Honeypot - poznaj swojego wroga
- Przemysław Sperka,
- Marcin Blachnik,
- 04.04.2012, godz. 09:00
Coraz częściej stosowane rozwiązanie typu Honeypot (garnek miodu) to pułapka na intruzów, która ma pomagać w wykrywaniu nieautoryzowanych prób korzystania z systemu, nielegalnego pozyskiwania danych czy innych nadużyć. W praktyce Honeypot służy do poznawania technik używanych przez atakujących, a przede wszystkim do zbierania informacji.
Pierwsze rozwiązania przypominające dzisiejsze Honeypoty pojawiły się już na początku lat 90. XX w. Twórcą pierwszego publicznie udostępnionego Honeypota był Fred Cohen, który wydał w 1997 r. tzw. Deception Toolkit. Był to zestaw skryptów napisanych w języku perl i uruchamianych w środowisku *NIX. Symulowały one znane usługi sieciowe wraz z lukami, aby wzbudzić zainteresowanie intruzów.
Polecamy Testy penetracyjne: Kilka ciekawych narzędzi
· Kontrola danych - dotyczy kontrolowania połączeń wychodzących i przychodzących w taki sposób, aby atakujący nie był tego świadom.
· Przechwytywanie danych - realizacja tej funkcji sprowadza się do rejestrowania wszelkich działań intruza, który nie wie, że jest w pełni monitorowany.
· Składowanie danych - stworzenie logicznej bazy ze zgromadzonymi informacjami.
Klasyfikacja miodowych pułapek
Zasadniczo stosuje się jeden oficjalny podział systemów typu Honeypot, z uwagi na stopień interakcji, czyli na akceptowalny poziom uprawnień atakującego. Jednakże, zważywszy na mnogość rozwiązań, można przyjąć następujące klasyfikacje takich systemów ze względu na:
Przeznaczenie (najogólniejsza charakterystyka):
Systemy produkcyjne - poznanie słabych punktów danego środowiska sieciowego.
Systemy badawcze - rozpoznanie metodologii intruzów, zbieranie informacji, odkrywanie nowych rodzajów ataków i zagrożeń sieciowych.
Stopień interakcji:
Niski - najprostsze systemy, wykorzystanie pojedynczych rozwiązań.
Wysoki - złożone systemy, udostępnianie całych systemów operacyjnych.
Fizyczną realizację:
Honeypot - pojedyncza maszyna umiejscowiona w sieci.
Honeywall - zapora oddzielająca strefę wydzieloną pod systemy Honeypot od strefy ograniczonego zaufania.
Honeynet - połączenie dwóch lub więcej systemów Honeypot.
Wymienione podziały nie są sztywne, ale pozwalają przybliżyć i ocenić, z jakiego rodzaju rozwiązaniem mamy do czynienia.