Специалисты по защите информации подвержены всем описанным выше перегрузкам, так как специфика работы данных специалистов включает в себя большое количество времени провождения за средствами вычислительной техники. Кроме этого, специфика работы специалистов по защите информации требует высокого уровня ответственности от сотрудников. Поэтому важно, минимизировать влияния психофизиологических факторов, влияющих на психоэмоциональное состояние специалиста по защите информации. В этом могут помочь различные методы и средства физической культуры. Так, для снижения умственного перенапряжение необходимо делать небольшие перерывы в течение рабочего дня. Например, раз в час при работе за компьютером выполнять познотонические упражнения в течении нескольких минут, а через каждые 2 часа делать минутные динамические упражнения, такие как бег на месте с глубоким дыханием. Кроме этого,
101 необходимо выполнять пешие прогулки до и после рабочего дня, а также бывать на открытом воздухе. Для снижения перенапряжения анализаторов необходимо в течение всего рабочего дня выполнять упражнения для глаз. Так, в течение каждых 2 часов нужно делать гимнастику для глаз в расслабленном состоянии. При возникновении болей в шее или в области висков, необходимо сначала выполнить упражнения для этих зон. При выполнении упражнений для глаз необходимо глубоко дышать, так как при работе глазные мышцы должны активно насыщаться кислородом. Для того, чтобы снизить монотонность труда, необходимо объединять малосодержательные работы в более сложные, одна работа должна быть продолжительностью не менее 30 секунд [23]. Действия и задачи, выполняемые в ходе рабочего дня, должны быть разнообразные, при этом необходимо чередовать более сложные задачи с легкими. Кроме этого, необходимо соблюдать активный образ жизни, делать кратковременные перерывы для отдыха в рабочее время. Также важно соблюдать правильный ритм и темп работы [23]. Для предотвращения эмоциональной перегрузки в рабочее время необходимо правильно питаться и следить за здоровьем, а в случаи проблем обращаться к необходимым специалистам. Также избежать эмоциональную перегрузку помогут новые увлечения и активный отдых. В рабочее время необходимо пить больше воды и выполнять глубокие дыхательные упражнения. Правильный сон также важный элемент, позволяющий предотвратить эмоциональную перегрузку. В рабочем коллективе необходимо выстраивать дружественные отношения с коллегами, проводить совместные активные мероприятия. 102 Заключение В результате выполнения выпускной квалификационной работы была разработана учебная модель высокоинтерактивной honeypot-системы, позволяющая изучить механизмы обнаружения атак на сетевую инфраструктуру. Также был разработан виртуальный стенд, применяемый для изучения механизмов обнаружения атак на сетевую инфраструктуру. Разработанный виртуальный стенд обеспечивал выполнение следующих учебных заданий: изучение принципа работы honeypot-системы; изучение возможных векторов атак на honeypot-систему. В ходе дипломного проектирования было выполнено описание классификации honeypot-технологий. Был произведен обзор существующих общедоступных реализаций honeypot-систем. После чего в ходе написания отчета о выпускной квалификационной работы было выполнено описание архитектуры, разработанной высокоинтерактивной honeypot-системы, а также выполнено описание всех ее модулей. Также был разработан алгоритм работы honeypot-системы. Кроме этого, в ходе выполнения дипломного проектирования были реализованы модули учебной модели высокоинтерактивной honeypot- системы. Был разработан модуль управления honeypot-системой, разработан модуль, реализующий механизм «обмана» злоумышленника, реализован модуль обнаружения факта атаки на honeypot-систему, реализован модуль сбора и визуализации данных о действиях злоумышленника. После реализации всех модулей учебной модели высокоинтерактивной honeypot- системы было разработано описание порядка выполнения учебных заданий для изучения механизма обнаружения атак на сетевую инфраструктуру. В составе сформулированных учебных заданий была описана и продемонстрирована работа honeypot-системы. 