Предисловие
Благодарности
Введение
Поле битвы

ПРОЕКТ HONEYNET
СИСТЕМА HONEYPOT
СЕТЬ HONEYNET
Назначение Honeynet
Система Honeypot в сети Honeynet
РЕЗЮМЕ

Как работает Honeynet
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
Уровень контроля доступа
Сетевой уровень
Системный уровень
Автономный уровень
СОЦИОТЕХНИКА
Риск
РЕЗЮМЕ

Создание сети Honeynet
ОБЩАЯ АРХИТЕКТУРА
КОНТРОЛЬ ДАННЫХ
ЗАПИСЬ ДАННЫХ
ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ
РЕЗЮМЕ

АНАЛИЗ
Анализ данных
РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА
АНАЛИЗ IDS
СИСТЕМНЫЕ ЖУРНАЛЫ
РЕЗЮМЕ

Анализ взломанной системы
НАПАДЕНИЕ
АНАЛИЗ
Взлом
ПОЛУЧЕНИЕ ДОСТУПА
ВОЗВРАЩЕНИЕ
РЕЗУЛЬТАТЫ АНАЛИЗА
РЕЗЮМЕ

Продвинутый анализ данных
ПАССИВНАЯ ДАКТИЛОСКОПИЯ
Сигнатуры
Пример ICMP
СИСТЕМНОЕ ВСКРЫТИЕ
РЕЗЮМЕ

Практика системного вскрытия
ОБРАЗЫ
ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT
ВРЕМЯ MAC
УДАЛЕННЫЕ СТРУКТУРЫ INODE
ВОССТАНОВЛЕНИЕ ДАННЫХ
РЕЗЮМЕ

УГРОЗА
ТАКТИКА
ИНСТРУМЕНТЫ
Мотивы
МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ
РЕЗЮМЕ

Червяки на войне
УСТАНОВКА
ПЕРВЫЙ ЧЕРВЯК
ВТОРОЙ ЧЕРВЯК
НА СЛЕДУЮЩИЙ ДЕНЬ
РЕЗЮМЕ

Своими собственными словами
Взлом

Наша ссылка ;)


ОРГАНИЗАЦИЯ КОРПОРАТИВНЫХ ПРАЗДНИКОВ МЕРОПРИЯТИЙ
аренда нежилых помещений


СЕТЬ HONEYNET

Honeynet отличается от разработок honeypot, которые мы уже обсудили. Это инструмент исследования - сеть, созданная особым образом для того, чтобы ее взломали хакеры. После того как ее взломают, Honeynet можно использовать для изучения инструментов, тактики и мотивов сообщества хакеров. Существуют следующие различия между honeypot и проектом Honeynet:

• Honeynet - это не отдельная система, а целая сеть. Она находится за брандмауэром, где содержатся, записываются и контролируются все входящие и выходящие данные. Затем собранная информация анализируется для получения сведений о нашем противнике. В пределах Honeynet можно разместить любую операционную систему и использовать в качестве honeypot, например Solaris, Linux, Windows NT, маршрутизатор Cicso и т.д. Это создает сетевое окружение с более реалистичной для нападающего «атмосферой». Кроме того, применяя различные системы с разными сервисами, такие как Linux DNS, Web-сервер Windows NT или сервер Solaris, можно узнать о многочисленных инструментах и тактических приемах. Быть может, отдельные взломщики, обладающие определенными техническими навыками или движимые определенными мотивами, нападают на конкретные системы или используют определенные слабые места. Работая с многочисленными системами, мы имеем больше возможностей для обнаружения таких различий;

• все системы, находящиеся в Honeynet, - это реальные стандартные системы и приложения, точно такие же, какие можно найти в Internet. Ничего не имитируется, ничего не предпринимается для того, чтобы ослабить защиту систем. Используя их, мы можем узнать очень многое. Риски и уязвимые места, раскрытые в пределах Honeynet, существуют сегодня во многих организациях. Кроме того, Honeynet может быть такой же динамичной и гибкой, как сеть в вашей организации. Использование производственных систем в Honeynet делает ее уникальной. Ничто не имитируется, позволяя использовать точно такие же системы и приложения, какие применяются в вашей организации. На рис. 2.2 изображена Honeynet: каждая honeypot - это система, отражающая все качественные характеристики, присущие внутренней сети.
Copyright (ЦЕ) Addison-Wesley