Главная страница
Навигация по странице:

  • Безопасность

  • Функциональность

  • возможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры. Общие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий


    Скачать 5.81 Mb.
    НазваниеОбщие сведения о honeypotтехнологиях Описание классификации honeypotтехнологий
    Анкорвозможности применения honeypot-систем как средств обнаружения атак на объекты сетевой инфраструктуры
    Дата15.04.2023
    Размер5.81 Mb.
    Формат файлаpdf
    Имя файлаYGnpPw71h4Zn.pdf
    ТипДокументы
    #1063353
    страница2 из 6
    1   2   3   4   5   6
    Процесс настройки и конфигурирования. В силу своей сущности и функциональных возможностей, honeypot-технологии требуют хорошей классификации сотрудников, которые их развертывают. В связи с этим важно точно и правильно настроить honeypot, чтобы в дальнейшем злоумышленник не распознал в honeypot нереальную систему. Кроме этого, необходимо правильно выполнять и процесс реконфигурации honeypot, если он будет скомпрометирован.
    Проблемы, связанные с компрометацией honeypot, могут решаться через использование технологии виртуализации, когда honeypot представлен в виде виртуальной машины. Однако сложность настройки «приманки» в данном случаи только возрастает.
    Обнаружение. В процессе работы honeypot-системы важно, чтобы злоумышленник не обнаружил факт того, что находится в нереальной системе.
    В зависимости от того, какого вида honeypot развернут в сетевом пространстве, существуют различные механизмы и методы, которые позволяют атакующим распознать реальную систему от honeypot.
    Так, злоумышленник может обнаружить honeypot с низким уровнем взаимодействия, если «приманка» не поддерживает тот или иной функционал реальной службы или сервиса. Кроме этого, низкоинтерактивный honeypot можно обнаружить, если он неправильно настроен, например, honeypot работает на порту, несоответствующему реальной системе. Также по утверждению, которое выдвигается в работе «Virtual Honeypots: From Botnet
    Tracking to Intrusion Detection» [7], реальные системы быстрее обрабатывают запросы, чем honeypot низкого уровня взаимодействия, в том числе при работе сервиса в многопоточном режиме.

    20
    При обнаружении же honeypot с высоким уровнем взаимодействия, злоумышленник будет искать уязвимые места для понимания того, находится ли он в реальной системе или нет. Если, же honeypot будет установлен в виде виртуальной системы, то злоумышленник может определить «приманку» по используемым именам устройств и сервисов, специфичному идентификатору процессора, МАС-адресу, а также по дополнительным характеристикам, которые характерны виртуальным машинам. Также реестр виртуальных устройств имеет определенные ключи, которые присущи только средствам виртуализации. Например, версия BIOS определяется ключом «System Product
    Name». Обнаружив honeypot в виде виртуальной машины VMware, злоумышленник может увидеть в ключе версии BIOS запись вида «VMware
    Virtual Platform», обнаружив же honeypot на базе виртуальной машины среды
    VirtualBox, атакующий найдет запись «VBOX — 1». Еще одним фактором, который поможет обнаружить злоумышленнику виртуальный honeypot, является наличие у виртуальных машин вспомогательных процессов.
    Кроме этого, многие виртуальные машины используют дополнения к гостевой операционной машине. Так, среда VirtualBox использует дополнение
    «VBox Guest Addition».
    Исходя из выше описанных проблем, можно сделать предположение, что средства виртуализации только увеличивают вероятность компрометации honeypot. Однако стоит заметить, что в настоящее время многие организации используют средства виртуализации для развертывания реальных систем с целью уменьшения производительных затрат. Так, например, в среде
    «VMware vSphere» можно создать целую систему из виртуальных хостов, на которых будут работать различные реальные службы и сервисы. Поэтому использование виртуального honeypot приемлемо с учетом правильной его настройки. Кроме этого, сейчас возможно развертывание honeypot с использованием более новых технологий, таких как средства контейнеризации.

