возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий

2
Оглавление
Введение ................................................................................................................... 4 1 Общие сведения о honeypot-технологиях .......................................................... 6 2 Описание классификации honeypot-технологий ............................................... 9 2.1 Классификационные признаки honeypot-устройств ............................ 9 2.2 Классификация honeypot по уровню интерактивности ...................... 9 2.3 Классификация honeypot по уровню адаптивности .......................... 12 2.4 Классификация honeypot по предназначению в сетевой инфраструктуре ..................................................................................................... 12 2.5 Классификация honeypot по типу системы ........................................ 14 2.6 Классификация honeypot по цели применения .................................. 15 2.7 Классификация honeypot по виду размещения .................................. 16 2.8 Классификация honeypot по закономерности развертывания .......... 16 3 Проблемы, присущие honeypot-технологиям .................................................. 19 4 Процесс сбора и анализа информации, выполняемый honeypot- технологиями ......................................................................................................... 22 5 Обзор существующих реализаций honeypot-систем ...................................... 24 5.1 Программные реализации honeypot-систем с низким уровнем взаимодействия ...................................................................................................... 24 5.2 Программные реализации honeypot-систем с высоким уровнем взаимодействия ...................................................................................................... 26 6 Разработка honeypot-системы ........................................................................... 37 6.1 Вводные данные для разработки высокоинтерактивной honeypot- системы ................................................................................................................... 37 6.2 Архитектура системы ........................................................................... 39 6.3 Алгоритм работы honeypot-системы ................................................... 41 6.4 Реализация модели высокоинтерактивной honeypot-системы ......... 43 6.4.1 Описание архитектуры разработанной модели honeypot- системы ................................................................................................................... 43

3 6.4.2 Разработка модуля, реализующего механизм «обмана» злоумышленника ................................................................................................... 44 6.4.3 Разработка модуля обнаружения факта атаки на honeypot- систему ................................................................................................................... 46 6.4.4 Разработка модуля сбора и визуализации данных о действиях злоумышленника ................................................................................................... 48 6.4.5 Разработка модуля управления honeypot-системой ................. 52 7 Разработка стенда, применяемого для выполнения учебных заданий, по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы .................................................................................................. 55 7.1 Состав разрабатываемого стенда ........................................................ 55 7.2 Подготовка виртуального стенда ........................................................ 57 7.3 Состав учебных заданий по ознакомлению принципа работы учебной модели высокоинтерактивной honeypot-системы .............................................. 58 8 Описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой .......................................................... 60 9 Проверка работоспособности учебной модели высокоинтерактивной honeypot-системы .................................................................................................. 98 10
Вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие ....................... 99
Заключение .......................................................................................................... 102
Список используемых источников .................................................................... 104
Приложение А. Алгоритм работы honeypot-системы ..................................... 107
Приложение Б. Dockerfile разработанного docker-контейнера ...................... 109
Приложение В. Файлы конфигурации стека «Loki» ....................................... 110
Приложение Г. Код bash-скрипта «honeypot.sh» ............................................. 112

4
Введение
В настоящее время обеспечение безопасности сетевой инфраструктуры является важнейшей задачей любой организации, так как увеличивается число пользователей и систем, имеющих сетевую связь между собой. Поэтому сотрудники служб и отделов информационной безопасности постоянно стремятся усовершенствовать механизмы защиты, чтобы наилучшим образом подготовиться к моменту действий злоумышленников на объекты сетевой инфраструктуры [1]. Однако способы и методы проведения сетевых атак меняются с каждым днем, поэтому построить полностью безопасную сетевую инфраструктуру очень трудоёмко, а иногда просто невозможно.
В этой связи, наилучшей стратегией по обеспечению безопасности сетевого пространства является рассмотрение вопросов, касающихся анализа уязвимостей, которые могут быть использованы злоумышленниками для проникновения в сеть организации. Также важно иметь представление о типах атак, используемых злоумышленниками, средствах и методах, которые они используют. Все это позволит противостоять сетевым атакам в режиме реально времени [2]. Одним из технических средств, которое поможет реализовать описанную выше стратегию противостояния сетевым атакам, а также позволит снизить риск несанкционированного доступа в сеть, являются honeypot-системы.
Выпускная квалификационная работа посвящена возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Актуальность темы выпускной квалификационной работы обуславливается тем, что в настоящее время использование только классических механизмов обнаружения и предотвращения вторжений не дает возможности собирать в режиме реального времени точную информацию об этапах проводимых атак на объекты сетевой инфраструктуры, о злоумышленниках и инструментарии, которые они применяют. Такую