103 Разработанное описание порядка выполнения учебных заданий позволит будущим специалистам по защите информации познакомиться с работой honeypot-технологий, изучить возможные вектора сетевых атак, а также получить такие профессиональные компетенции, как: способность проводить анализ защищенности автоматизированным систем (ПК-3); способность разрабатывать модели угроз и модели нарушителя информационной безопасности автоматизированной системы (ПК-4); способность проводить инструментальный мониторинг защищенности информации в автоматизированной системе и выявлять каналы утечки информации (ПК-17); способность администрировать подсистему информационной безопасности автоматизированной системы (ПК-26). Таким образом, все пункты технического задания на выпускную квалификационную работу были выполнены в полном объеме. В процессе выполнения выпускной квалификационной работы были подготовлены и опубликованы статьи в: сборнике статей VIII Всероссийской межвузовской научно- практической конференции «Информационные технологии в науке и образовании. Проблемы и перспективы 2021» на тему «Классификация honeypot-технологий. Обзор программных реализаций honeypot c низким уровнем взаимодействия» [24]; журнале «Инжиниринг и технологии 2021. – Vol.6(1)» сетевого научного издания «Инжиниринг и технологии» на тему «Анализ программных реализаций Honeypot-технологий с высоким уровнем взаимодействия» [25]; сборнике статей III Всероссийской научно-технической конференции «Безопасность информационных технологий» на тему «Реализация высокоинтерактивной honeypot-системы для обнаружения сетевых атак» [26].
104 Список используемых источников 1 Analysis Of Using Firewall And Single Honeypot. InTraining Attack On Wireless Network. - [Электронный ресурс]. - Режим доступа: https://iopscience.iop.org/article/10.1088/1742-6596/930/1/012038/pdf (дата последнего обращения: 08.06.2021). 2 Compte Rendu de Projet. Étude des Honeypots. - [Электронный ресурс]. - Режим доступа: https://arthurbachelet.me/assets/Project/Files/Honeypots.pdf (дата последнего обращения: 08.06.2021). 3 Taxonomy of Honeynet Solutions. - [Электронный ресурс]. - Режим доступа: https://www.researchgate.net/publication/283939692_Taxonomy_of_Honeynet_So lutions (дата последнего обращения: 08.06.2021). 4 Intrusion Detection FAQ: What is a Honeypot? - [Электронный ресурс]. - Режим доступа: https://www.sans.org/security-resources/idfaq/honeypot3.php (дата последнего обращения: 08.06.2021). 5 Enabling an Anatomic View to Investigate. Honeypot Systems: A Survey. - [Электронный ресурс]. - Режим доступа: https://ieeexplore.ieee.org/document/8098608 (дата последнего обращения: 08.06.2021). 6 Honeypot: Concepts, Types and Working. - [Электронный ресурс]. - Режим доступа: https://www.ijedr.org/papers/IJEDR1504100.pdf (дата последнего обращения: 08.06.2021). 7 Virtual Honeypots: From Botnet Tracking to Intrusion Detection. - [Электронный ресурс]. - Режим доступа: https://www.researchgate.net/publication/220690484_Virtual_Honeypots__From_ Botnet_Tracking_to_Intrusion_Detection (дата последнего обращения: 08.06.2021). 8 R. McGrew. Experiences with honeypot systems: Development, deployment, and analysis. - [Электронный ресурс]. - Режим доступа:
105 https://ieeexplore.ieee.org/document/1579742 (дата последнего обращения: 08.06.2021). 9 PentBox. - [Электронный ресурс]. - Режим доступа: https://github.com/technicaldada/pentbox (дата последнего обращения: 08.06.2021). 10 Dionaea low interaction honeypot. - [Электронный ресурс]. - Режим доступа: https://github.com/rep/dionaea (дата последнего обращения: 08.06.2021). 11 Getting Started With HoneyPy. - [Электронный ресурс]. - Режим доступа: https://www.signalsciences.com/blog/getting-started-with-honeypy-part- 1/ (дата последнего обращения: 08.06.2021). 12 Honeyd: virtual honeypots. - [Электронный ресурс]. - Режим доступа: https://github.com/DataSoft/Honeyd (дата последнего обращения: 08.06.2021). 13 T-Pot 20.06. - [Электронный ресурс]. - Режим доступа: https://github.com/telekom-security/tpotce (дата последнего обращения: 08.06.2021). 14 Lyrebird is a high-interaction honeypot framework. - [Электронный ресурс]. - Режим доступа: https://hub.docker.com/r/lyrebird/honeypot-base/ (дата последнего обращения: 08.06.2021). 15 Dockpot - high interaction SSH honeypot. - [Электронный ресурс]. - Режим доступа: https://www.honeynet.org/projects/active/dockpot/ (дата последнего обращения: 08.06.2021). 16 Modern Honey Network. - [Электронный ресурс]. - Режим доступа: https://github.com/pwnlandia/mhn (дата последнего обращения: 08.06.2021). 17 Sysdig - [Электронный ресурс]. - Режим доступа: https://github.com/draios/sysdig (дата последнего обращения: 08.06.2021). 18 Grafana Loki - [Электронный ресурс]. - Режим доступа: https://grafana.com/oss/loki/ (дата последнего обращения: 08.06.2021). 19 Pipework - [Электронный ресурс]. - Режим доступа: https://github.com/jpetazzo/pipework (дата последнего обращения: 08.06.2021).