    21
    Безопасность. От безопасности honeypot зависит дальнейшая компрометация всей системы. Поэтому важно ещё при настройке honeypot использовать разные механизмы их защиты. Так, для низкоинтерактивных honeypot существует механизм chroot, который позволяет оградить систему, на которой размещена «приманка», от последствий компрометации сервиса или приложения, являющего honeypot с низким уровнем взаимодействия.
    В случаи же высокоинтерактивных honeypot для снижения риска их компрометации необходимо сделать корректную настройку iptables, а также использовать разные виды межсетевых экранов.
    Функциональность. Функциональность honeypot еще один фактор, который обуславливает корректную работу данной технологии. Так, важно, чтобы honeypot почти полностью повторял функционал той системы, работу которого он имитирует, вне зависимости какого вида honeypot
    (высокоинтерактивный или низкоинтерактивный).
    Гибкость. Если функциональность honeypot подразумевает полноту возможностей honeypot при имитации какой-либо системы, то гибкость подразумевает, насколько «приманка» может имитировать работу той или иной системы без привязки к какой-либо роли, например, honeypot в виде web- сервера, имитирующий работу уже ssh-сервера.
    Делая выводы из выше описанных проблем honeypot, можно утверждать, что для снижения влияния проблем, связанных с использованием honeypot-технологий, необходимо учитывать все тонкости настройки и развертывания данного вида систем, а также использовать дополнительные технологии при их эксплуатации.

    22 4 Процесс сбора и анализа информации, выполняемый honeypot- технологиями
    Как было описано в разд. 1, одной из самых важных функций honeypot- устройства является сбор информации об проводимых атак, злоумышленниках, а также об используемых ими технологиях и средствах.
    Поэтому важным аспектом перед развертыванием honeypot является определение списка информации, которую должна собирать honeypot-система о проводимых на нее атаках. На основе методики, сформулированной Р.
    МакГрю [8], можно утверждать, что основными критериями, которые позволяют полностью описать атаку, производимую на honeypot, являются:
     мотивация злоумышленника – определяет причину нападения;
     ширина и глубина – определяет количество используемых инструментов для проведения атаки, а также степень влияния атаки на систему;
     скрытность – определяет уровень сокрытия действий, проводимых злоумышленником при проведении атаки;
     сложность – определяет опыт злоумышленника, проводившего атаку, а также его уровень знаний;
     источник атаки
    – определяет уровень идентификации злоумышленника;
     уязвимость – определяет выявленный недостаток системы;
     технологии – определяет список инструментов, используемых злоумышленником для проведения атак.
    После формирования описания атаки необходимо также определить информацию об злоумышленнике, которую должен собирать honeypot. Так, к таким данным относятся:
     IP-адрес злоумышленника или IP-префикс;
     порт, на котором работает злоумышленник или на котором работает автоматизированное средство, контролируемое им;

    23
     протокол передачи данных;
     дата и время атаки;
     имя домена;
     страна, откуда производится атака;
     User agent;
     операционная система;
     URL.
    Однако собирая данную информацию, важно учитывать, что злоумышленник может использовать разные механизмы и средства скрытия информации о себе. Так, например, многие злоумышленники применяют в своей работе программное решение «Tor», а также используют поддельные IP- адреса других стран.
    Заключительным списком данных, который должен формировать honeypot, должен быть список целей злоумышленников. Обычно целью для злоумышленника является:
     программное обеспечение;
     уязвимость в системе;
     сервис;
     прошивка;
     операционная система;
     аппаратное обеспечение;
     устройство целиком (такое возможно, если конкретный уровень архитектуры не определен).
    Важно отметить, что все категории данных, которые должен собирать honeypot в процессе своей работы, изменятся в зависимости от его назначения и функциональных возможностей. Описанные выше списки информации об атаках, злоумышленниках и их целях являются наиболее полными и могут как расширяться, так и уменьшаться, исходя от цели использования и развертывания honeypot-системы.