5
возможность как раз дают honeypot-технологии, в особенности honeypot- устройства с высоким уровнем взаимодействия.
Целью данной выпускной квалификационной работы является разработка учебной модели высокоинтерактивной honeypot-системы для изучения механизмов обнаружения атак на сетевую инфраструктуру.
В ВКР должны быть рассмотрены следующие вопросы:
 описание классификации honeypot-технологий;
 обзор существующих реализаций honeypot-систем;
 разработка модуля управления honeypot-системой;
 разработка модуля обнаружения факта атаки на honeypot-систему;
 разработка модуля сбора и визуализации данных о действиях злоумышленника;
 разработка модуля, реализующего механизм
«обмана» злоумышленника;
 описание учебных рекомендаций по работе с учебной моделью высокоинтерактивной honeypot-системой;
 проверка работоспособности учебной модели высокоинтерактивной honeypot-системы на основе разработанных заданий, приведенных в рекомендациях для учебных занятий;
 вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие.

6 1 Общие сведения о honeypot-технологиях
По определению, которое было сформулировано Лансом Шпицнером, основателем Honeypot Technology [3], honeypot – это ресурс информационной системы, ценность которого заключается в его несанкционированном или незаконном использовании. Honeypot-технологии представляют собой приложение или систему с заранее созданными уязвимыми местами с целью привлечения внимания злоумышленника. Такими уязвимыми местами могут быть ненужные открытые порты, устаревшие версии программного обеспечения, слабые пароли учетных записей пользователей, старые незащищенные ядра операционных систем и многое другое [4]. Пример топологии сетевой инфраструктуры с honeypot-устройством представлен на рисунке 1.
Рисунок 1 – Пример топологии сетевой инфраструктуры с honeypot- устройством
Технологии honeypot отличаются от классических средств обеспечения безопасности тем, что они не призваны решать какую-либо конкретную задачу.
Межсетевые экраны чаще всего устанавливаются по периметру организации, чтобы заблокировать несанкционированный доступ путем

7
фильтрации сетевого трафика на определенных портах [5]. Однако данные средства не имеют возможности анализировать трафик. Их функциональность ограничивается блокированием доступа к определенной службе для предотвращения нежелательного трафика, однако в то же время межсетевые экраны блокируют любой и другой трафик, если он поступает даже от проверенного источника. Honeypot-технологии в свою очередь устроены таким образом, что у таких систем порты всегда открыты, для того чтобы захватывать как можно больше входящего трафика для дальнейшего анализа проводимых сетевых атак.
Системы обнаружения вторжений (IDS) используются для оценки входящего трафика с целью обнаружения любых несоответствующих или аномальных действий и ситуаций в сетевом пространстве [5]. Однако IDS- системы имеют недостаток, связанный с ложными предупреждениями таких технологий. Это может привести к тому, что технологии обнаружения вторжений могут срабатывать на действия не только злоумышленников, но и на действия авторизованных пользователей. По сравнению с IDS-системами honeypot-технологии имеют большое преимущество в том, что они никогда не генерируют ложные предупреждения, так как в их сущности (такое устройство является «приманкой») заложено, что любой наблюдаемый и обрабатываемый трафик является подозрительным.
Системы предотвращения вторжений (IPS), состоящие из межсетевого экрана и IDS-системы, могут анализировать трафик и блокировать вредоносные программы и данные. Такие системы действуют как «защитный щит» от сетевых атак, однако IPS-системы не могут определять, используется ли созданный запрос на уровне приложений модели OSI с целью несанкционируемого получения данных [5]. Данный недостаток потенциально может привести к атакам, будучи не обнаруженным системой предотвращения вторжений. Например, с помощью атаки методами социальной инженерии злоумышленник получит доступ к конфиденциальной информации с помощью переданных легитимным пользователем логина и пароля. Honeypot-

8
технологии в свою очередь собирают всю информацию об атаках злоумышленников и могут быть использованы для создания контрмер на их действия.
Делая общий вывод, можно утвердить, что honeypot – это гибкое средство, которое может быть применено в различных ситуациях для поддержания безопасности сетевой инфраструктуры организации, а также для выявления и определения разных методов проникновения и взлома систем, используемых в организации.
Функциями honeypot-технологий являются:
 регистрация и контроль данных в сети организации;
 обнаружение разных видов атак с целью исследования новых видов угроз на систему;
 идентификация злоумышленников и информации о них;
 сбор и анализ информации о средствах и технологиях, применяемых злоумышленниками, в том числе сбор информации об атаках, проводимых только с помощью автоматизированных средств;
 исследование действий злоумышленников в скомпрометированной среде с целью предотвращения в будущем разных векторов атак.