106 20 ГОСТ 12.0.003-2015. Межгосударственный стандарт. Система стандартов безопасности труда. Опасные и вредные производственные факторы. Классификация - [Электронный ресурс]. - Режим доступа: https://docs.cntd.ru/document/1200136071 (дата последнего обращения: 08.06.2021). 21 Умственное переутомление - [Электронный ресурс]. - Режим доступа: https://cenyvaptekah.ru/articles/umstvennoe-pereutomlenie-cg (дата последнего обращения: 08.06.2021). 22 Зрительная утомляемость. Причины и профилактика - [Электронный ресурс]. - Режим доступа: http://provisor.com.ua/archive/2007/N19/zrenie.php (дата последнего обращения: 08.06.2021). 23 Психофизиологические опасные и вредные производственные факторы - [Электронный ресурс]. - Режим доступа: https://lektsii.org/13- 33494.html (дата последнего обращения: 08.06.2021). 24 Дёмочкин, А.С. Классификация honeypot-технологий. Обзор программных реализаций honeypot с низким уровнем взаимодействия / А.С. Дёмочкин, А.П. Иванов // Информационные технологии в науке и образовании. Проблемы и перспективы: сб. ст. по материалам VIII Всеросcийской. межвузовской. науч.-практической. конференции. Под редакцией Л.Р. Фионовой. - Пенза: Изд-во ПГУ, 2021. - С. 381-396. 25 Дёмочкин А.С. Анализ программных реализаций Honeypot- технологий с высоким уровнем взаимодействия / А.С. Дёмочкин, А.П. Иванов // Инжиниринг и технологии. – 2021. – Vol. 6(1). – С. 1–8. – DOI 10.21685/2587- 7704-2020-6-1-9. 26 Дёмочкин А.С. Реализация высокоинтерактивной honeypot-системы для обнаружения сетевых атак / А.С. Дёмочкин, А.П. Иванов // Безопасность информационных технологий : сб. науч. ст. по материалам III Всерос. науч.- техн. конф. – Пенза : Изд-во ПГУ, 2021. – С. 27–34.