    24 5 Обзор существующих реализаций honeypot-систем
    5.1 Программные реализации honeypot-систем с низким уровнем взаимодействия
    В ходе обзора программных решений honeypot-систем были рассмотрены как реализации honeypot с низким уровнем взаимодействия, так и с высоким.
    Реализаций honeypot-технологий с низким уровнем взаимодействия в настоящее время очень большое количество, однако наиболее распространёнными являются:
     Pentbox;
     Dionea;
     HoneyPy;
     HoneyD.
    Pentbox - это набор программных решений для обеспечения безопасности, содержащий различные инструменты для оптимизации работы
    PenTest, в том числе модуль Honeypot [9]. Данное ПО имеет только консольный интерфейс, что снижает удобство работы с ним. Модуль Honeypot может быть использован на разных портах системы, что существенно увеличивает гибкость данного инструмента в рамках его использования при настройке honeypot-технологий на реальной системе.
    Однако производительность настроенного honeypot в Pentbox низкая. Кроме этого, возможность обнаружения honeypot при использовании Pentbox средняя.
    Dionea [10] – модульная система, эмулирующая различные протоколы, такие как: SMB, HTTP, FTP, TFTP, MSSQL, VoIP, SIP.
    Dionea имеет несколько вариантов вывода информации в процессе работы, как в графическом виде (имеет локальный web-интерфейс), так и консольном. Данная система имеет ряд недостатков при ее настройке и дальнейшем использовании, так как она работает только с версией python2,

    25
    которая на сегодняшний день уже устарела. Уровень обнаружения же данной реализации honeypot-системы - средний.
    HoneyPy [11] представляет собой honeypot с низким и средним уровнем взаимодействия. Он предназначен для простого развертывания, расширения функциональности с помощью плагинов, а также для применения пользовательских конфигураций. Данная реализация имеет ряд плагинов на языке Python, которые позволяют эмулировать разные TCP протоколы.
    Настройка HoneyPy занимает определенное время, так как необходимо правильно сконфигурировать файл honeypot-системы. Данная система работает только через консоль, однако имеет графический интерфейс для сбора данных. Уровень обнаружения HoneyPy – низкий.
    HoneyD - это система, которая позволяет создавать эмулируемую сеть, состоящую из множества компьютеров, с различными операционными системами и запущенными сетевыми приложениями [12]. Главным достоинством данной реализации является гибкость работы, так как она позволяет запускать сразу множество эмулируемых сервисов. Кроме этого, система позволяет симулировать TCP/IP стек различных ОС и сетевых устройств, а также имеет возможность работы одновременно с реальным запущенным приложением. Существенно недостатком HoneyD является сложность настройки по сравнению с предыдущими реализациями, так как занимает большее количество временных ресурсов на конфигурировании всех сервисов. Система имеет только консольный вариант работы, а уровень обнаружения данной системы –низкий.
    Сравнительная характеристика реализаций honeypot-технологий с низким уровнем взаимодействия представлен в таблице 1.

    26
    Таблица 1 – Сравнение программных реализаций низкоинтерактивных honeypot
    Программная реализация
    Характеристика
    Простота настройки и установки
    Функциональные возможности
    Удобство работы
    Уровень обнаружения
    Pentbox
    Высокая
    Средние
    Низкое
    Средний
    Dionea
    Средняя
    Низкие
    Высокое
    Средний
    HoneyPy
    Средняя
    Среднее
    Среднее
    Низкий
    HoneyD
    Низкая
    Высокие
    Среднее
    Низкий
    На основе описания о каждой программной реализации, а также сравнительной характеристики, можно сделать вывод, что наиболее эффективной honeypot-системой с низким уровнем взаимодействия для применения в условиях реальной системы будет система HoneyD. Однако стоит заметить, что в настоящее время honeypot с низким уровнем взаимодействия представляют меньший интерес, чем высокоинтерактивные honeypot-системы, так как данные устройства могут имитировать работу только одной службы или процесса, вследствие чего могут собирать меньше информации о злоумышленнике.
    5.2 Программные реализации honeypot-систем с высоким уровнем взаимодействия
    В настоящее время
    «open-source» проектов в сфере высокоинтерактивных honeypot немного. Наиболее распространенными на сегодняшний день являются:
     T-Pot;
     LyreBird;
     DockPot;
     Modern Honey Network (MHN).