9 2 Описание классификации honeypot-технологий
2.1 Классификационные признаки honeypot-устройств
В настоящее время honeypot-технологии можно классифицировать по:
 уровню интерактивности;
 уровню адаптивности;
 по предназначению в сетевой инфраструктуре;
 по типу системы;
 по цели применения;
 по виду размещения;
 по закономерности развертывания.
Рассмотрим разновидности honeypot-технологий по данным признакам.
2.2 Классификация honeypot по уровню интерактивности
Интерактивность определяет степень взаимодействия злоумышленника и средства, применяемого в качестве honeypot-технологии. Существуют honeypot c низким и высоким уровнем взаимодействия.
Honeypot с низким уровнем взаимодействия (низкоинтерактивные honeypot) чаще всего используется, как средство для имитации какой-либо реальной системы или приложения. Это может быть операционная система, сервер баз данных, web-сервер или сетевое приложение [4]. Структура honeypot с низким уровнем взаимодействия представлена на рисунке 2, а также в графической части на плакате «Структура honeypot-системы с низким и высоким уровнем взаимодействия».

10
Рисунок 2 – Структура honeypot с низким уровнем взаимодействия
Преимуществом honeypot-технологий с низким уровнем взаимодействия является простота их настройки и развертывания, данный тип honeypot менее ресурсоемкий по сравнению с honeypot-технологиями с более высоким уровнем взаимодействия. Кроме этого, еще одним преимуществом низкоинтерактивных honeypot заключается в отсутствии реальных рисков для сети, так как они представляют собой нереальный сервис или службу. Однако из этого преимущества вытекают и недостатки такого вида honeypot.
Honeypot-технологии с низким уровнем взаимодействия очень легко могут быть обнаружены, так как сервис или служба в виде honeypot никогда не ответит на запрос злоумышленника, ведь такой сервис лишь имитирует свою работу. Также такой вид honeypot-технологии не позволяет получать большое количество информации об атакующем, об видах и средствах, которые он использует для проведения атак. Еще одним недостатком honeypot с низким уровнем взаимодействия является то, что такие системы не могут реагировать на созданные злоумышленником эксплойты. Вследствие чего это ограничивает сотрудников служб информационной безопасности обнаружить и проанализировать новые уязвимости и вектора атак.
Honeypot-технологии с высоким уровнем взаимодействия чаще всего представляют собой отдельный хост или устройство, расположенное внутри корпоративной сети, но не участвующее в информационных процессах [4].
Данный вид honeypot предназначен не для того, чтобы эмулировать определенные сервисы или службы, а для того, чтобы представлять для злоумышленника видимую системы для атаки. Такой подход снижает вероятность того, что нарушитель поймет, что действует с нереальной системой. Структура высокоинтерактивного honeypot представлена на

11
рисунке 3, а также в графической части на плакате «Структура honeypot- системы с низким и высоким уровнем взаимодействия».
Рисунок 3 – Структура honeypot с высоким уровнем взаимодействия
Преимущество высокоинтерактивных honeypot состоит в том, что такая разновидность honeypot позволяет собирать всю информацию об злоумышленниках, об этапах выполняемых атак, средствах и методах, используемых атакующими для несанкционированного доступа и раскрытия конфиденциальной информации, а также возможных уязвимостях в корпоративной инфраструктуре. Кроме этого, преимуществом honeypot c высоким уровнем взаимодействия является то, что данные средства позволяют сотрудникам отдела безопасности организации реагировать на инциденты безопасности в режиме реального времени, то есть в момент, когда злоумышленник продолжает проводить атаку. Также, в отличие от honeypot с низким уровнем взаимодействия, высокоинтерактивные honeypot могут противостоять атакам «нулевого дня» [2].
Однако honeypot высокого уровня взаимодействия имеют и ряд недостатков. Главный из них заключается в том, что, если система в виде honeypot будет скомпрометирована, то она может быть использована как средство для проведения атак «пост-эксплуатации», то есть для дальнейшего проникновения в реальную сеть организации, а также закрепления в этой