107 Приложение А (обязательное) Алгоритм работы honeypot-системы
108 Рисунок А.1 – Алгоритм работы высокоинтерактивной honeypot-системы
109 Приложение Б (обязательное) Dockerfile разработанного docker-контейнера FROM ubuntu:20.04 RUN apt update && apt upgrade -y RUN apt update && apt install openssh-server nginx rsyslog iputils- ping net-tools nano vsftpd sudo=1.8.31-1ubuntu1 -y RUN apt-get -y install openjdk-8-jdk wget supervisor apache2 RUN mkdir /usr/local/tomcat RUN wget https://archive.apache.org/dist/tomcat/tomcat- 9/v9.0.27/bin/apache-tomcat-9.0.27.tar.gz -O /tmp/tomcat.tar.gz RUN cd /tmp && tar xvfz tomcat.tar.gz RUN cp -Rv /tmp/apache-tomcat-9.0.27/* /usr/local/tomcat/ RUN apt-get install -y python3 python3-pip && pip3 install supervisor-stdout RUN groupadd user RUN useradd -rm -d /home/ubuntu -s /bin/bash -g user user RUN echo 'user:qwerty123' | chpasswd RUN service ssh start RUN sudo service rsyslog start RUN sudo rsyslogd CMD chmod +x /usr/local/tomcat/bin/catarina.sh RUN mkdir -p /var/lock/apache2 /var/run/apache2 /var/run/sshd /var/log/supervisor COPY supervisord.conf /etc/supervisor/conf.d/supervisord.conf EXPOSE 22 80 8080 CMD ["/usr/bin/supervisord", "-n"]
110 Приложение В (обязательное) Файлы конфигурации стека «Loki» #Файл запуска сервисов стека «Loki» в виде docker-контейнеров version: '3' networks: loki: services: loki: image: grafana/loki:master-2739551 ports: - "3100:3100" networks: - loki restart: unless-stopped grafana: image: grafana/grafana:6.4.4 ports: - "3000:3000" networks: - loki restart: unless-stopped promtail: image: grafana/promtail:master-2739551 networks: - loki volumes: - /opt/loki/loki-promtail-conf.yml:/etc/promtail/docker- config.yaml - /var/log:/var/log command: -config.file=/etc/promtail/docker-config.yaml
111 #Файл конфигурации сервиса Promtail для сбора данных из /var/log/honeypot server: http_listen_port: 9080 grpc_listen_port: 0 positions: filename: /tmp/positions.yaml client: url: http://loki:3100/api/prom/push scrape_configs: - job_name: system entry_parser: raw static_configs: - targets: - localhost labels: job: varlogs __path__: /home/user/honeypot/*log - job_name: honeypot entry_parser: raw
112 Приложение Г (обязательное) Код bash-скрипта «honeypot.sh» #!/bin/bash if /usr/bin/docker network loki_loki ps &> /dev/null; then echo "loki don't work!" fi sudo docker-compose -f /opt/loki/loki-stack.yml up &> /dev/null 2>&1 & echo "CHOICE OF INTERFACE" echo "--------" for iface in $(ip -o -4 addr list | awk '{print $2}' | tr '\n' ' ') do printf "$iface\n" done echo "--------" echo "ENTER HOST-INTERFACE :" echo "--------" read HOST_INTERFACE echo "--------" EXIT_INTERFACE=${HOST_INTERFACE} LIMIT_MIN=128M HOST_NAME=$(ifconfig ${EXIT_INTERFACE} | grep -E "([0- 9]{1,3}\.){3}[0-9]{1,3}" | grep -v 127.0.0.1 | awk '{ print $2 }' | cut -f2 -d:) CONTAINER_NAME="honeypot" #проверка, существует ли контейнер if /usr/bin/docker inspect ${CONTAINER_NAME} &> /dev/null; then if /usr/bin/docker inspect -f '{{.State.Running}}' $CONTAINER_NAME &> /dev/null; then echo "the honeypot is running!"