    27
    T-Pot – это высокоинтерактивный honeypot, представляющий собой модульную систему из множества docker-контейнеров [13]. Также T-Pot имеет следующие дополнительные инструменты:
     Cockpit – утилита для мониторинга производительности в режиме реального времени и в web-терминале;
     Cyberchef - web-приложение для шифрования, кодирования, сжатия и анализа данных;
     Kibana – инструмент для визуализации в графическом виде данных.
     Elasticsearch - web-интерфейс для просмотра результатов работы honeypot;
     Fatt – скрипт для извлечения метаданных сети из файлов типа «pcap» и сбора сетевого трафика;
     Spiderfoot – инструмент для автоматизации процесса «OSINT»;
     Suricata – механизм мониторинга сетевой безопасности.
    Структура T-Pot представлена на рисунке 9.
    Рисунок 9 – Архитектура honeypot «T-pot»
    Установка «T-pot» может производиться либо с помощью готового ISO- образа, либо в дистрибутиве Debian 10 на основе cклонированного git- репозитория. При этом «T-pot» можно устанавливать как в виде реального

    28
    хоста, так и виртуальной машины. Единственным условием при установке данного ПО на виртуальную машину является прямое подключение к сети через мост («bridged»). Необходимые системные требования для «T-pot» можно найти в git-репозитории проекта [13].
    В то же время «T-pot» нельзя установить на другой дистрибутив Linux.
    Так, например, при установке данной honeypot-системы в Kali Linux 20.04, возникает ошибка при запуске bash – скрипта, отвечающего за установку
    T-pot.
    После завершения установки T-pot создается два web-приложения
    (административная консоль и пользовательская система со всеми инструментами). Доступ к web-приложениям можно получить через браузер, введя IP-адрес хоста и указав порт, на котором размещена та или иная система.
    В результате установки и настройки создается высокоинтерактивный honeypot c открытыми портами в диапазоне от 21 до 65389. В рамках дополнительного конфигурирования, некоторые порты можно закрыть.
    Подробную информацию о нарушителях, проводимых ими атак, можно получить в интерфейсе службы «Kibana».
    На основе выше описанной информации можно сделать следующие выводы о данной системе. Достоинством T-pot является его функциональные возможности для развертывания honeypot с высоким уровнем взаимодействия.
    Данная модульная система имеет множество низкоинтерактивных honeypot, а также дополнительные инструменты для сбора информации о нарушителях и векторах атак. Процесс настройки и установки данной системы не сложен, однако есть недостаток в виде установки либо только из ISO-образа, либо только на дистрибутив Debian 10. На другие дистрибутивы Linux данная система не устанавливается. Кроме этого, в процессе эксплуатации системы, было замечено, что некоторые сервисы нестабильно работают, что ухудшает целостность и доступность системы.
    Еще одним недостатком является то, что при первоначальной конфигурации системы, практически все порты у honeypot с высоким уровнем

    29
    взаимодействия будут открыты. Такой вид honeypot в большинстве случаев спугнет нарушителя дальше действовать на систему, так как в реальности нет таких хостов, где были бы открыты все известные порты.
    LyreBird – это фреймворк для развертывания honeypot с высоким уровнем взаимодействия [14]. Данное ПО позволяет регистрировать все атаки нарушителей в реальном времени, а также позволяет обнаруживать атаки
    «человек по середине» из-за специфики своей сборки. Вся информация о векторах атак и злоумышленниках собирается в дамп файл, а также в html- отчет.
    Сама же система представляет собой Docker-контейнер. Пример установки и запуска LyreBird на дистрибутиве Kali Linux 20.04 представлен на рисунке 10.
    Рисунок 10 – Процесс развертывания LyreBird
    В результате установки LyreBird запускается Docker-контейнер, который представляет собой высокоинтерактивный honeypot с открытым 22 портом для перехвата атак «человек по середине».
    Достоинством данной системы является то, что она собрана в виде docker-образа, который можно развернуть на любом дистрибутиве Linux.
    Однако документация, приложенная к проекту на ресурсе hub-docker, не актуальная на сегодняшний день. Git-репозиторий проекта LyreBird не доступен, а последнее обновление производилось в 2016 году. Еще одним плюсом системы является то, что LyreBird единственный honeypot с высоким