12
системе. Еще одним недостатком такого вида honeypot является то, что необходимы значительные временные и технические ресурсы для развертывания высокоинтерактивного honeypot, а также хорошая квалификация сотрудников, выполняющих их настройку.
2.3 Классификация honeypot по уровню адаптивности
Адаптивность определяет возможность изменения конфигурации honeypot-технологии. С точки зрения уровня адаптивности honeypot бывают статическими и динамическими [3].
Статический honeypot заранее настраивается специалистами по информационной безопасности, которые определяют конфигурацию
«приманки» и затем развертывают honeypot в сетевой инфраструктуре.
Главным недостатком статического honeypot заключается в том, что данный вид «приманки» нельзя модифицировать или изменить. Для перенастройки статического honeypot специалистам, которые настраивали его, приходится повторно разворачивать данный honeypot. Также статическая конфигурация honeypot не имеет возможности давать мгновенный ответ на вторжение в данную систему.
Honeypot, которые в свою очередь автоматически подстраиваются под изменения конфигурации, называются динамическими. Такой вид систем дает возможность настраивать их в режиме реального времени в результате запроса управления, например, администратором, или ответа на какое-то событие в сети (несанкционированный доступ).
2.4 Классификация honeypot по предназначению в сетевой инфраструктуре
В зависимости от своего предназначения в топологии сети, различают honeypot-клиент и honeypot-сервер [2].

13
Основной задачей клиентского honeypot является имитация клиентского процесса. Такой вид honeypot позволяет проверять являются ли сервера, подключающиеся к нему, вредоносными с целью получения неавторизованного доступа. Так, клиентский honeypot стремится установить соединение с разними видами серверов. Если тот или иной подключившийся сервер начинает производить атаку на клиента или начинает отправлять вредоносные файлы, то honeypot-клиент сообщает это административному центру. Структура honeypot-клиента представлена на рисунке 4.
Рисунок 4 – Структура honeypot-клиента
В свою очередь задача серверного honeypot заключается в том, чтобы имитировать или моделировать разные виды сервисов для привлечения внимания злоумышленников. Такой вид honeypot дает возможность собирать информацию о злоумышленнике, об типе атак, инструментах, которые используют атакующие. Структура honeypot-сервера представлена на рисунке
5.
Рисунок 5 – Структура honeypot-сервера

14
Honeypot-сервер всегда находится в пассивном состоянии до тех пор, пока он не будет атакован. Поэтому важно настроить серверный honeypot таким образом, чтобы он привлек внимание атакующих.
2.5 Классификация honeypot по типу системы
В зависимости от типа системы, а также количества ресурсов, которые могут быть выделены для развертывания «приманок», различают физические и виртуальные honeypot-устройства [5].
Физические honeypot работают непосредственно на физических носителях и системах в зависимости от топологии сети. Данный вид устройств представляют из себя honeypot с высоким уровнем взаимодействия, поэтому они позволяют собирать большее количество данных о злоумышленниках и проводимых ими атаками. Несмотря на то, что такой вид honeypot можно выделить в отдельный сегмент сети для изоляции их от реальных хостов, для физических honeypot необходимо много производительных ресурсов для их развертывания и поддержания в рабочем состоянии.
Виртуальные honeypot же можно использовать на одном физическом хосте, при этом они требуют меньше ресурсов, а также более просты в настройке.
Также виртуальный honeypot может быть, как низкоинтерактивный, так и высокоинтерактивный.
Для реализации такого вида систем в настоящее время используются разные решения в области виртуализации. Основными из них являются
VMWare и Virtualbox. Также для развертывания honeypot может использоваться технология виртуализации на уровне ядра, например, KVM.
Для имитации работы сетевого оборудования на базе x86-систем могут быть также применены эмуляторы, например, QEMU. Кроме этого, все больше приобретает популярность виртуализация на основе технологии контейнеризации. Примерами таких решений являются LXC и Docker.