113 exit fi CONTAINER_ID=$(/usr/bin/docker run --name ${CONTAINER_NAME} -m ${LIMIT_MIN} -d -t -i ${CONTAINER_NAME}) CONTAINER_IP=$(/usr/bin/docker inspect -f '{{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' ${CONTAINER_ID}) PROCESS_ID=$(/usr/bin/docker inspect --format '{{ .State.Pid }}' ${CONTAINER_NAME}) iptables -A FORWARD -p tcp -d ${CONTAINER_IP} -m state -- state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -i ${EXIT_INTERFACE} -p tcp -d ${HOST_NAME} -j DNAT --to-destination ${CONTAINER_IP} /usr/bin/nsenter --target ${PROCESS_ID} -n /sbin/iptables -A OUTPUT -p tcp -m tcp --dst 192.168.0.200 --dport 514 -j ACCEPT sudo chmod +x /pipework/pipework sudo /pipework/pipework docker0 -i eth1 ${CONTAINER_NAME} 10.10.3.3/24 sudo sysdig -pc -A -c echo_fds container.name=${CONTAINER_NAME} and proc.name=sshd and "evt.is_io_read=true and not fd.type contains pipe and not fd.name contains /" > /var/log/honeypot/password_garbage.log && sed -i '/^$/d' /var/log/honeypot/password_garbage.log && sed -rni '/^.{4,10}$/p' /var/log/honeypot/password_garbage.log && sed -i '/eth\|%\|+/d' password_garbage.log && sed -i 's/^/ENTER_PASSWORD /' password_garbage.log && cp /var/log/honeypot/password_garbage.log /var/log/honeypot/password_${CONTAINER_NAME}.log 2>&1 & sudo sysdig -pc -A -c /usr/share/sysdig/chisels/spy_users container.name=${CONTAINER_NAME} "and not fd.name contains /usr/local/tomcat/ and not fd.name contains /usr/bin/" & sudo sysdig -pc -A -c /usr/share/sysdig/chisels/spy_file container.name=${CONTAINER_NAME} "and not fd.name contains /lib/x86_64-linux-gnu/ and not fd.name contains /dev/null and not fd.name contains /usr/share/nano/ and not fd.name contains
114 /etc/nsswitch.conf and not fd.name contains /lib/terminfo/x/ and not fd.name contains /usr/lib/ssl/ and not fd.name contains /etc/ssh and not fd.name contains /usr/local/tomcat/ and not fd.name contains /dev/urandom and not fd.name contains /usr/lib/jvm/ and not fd.name contains /etc/localtime and not fd.name contains /usr/local/tomcat/ and not fd.name contains /etc/apache2/ and not fd.name contains /proc/filesystems and not fd.name contains /etc/gai.conf and not fd.name contains /proc/self/ and not fd.name contains /usr/lib/apache2/ and not fd.name contains /proc/self/ and not fd.name contains /sys/fs/ and not fd.name contains /proc/net/ and not fd.name contains /etc/resolv.conf and not fd.name contains /proc/sys/ and not fd.name contains /sys/devices/ and not fd.name contains /etc/timezone and not fd.name contains /usr/bin/which and not fd.name contains /etc/group and not fd.name contains /etc/host.conf and not fd.name contains etc/resolv.conf and not fd.name contains /dev/random and not fd.name contains /etc/mime.types and not fd.name contains /etc/nanorc" & sudo docker logs -f ${CONTAINER_NAME} > /var/log/honeypot/docker_logs.log 2>&1 & sudo tcpdump dst ${CONTAINER_IP} -n -nn -q -t > /var/log/honeypot/docker_net.log 2>&1 & #sudo tcpdump dst ${HOST_NAME} -n -nn -q > net_host.log 2>&1 & echo "--------" echo "honeypot run! ip-address - " ${CONTAINER_IP} echo "--------" echo "Enter the command..." echo "[0] - end of the program" echo "[1] - start again" read COMAND #do case ${COMAND} in "0") sudo pkill -f "sysdig" iptables -D FORWARD -p tcp -d ${CONTAINER_IP} -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
115 iptables -t nat -D PREROUTING -i ${EXIT_INTERFACE} -p tcp -d ${HOST_NAME} -j DNAT --to-destination ${CONTAINER_IP} /usr/bin/docker stop ${CONTAINER_NAME} > /dev/null /usr/bin/docker rm ${CONTAINER_NAME} > /dev/null sudo docker-compose -f /opt/loki/loki-stack.yml kill &> /dev/null 2>&1 & exit ;; "1") iptables -D FORWARD -p tcp -d ${CONTAINER_IP} -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -t nat -D PREROUTING -i ${EXIT_INTERFACE} -p tcp -d ${HOST_NAME} -j DNAT --to-destination ${CONTAINER_IP} /usr/bin/docker stop ${CONTAINER_NAME} > /dev/null /usr/bin/docker rm ${CONTAINER_NAME} > /dev/null clear sudo ./honeypot.sh esac else echo "the container image with this name was not found" exit fi
|