки механизма оповещения или для жульничества. Впервые эта идея была рассмотрена в ряде очень хороших статей, написанных экспертами в области обеспечения компьютерной безопасности: «Cukoo Egg»1 Клиффа Столла (Cliff Stoll) и «An Evening with Berferd»2 Стива Белловина (Steve Bellovin) и Билла Чезвика (Bill Cheswick). В обоих примерах использовалась технология тюремного типа для того, чтобы записать сеансы связи (с системой) взломщика и детально рассмотреть, что было у него на уме. Термин «honeypot» появился позднее, но под ним подразумевается то же самое: установка одной или нескольких систем, которые покажутся привлекательными для сетевых взломщиков и смогут также производить мониторинг практически всего, что в них происходит. Наблюдая за событиями, происходящими с honeypot, можно определить проблему и получить достоверную информацию о том, как взломщик вошел в систему и что творится во взломанной системе. Традиционно honeypot представляла собой одну систему, соединенную с существующей внешней сетью для того, чтобы привлечь нападающих к себе. На рис. 2.1 изображена отдельная система, размещенная во внутренней сети. Эта система может имитировать разные системы или уязвимые места.
1 Stoll С. The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage (New York: Pocket
Books, 1999).
Рисунок 2-1 Традиционная автономная система honeypot
Разнообразные продукты или разработки позволят вам создать собственную honeypot. Среди них можно назвать следующие:
Каждое их этих приложений создано исходя из собственной концепции honeypot.
Например, Deception Toolkit, обычно называемый DTK, - это библиотека сценариев, которые имитируют различные известные уязвимости (дыры) системы. Одно из таких слабых мест в DTK представляет собой старую проблему программы Sendmail (демон, управляющий пересылкой электронной почты в системах, подобных Unix), которая выдает поддельный файл паролей.
Затем эти сценарии запускаются в тестируемой системе. Нападающий обманным путем получает этот поддельный файл паролей и тратит драгоценное время, взламывая ненастоящие пароли. Задача этого инструмента заключается в том, чтобы обмануть нападающего. Он также великолепно подходит для оповещения и изучения известных «дыр» в системах.
Несмотря на практичность такого подхода, имейте в виду: одна из основных задач Honeynet Project заключается в том, чтобы узнать о неизвестных слабых местах. В случае с Deception Toolkit вы ограничены тем, что уже известно.
Cybercop Sting - это honeypot, на которой запускается ОС Windows NT, имитирующая целую компьютерную сеть путем создания набора IP-адресов (Internet Protocol) различных операционных систем. Взломщик может просканировать всю мнимую сеть и найти 15 доступных систем, каждую со своим отдельным IP-адресом. Однако все 15 виртуальных систем эмулируются одной физической машиной. И системы, и наборы IP-адресов имитируются. Преимущество такого подхода заключается в том, что вы можете быстро и просто создать копию целой сети, тем самым получить возможность прослеживать некоторые действия. Однако допускается имитировать лишь ограниченный набор функциональных возможностей, такие как начало сеанса TELNET или баннер SMTP (Simple Mail Transfer Protocol). У взломщиков за этим фасадом нет реальной операционной системы, к которой они могли бы получить доступ.
Мы хотели узнать все, что только возможно, например, что происходит после того, как система оказывается взломанной. Мы хотели получить комбинации клавиш (историю нажимаемых клавиш) и системные журналы (system log) взломанной системы. Другими словами, добивались, чтобы нападающие смогли полностью взломать и воспользоваться системами, после чего мы бы внимательно изучили их действия и узнали о них как можно больше. При условии ограниченных возможностей имитации таких продуктов, как Cybercop Sting, они не могут предоставить всю необходимую информацию.
Resource Mantrap - коммерческий продукт, который по функциональным возможностям приближается к проекту Honeynet, не дублирует операционную систему, но запускает образ одной операционной системы внутри другой. У этой так называемой «тюрьмы» есть огромное преимущество, потому что запускается реальная операционная система. Таким образом, можно изучить неизвестные слабые места, и взломщик будет иметь дело с полноценной операционной системой после того, как она взломана. Однако ваш выбор ограничен теми операционными системами, которые может предоставить продавец. Например, вы захотите использовать ОС HPUX или какое-то сетевое приспособление, в частности маршрутизатор Alteon. Кроме того, вы, пользователь, должны решить сами, каким образом остановить взломщика после того, как система будет взломана.
В сети Resource Mantrap не предусмотрена возможность ограничения действий взломщика. Нападающий может воспользоваться взломанной honeypot в качестве отправной точки для атаки на дополнительные системы. У этого продукта имеются великолепные функции для сбора информации, но отсутствует возможность тщательного контроля за данными.
У большинства подобных разработок имеется общая проблема подписей. Эти продукты можно определить на основе оставляемых ими подписей, благодаря чему взломщики среднего или продвинутого уровня могут заподозрить обман и использовать более безопасные инструменты. Все аналогичные разработки обладают отличным потенциалом, но только при определенных условиях. Ни одна из них не отвечала задачам проекта Honeynet. Нам требовалась гибкая среда, в которой бы не было ни одной имитации и системы которой были бы аналогичны тем, что можно найти в сети Internet, чтобы мы смогли записать действия взломщиков от начала и до конца. К тому же мы не хотели подвергать опасности ни одну другую систему в Internet, вот почему нам нужна была разработка, которую нельзя использовать в качестве отправной точки для дальнейшего нападения. И мы создали собственное решение, отвечающее всем этим требованиям.
