Ханипот

Ханипот (от англ. honeypot — горшочек с мёдом) — ресурс, представляющий собой приманку для злоумышленников.

Задача ханипота — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация ханипота может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.

Ханипот представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Ханипот собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Ханипот собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.

История появления

Ханипоты появились с первыми компьютерными злоумышленниками. Ханипотам насчитывается по меньшей мере 20 лет^{[уточнить]}, разработки по их созданию и внедрению проводились параллельно с исследованиями IDS.

Первым документальным упоминанием была книга Клиффорда Столла «The Cuckoo’s Egg», написанная в 1990 г. Через десять лет, в 2000 г. ханипоты стали повсеместно распространенными системами-приманками.

Впоследствии IDS и ханипоты будут представлять собой единый комплекс по обеспечению информационной безопасности предприятия^{[источник не указан 3316 дней]}.

Альтернативные методы защиты

Помимо ханипотов, в настоящее время^{[когда?]} применяются следующие средства защиты компьютерных сетей: honeynet, honeytoken, padded cell, IDS, IPS. Последние два не подходят под определение ханипотов — они являются не приманками, а системами обнаружения и предотвращения вторжений. В то же время наиболее близким понятию ханипота становится IDS — система обнаружения вторжений, протоколирующая все несанкционированные подключения к целевой системе.

Padded Cell — это разновидность приманки типа «песочница». Попадая в неё, злоумышленник не может нанести какой-либо вред системе, так как он постоянно находится в изолированном окружении.

Honeynet — это сеть из ханипотов, о ней см. ниже.

В любом случае, вне зависимости от того, какая система защиты установлена, на ней в качестве приманки должна быть подложная информация, а не оригинал.

Виды ханипотов

Существуют ханипоты, созданные на выделенных серверах и программно-эмулируемые ханипоты.

• Ханипоты, установленные на выделенном сервере, позволяют максимально приблизить его к реальному серверу, роль которого он выполняет(сервер данных, сервер приложений, прокси-сервер).
• Эмулируемый ханипот быстро восстанавливается при взломе, а также четко ограничивается от основной ОС. Он может быть создан при помощи виртуальной машины или Honeyd.

Разница между ними в масштабах сети. Если, к примеру, это малая офисная сеть, то не имеет особого смысла ставить выделенный сервер для протоколирования подозрительных событий в сети. Здесь достаточно будет ограничиться виртуальной системой или даже одним виртуальным сервисом. В больших организациях используются именно выделенные серверы с полностью воспроизведенными на них сетевыми службами. Обычно в конфигурировании таких служб специально допускают ошибки, чтобы у злоумышленника удался взлом системы. В этом и состоит основная идея ханипота — заманить взломщика.

Преимущества ханипотов

Технологии ханипотов предоставляют аналитикам некоторые преимущества :

• сбор содержательной информации;
• нетребовательность к системным ресурсам;
• простота установки, конфигурирования и эксплуатации;
• наглядность необходимости использования.

Недостатки ханипотов

Средства ханипотов имеют несколько недостатков. Ханипоты не заменяют никаких механизмов безопасности; они только работают и расширяют полную архитектуру безопасности.

Главными проблемами ханипотов являются:

• ограниченная область видения;
• возможность раскрытия ханипота;
• риск взлома ханипотов и атаки узлов посторонних организаций.

Расположение ханипотов

Различные варианты размещения ханипота помогут дать полные сведения о тактике нападающего. Размещение ханипота внутри локальной сети даст представление об атаках изнутри сети, а размещение на общедоступных серверах этой сети или в DMZ — об атаках на незащищенные сетевые службы, такие как: почтовые сервисы, SMB, ftp-серверы и т. д.

Варианты расположения ханипотов в локальной сети

Ханипот в локальной сети

Ханипот может быть установлен внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то следует перенаправлять весь входящий ssh-трафик на ханипот. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Ханипот — это не простая программа, которая записывает логи сервера. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра.

Ханипот в DMZ

В демилитаризованной зоне или DMZ располагаются общедоступные серверы. К примеру, это может быть веб-сервер или почтовый сервер. Поскольку наличие таких серверов зачастую привлекает внимание спамеров и взломщиков, необходимо обеспечить их информационную защиту. Установка ханипота на серверы DMZ является одним из решений этой проблемы.

Если же нет выделенного веб-сервера, можно эмулировать веб-службы при помощи программных ханипотов. Они позволяют в точности воспроизвести несуществующий в действительности веб-сервер и заманить взломщика. Эмуляция почтовых и других сетевых служб ограничивается лишь выбором конкретного программного решения.

Сеть с двумя, тремя и более ханипотами по определению называется honeynet. Она может быть ограничена от рабочей сети. Управляющий трафик, попадающий в honeynet, должен фиксироваться ловушками этой сети.

Реализации ханипотов

Все известные ханипоты можно поделить на 2 класса — открытые и коммерческие

открытые	коммерческие
Bubblegum Proxypot	PatriotBox
Jackpot	KFSensor
BackOfficer Friendly	NetBait
Bait-n-Switch (недоступная ссылка)	ManTrap
Bigeye	Specter
HoneyWeb	Honeypot Manager
Deception Toolkit
LaBrea Tarpit
Honeyd
Sendmail SPAM Trap
Tiny Honeypot

Ниже приводится краткое пояснение некоторых реализаций.

	Комментарий
Deception Toolkit	самый первый open-source ханипот, датирован 1997 годом
HoneyWeb	эмулирует различные типы веб-сервисов
BackOfficer Friendly	ханипот для ОС Windows, может применяться в качестве HIPS
Honeyd	низкоуровневый ханипот для Linux, способен эмулировать сотни ОС
Bubblegum Proxypot	open-source ханипот, применяется для борьбы со спамерами
Specter	коммерческий низкоуровневый ханипот для ОС Windows. Эмулирует 13 различных ОС.
Honeypot Manager	коммерческий ханипот. Эмулирует сервер с установленной СУБД Oracle.

Ссылки

• Honeypots Solutions