15
Большим преимуществом виртуальных honeypot состоит в том, что на их основе можно построить целую систему из honeypot. Такая система получила название honeynet. Данная технология является гибридной системой, состоящей из комбинации honeypot с высоким и низким уровнем взаимодействия и позволяющей большую свободу действий для злоумышленника с целью более детального сбора информации о нем. Пример конфигурации honeynet представлен на рисунке 6.
Рисунок 6 – Конфигурация honeynet
2.6 Классификация honeypot по цели применения
В зависимости от целей применения, которые ставятся перед развертыванием honeypot, существуют производственные и исследовательские honeypot [6].
Производственные honeypot-устройства используются в целях минимизации ущерба, который можно получить от существующих уязвимостей в системе, а также помогают принимать оптимальные меры по устранению таких уязвимых мест. Такие системы позволяют проверить корректность настройки межсетевого экрана, проколов безопасности и IDS- систем. Еще одна функция производственного honeypot заключается в том, что такая система привлекает атаки на определенную службу, которая имитирует

16
ее работу. Тем самым такой honeypot отвлекает злоумышленников от реальных систем, служб и хостов, установленных в сети, сохраняя их безопасность.
Исследовательский honeypot позволяет собирать большее количество информации о злоумышленниках, методах и средствах, которые они применяют, об инструментах, используемых ими. Такой вид honeypot позволяет подготовиться к будущим атакам, чтобы не пострадать от них. В своей сущности исследовательские honeypot-устройства дают возможность понять принцип проведения как существующих, так и новых видов атак. Такой вид «приманки» будет имитировать полную систему, а не только один сервис или службу. Поэтому большинство исследовательских honeypot являются высокоинтерактивными.
2.7 Классификация honeypot по виду размещения
В зависимости от физического местонахождения сети различают локальные и удаленные honeypot [3].
Локальный honeypot располагается непосредственно в сети, на которую будут направлены атаки злоумышленников. Такая система может имитировать какой-то внутрисетевой ресурс или службу.
Удаленный honeypot в свою очередь чаще всего располагается в DMZ.
Такая система будет собирать информацию о действиях злоумышленников на общедоступные ресурсы, например, на web-сервер с белым IP-адресом.
2.8 Классификация honeypot по закономерности развертывания
Под закономерностью развертывания понимается логическая взаимосвязь между honeypot и реальной сетевой инфраструктурой. Стратегию по развертыванию honeypot в данной классификации можно разделить на две категории: «минное поле» и «щит» [3].

17
При использовании концепции «минное поле» honeypot-устройства пассивно собирают данные. При развертывании «приманок» они чаще всего размещаются среди реальных систем и хостов, иногда полностью копируя некоторые из них. Таким образом, honeypot логически интегрированы в сетевую инфраструктуру. Им выдаются IP-адреса из числа неиспользуемых в сетевом пространстве. В результате применения такой концепции развертывания «приманок» honeypot-устройства собирают информацию не только о действиях злоумышленников, но и внутренних пользователях сети.
Пример развертывания honeypot по стратегии «минное поле» представлен на рисунке 7.
Рисунок 7 - Пример развертывания honeypot-устройства по стратегии
«минное поле»
Используя же концепцию развертывания honeypot-устройства «щит», honeypot будет действовать как «зеркало» той или иной системы. Так, если система будет регистрировать какие-либо действия, то весь трафик, исходящий от злоумышленника будет перенаправляться на honeypot, который в свою очередь будет анализировать всю деятельность нарушителя и позволит защитить реальный хост от компрометации. В данной концепции honeypot могут располагаться как в одном адресном пространстве с реальными системами и хостами, так и в выделенной подсети. Однако для реализации концепции «щит» необходимо использовать разные средства перенаправления

18
трафика, например, туннели NAT или GRE [3]. Пример развертывания honeypot-системы по стратегии «щит» представлен на рисунке 8.
Рисунок 8 - Пример развертывания honeypot-устройства по стратегии «щит»
Делая общий вывод по разным видам классификаций honeypot- технологий, можно утверждать, что наибольший интерес и значимость в настоящее время имеют динамические, исследовательские и виртуальные honeypot-технологии с высоким уровнем взаимодействия.

19 3 Проблемы, присущие honeypot-технологиям
Несмотря на то, что honeypot-устройства являются очень гибкими и мощными инструментами для защиты от несанкционированного доступа в сетевую инфраструктуру, существует ряд недостатков при их использовании.

  1   2   3   4   5   6