    30
    уровнем взаимодействия, которое позволяет перехватывать атаки типа «man- in-the-middle». Скомпрометировать honeypot, созданный с помощью LyreBird, сложно, так как на нем открыт только один 22 порт, отвечающий за ssh- соединение. Все попытки ввести нелегальные данные для авторизации по ssh или провести атаки брутфорса пароля пользователя регистрируются данной системой. Кроме этого, так как LyreBird выполнен в виде docker-образа, то безопасность высокинтерактивного honeypot также увеличивается. LyreBird во время тестирования стабильно работал, однако при завершении работы с docker-контейнером, его необходимо удалить из репозитория запущенных контейнеров и заново собрать.
    Недостатком данной системы является сложность ее настройки, так как она уже представлена в готовом docker-контейнере, который сложно пересобрать. Заявленный же в документации к проекту конфигурационный файл «docker-compose.yml» отсутствует. Кроме этого, при окончании работы
    LyreBird не создает html-отчет, о котором также говорится в документации.
    DockPot – это высокоинтерактивный ssh-honeypot, основанный на docker-контейнере. Данное ПО представляет собой NAT-устройство, которое имеет возможность выступать в качестве ssh-прокси между злоумышленником и honeypot с возможностью регистрации действий злоумышленника [15].
    Dockpot основан на honeypot «Honssh» с некоторыми изменениями для запуска docker-контейнеров при новых соединениях. Кроме этого, Dockpot имеет в своем составе низкоинтерактивный honeypot – Kippo. Процесс установки Dockpot в дистрибутиве Kali Linux 20.04 представлен на рисунке 11.
    Рисунок 11 - Процесс развертывания Dockpot

    31
    В процессе установки Dockpot необходимо собирать два docker- контейнера, один из которых является ssh-сервером, а другим honeypot
    Dockpot.
    Достоинством Dockpot является то, что он представлен в виде docker- контейнера, что облегчает процесс установки данной системы на любом дистрибутиве Linux. Однако сравнивая с тем же LyreBird, который также выполнен в виде контейнера, для Dockpot необходимо создать дополнительный docker-контейнер в виде ssh-сервера. Dockpot также, как и
    LyreBird давно не обновлялся, последние изменения проекта на github зафиксированы в 2015 году. Система имеет только открытый 22 порт, собрана в виде docker-образа, поэтому скомпрометировать honeypot будет сложно.
    Большим недостатком данного решения honeypot с высоким уровнем взаимодействия является то, что данные о злоумышленниках, фиксируются только в логах контейнера. Никакого графического представления собранной информации или отчета Dockpot не предусматривает. Также при тестировании
    Dockpot не всегда стабильно работал, так как docker-контейнер, отвечающий за ssh-сервер, не всегда мог установить соединение с docker-контейнером honeypot.
    MHN – Modern Honey Network – это высокоинтерактивный honeypot, представляющий собой централизованный сервер для управления и сбора данных [16]. MHN позволяет быстро развертывать разные сервисы и службы, а также собирать данные, которые можно просматривать с помощью web- интерфейса. Некоторые сервисы и службы MHN являются honeypot с низким уровнем взаимодействия, такие как: Snort, Cowrie, Dionaea, glastopf и другие.
    Для удобства использования Modern Honey Network собран в виде web- приложения, написанном на фреймворке Flask [16]. Web-интерфейс позволяет собирать и разворачивать низкоинтерактивные honeypot, регистрировать и просматривать списки атак, формировать и сохранять отчеты о вторжениях, а также о злоумышленниках. В соответствии с документацией на данное ПО сервер MHN поддерживает работу на дистрибутивах Linux Ubuntu 18.04,

    32
    Ubuntu 16.04 и Centos 6.9. Процесс установки, настройки и запуска данной системы представлен на рисунке 12.
    Рисунок 12 – Процесс развертывания Modern Honey Network
    Достоинством MHN является его стабильная работа. Система позволяет в разном виде собирать всю информацию о проводимых атаках на honeypot и выводить пользователю в удобном для него виде в web-интерфейсе. Еще одним плюсом данного решения honeypot с высоким уровнем взаимодействия является то, что установка и настройка не занимают больших временных и технических затрат. Также имеется система авторизации пользователя при входе на web-интерфейс honeypot. Еще одним плюсом данной системы является то, что набор программных компонентов в составе высокоинтерактивного honeypot для сбора информации об атаках и злоумышленниках довольно обширный.
    Кроме этого, есть возможность установки Modern Honey Network в виде docker-контейнера. Однако процесс стабильного развертывания MHN возможен только на некоторых дистрибутивах Linux. Например, на дистрибутиве Kali Linux 20.04 не получится развернуть данный honeypot, так как MHN работает с системой управления пакетами python-pip, а в Kali Linux
    20.04 возможна работа только с версией python-pip3.
    Общая сравнительная характеристика реализаций honeypot-технологий с высоким уровнем взаимодействия представлена в таблице 2.

