Итак, вторая часть нашей эпопеи о таких
достопримечательностях как Honeypot.
достопримечательностях как Honeypot.
Honeynet
Что же представляет из себя эта медовая
сеть и чем она отличается от Honeypot?
Собственно, понятно из названия, что Honeynet
это разновидность Honeypot, только система
представляет из себя не один компьютер, а
целую их сеть (либо виртуальную, при которой
на одном компьютере эмулируется работа
многих ОС и устройств, либо реальную, при
которой используется совершенно реальная
локалка). Сеть сидит за неким фильтром (файрволом)
и перехватывает все входящие и исходящие
соединения, затем информация о проделанной
хакером работе рассматривается и
анализируется. Внутри Сети может быть
размещено множество различных компьютеров,
например с Solaris, Linux, Windows NT, а так же свичи и
маршрутизаторы. Honeynet, конечно же, создает
для стороннего грабителя более реальную
картину, нежели стоящий отдельно и в
одиночестве Honeypot. К тому же, используя много
машин с различным программным обеспечением,
пусть даже и виртуальным, мы сможем узнать
гораздо больше о тактике хакера нежели при
использовании одного компьютера.
сеть и чем она отличается от Honeypot?
Собственно, понятно из названия, что Honeynet
это разновидность Honeypot, только система
представляет из себя не один компьютер, а
целую их сеть (либо виртуальную, при которой
на одном компьютере эмулируется работа
многих ОС и устройств, либо реальную, при
которой используется совершенно реальная
локалка). Сеть сидит за неким фильтром (файрволом)
и перехватывает все входящие и исходящие
соединения, затем информация о проделанной
хакером работе рассматривается и
анализируется. Внутри Сети может быть
размещено множество различных компьютеров,
например с Solaris, Linux, Windows NT, а так же свичи и
маршрутизаторы. Honeynet, конечно же, создает
для стороннего грабителя более реальную
картину, нежели стоящий отдельно и в
одиночестве Honeypot. К тому же, используя много
машин с различным программным обеспечением,
пусть даже и виртуальным, мы сможем узнать
гораздо больше о тактике хакера нежели при
использовании одного компьютера.
Подобно обычному Honeypot, Honeynet преследует
точно такие же цели — сбор данных о
действиях хакеров, пытающихся взломать
систему, выявление слабых мест в своей защите.
Специфика работы ловушки состоит из двух
факторов — из необходимости перехватывать
всю информацию, передающуюся в вашей
медовой сети, и в необходимости держать
проникшего под полным контролем. Сложность
первого варианта — в необходимости собирать
информацию сразу из множества ресурсов и на
множестве уровней (например — файрвол,
система обнаружения вторжений (IDS), логи
всех систем, входящих в сеть), как можно
больше, только так вы увидите полную
картину действий. Причем необходимо, что бы
хакер даже не подозревал о том, что за ним
ведется слежка и не смотал бы удочки раньше
времени, а потому, по очевидным причинам,
надо предусмотреть систему хранения
информации вне Honeynet.
точно такие же цели — сбор данных о
действиях хакеров, пытающихся взломать
систему, выявление слабых мест в своей защите.
Специфика работы ловушки состоит из двух
факторов — из необходимости перехватывать
всю информацию, передающуюся в вашей
медовой сети, и в необходимости держать
проникшего под полным контролем. Сложность
первого варианта — в необходимости собирать
информацию сразу из множества ресурсов и на
множестве уровней (например — файрвол,
система обнаружения вторжений (IDS), логи
всех систем, входящих в сеть), как можно
больше, только так вы увидите полную
картину действий. Причем необходимо, что бы
хакер даже не подозревал о том, что за ним
ведется слежка и не смотал бы удочки раньше
времени, а потому, по очевидным причинам,
надо предусмотреть систему хранения
информации вне Honeynet.
В контроле Honeynet конечно же есть и свои
проблемы: ежу понятно, что нельзя дать
хакеру использовать вашу сеть для атаки на
другие сервера, например для DoS нападений. В
тоже время необходимо дать возможность
атакующему соединяться с внешним миром —
например для загрузки руткитов, соединения
с IRC, посылки почты и т.д. Вот такой дуализм…
проблемы: ежу понятно, что нельзя дать
хакеру использовать вашу сеть для атаки на
другие сервера, например для DoS нападений. В
тоже время необходимо дать возможность
атакующему соединяться с внешним миром —
например для загрузки руткитов, соединения
с IRC, посылки почты и т.д. Вот такой дуализм…
Ты, как человек не обремененный финансами,
наличием локальной сети и большого числа не
занятых компьютеров, думаю задумаешься о
создании виртуальной сети-ловушки.
Профессионалы для ее развертывания
советуют использовать: VMware
Workstation — виртуальную машину, на которой
можно запускать практически любые
операционные системы (о развертывании Honeynet
при помощи VMware ты можешь прочитать тут
или тут, а об
управлении — здесь);
VMware GSX
Server — старший брат рабочей станции; User
Mode Linux — специальный ядреный модуль,
позволяющий запускать несколько
виртуальных копий Linux.
наличием локальной сети и большого числа не
занятых компьютеров, думаю задумаешься о
создании виртуальной сети-ловушки.
Профессионалы для ее развертывания
советуют использовать: VMware
Workstation — виртуальную машину, на которой
можно запускать практически любые
операционные системы (о развертывании Honeynet
при помощи VMware ты можешь прочитать тут
или тут, а об
управлении — здесь);
VMware GSX
Server — старший брат рабочей станции; User
Mode Linux — специальный ядреный модуль,
позволяющий запускать несколько
виртуальных копий Linux.
Что же касается софта для работы самой
Honeynet, то отсылаю тебя на сайт организаторов
— www.honeynet.org, там в
разделе Tools собрано все, что тебе необходимо
для работы.
Honeynet, то отсылаю тебя на сайт организаторов
— www.honeynet.org, там в
разделе Tools собрано все, что тебе необходимо
для работы.
Ну, на этом пока все, пиши комментарии если
интересно.
интересно.
Honeypot Farm, Honeypot, Хонейпот, ловушка для хакера, основы Honeypot, защита сети, программы-ловушки
Комментариев нет:
Отправить комментарий