    33
    Таблица 2 – Сравнение программных решений высокоинтерактивных honeypot
    Программ- ная реализация
    Характеристика
    Функциональные возможности
    Простота настройки и установки
    Удобство использования
    Уровень возможной компрометации
    T-Pot
    Высокие. Имеет большое количество низкоинтерактив- ных honeypot и инструментов для сбора информации об атаках и злоумышленниках
    Высокая.
    Имеет готовый iso-образ для развертывания, а также есть возможность установки на готовый дистрибутив
    Linux.
    Высокое.
    Существует web- приложение с разными инструментами, которые позволяют отслеживать всю информацию об злоумышленни- ках и проводимых ими атаках в разном представлении
    (таблицы, графики и т.д.)
    Высокий.
    При первоначальной конфигурации honeypot имеет более
    6000 открытых портов.
    Lyrebird
    Средние.
    Достоинством данной реализации является то, что она может перехватывать атаки «человек по середине»
    Средняя.
    Установка данной системы происходит через docker- контейнер.
    Однако существует сложность при изменении
    Низкая.
    Информация с honeypot собирается только в дамп- файл.
    Заявленный процесс создания html- отчета в документации на
    Низкий в силу использованию технологии контейнериза- ции, а также использования только ssh-порта для отслеживания проводимых атак на систему

    34
    Продолжение таблицы 2
    Программ- ная реализация
    Характеристика
    Функциональные возможности
    Простота настройки и установки
    Удобство использования
    Уровень возможной компрометации конфигурацион ного файла honeypot в связи с спецификой docker-образа проект не работает
    Dockpot
    Низкие.
    Есть только возможности по прослушиванию ssh-сессий
    Низкая.
    Для развертывания необходимо развернуть
    2 docker- контейнера, при этом не каждый docker- образ ssh- сервера подойдет для контейнера системы
    Dockpot
    Низкая.
    Информация о проводимых атаках и злоумышленни- ках можно наблюдать только в лог- файлах
    Низкий в связи с использованием технологии контейнериза- ции
    MHN
    Высокие. Имеет достаточное количество низкоинтерактив- ных honeypot и инструментов для фиксации проводимых на систему атак
    Высокая.
    Установка происходит с помощью bash- скрипта, при запуске которого можно указать все
    Высокая.
    Используется web-приложение для подробного анализа собранной информации с honeypot
    Средний.
    Первоначально система устанавливается на реальную систему с web- приложением, которое можно

    35
    Продолжение таблицы 2
    Программ- ная реализация
    Характеристика
    Функциональные возможности
    Простота настройки и установки
    Удобство использования
    Уровень возможной компрометации
    (более
    15 разновидностей) необходимые конфигурацион ные данные для развертывания системы скомпрометиро- вать.
    Однако существует возможность запуска и установки MHN в виде docker- контейнера
    На основе описания о каждой программной реализации, а также сравнительной характеристики, можно сделать вывод, что наиболее эффективной honeypot-системой с высоким уровнем взаимодействия является система Modern Honey Network. Процесс ее установки и настройки довольно прост. Система может устанавливаться как на готовую систему под управлением ОС Ubuntu Linux или Centos, так и в виде docker-контейнера.
    Также плюсом данной системы является то, что на сегодняшний день она поддерживается разработчиками, выходят новые версии (в отличии от Dockpot и Lyrebird). Кроме этого, как показал опыт, MHN работает более стабильно, чем программная реализация высокоинтерактивного honeypot – T-pot.
    Однако MHN по своей сути не является точным воплощением honeypot с высоким уровнем взаимодействия. Данная система представляет из себя набор большого количества низкоинтерактивных honeypot, которые хотя и позволят собрать нужную информацию о злоумышленнике, функционал honeypot с высоким уровнем взаимодействия не смогут повторить.
    В результате можно, сделать вывод, что большинство описанных высокоинтерактивных honeypot-систем, хотя и являются общедоступными для использования, но при этом давно разработаны и не поддерживаются

    36
    разработчиками, а также имеют недостатки в стабильности своей работы.
    Многие из описанных систем имеют свои плюсы, такие как: использование современной технологии контейнерной виртуализации, сбор, анализ и визуализация данных, зарегистрированных honeypot-системой. Однако данные плюсы имеет каждая описанная «open-source» honeypot-система по отдельности, поэтому разработка высокоинтерактивной honeypot-системы, сочетающая все плюсы описанных систем, является актуальной.

    37 6 Разработка honeypot-системы
    6.1 Вводные данные для разработки высокоинтерактивной honeypot-системы
    Перед тем как разрабатывать модель высокоинтерактивной honeypot- системы с целью дальнейшего исследования сетевых атак, важно определить схему вторжения злоумышленника в высокоинтерактивную honeypot-систему.
    Поэтому была разработана схема вторжения злоумышленника в высокоинтерактивную систему, которая представлена на рисунке 13, а также в графической части на плакате «Схема вторжения злоумышленника в высокоинтерактивную honeypot-систему».
    Рисунок 13 – Схема вторжения злоумышленника в высокоинтерактивную honeypot-систему
    Исходя от схемы вторжения, можно также определить и алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему.
    Алгоритм позволит определить этапы проведения атак, что даст построить более эффективную систему, которая будет собирать всю необходимую информацию о злоумышленнике. Алгоритм поведения злоумышленника представлен на рисунке 14, а также в графической части на плакате «Алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему».

    38
    Рисунок 14 – Алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему
    Алгоритм поведения злоумышленника в ходе проведения атаки на высокоинтерактивную систему наглядно показывает, что большинство атак имеют 4 этапа, в ходе которых злоумышленник собирает информацию об интересующем объекте, пробует получить доступ к нему и в случае успешного вторжения делает попытки закрепиться в системе. Еще одним видом атак, которые может проводить злоумышленник, являются атаки отказа в обслуживании системы (DDoS-атаки).
    Схема вторжения и алгоритм поведения злоумышленника в ходе проведения атаки на honeypot-систему дают возможность определить, что в ходе разработки модели высокоинтерактивной honeypot-системы с высоким уровнем взаимодействия не следует использовать реальную хостовую систему. Кроме этого, при разработке honeypot-системы необходимо скрыть важные файлы и директории, а также не использовать учетную запись суперпользователя системы или учетную запись пользователя с правами
    «sudo». Однако в то же время важно установить и использовать реальные

    39
    средства и программы в высокоинтерактивной системе, а не низкоинтерактивные honeypot-устройства или средства имитации работы сервисов, для того чтобы злоумышленник не заподозрил, что работает с honeypot-системой.
    6.2 Архитектура системы
    Разработанная система представляет собой высокоинтерактивную honeypot-систему, которая может применяться в исследовательских целях для определения действий злоумышленников, выполняемых ими на разных этапах сетевых атак. Архитектура разработанной высокоинтерактивной honeypot- системы представлена на рисунке 15, а также в графической части на плакате
    «Архитектура высокоинтерактивной honeypot-системы».
    Рисунок 15 – Архитектура высокоинтерактивной honeypot-системы
    Разработанная система реализована по концепции развертывания honeypot-систем «щит», то есть злоумышленник в ходе проведения атак будет взаимодействовать не с хостовой системой, а c docker-контейнером (модулем, реализующим механизм «обмана» злоумышленника
    )
    . Хостовая система, в свою очередь, будет выполнять роль прокси-сервера с модулем управления honeypot-системой, модулем обнаружения атак на всю систему, модулем сбора

    40
    и визуализации данных, собираемых из docker-контейнера, а также модулем очистки контейнера.
    Рассмотрим архитектуру высокоинтерактивной honeypot-системы. В процессе описания архитектуры будут определены основные принципы функционирования каждого модуля без уточнения реализации. Описание деталей реализации представлено в п. 6.4.
    1   2   3   4   5   6


    написать администратору сайта