Сбор данных
Для гарантии эффективной записи данных Honeynet Project использует сразу несколько методов, поскольку ни один в отдельности не в состоянии получить всю требуемую информацию. Многие считают, что если записать все команды, выдаваемые хакером, то таким образом можно получить все необходимые сведения. Это далеко не так. Предположим, выясняется, что записанная команда запускает некий сценарий? Что этот сценарий делает, какие изменения вносит и какую функциональность поддерживает? Восстановление этого сценария столь же важно, как и его обнаружение. Для этого Honeynet Project использует разные уровни сбора данных.
Первый уровень — это сам мост. Шлюз IDS, который идентифицирует и блокирует атаки, пассивно просматривает каждый пакет и весь трафик, который тот создает в сети. Это гарантирует, что мы можем записать и зарегистрировать все действия хакера для последующего анализа. В частности, шлюз позволяет восстанавливать такие данные, как учетные записи или пароли, к примеру, из открытых протоколов, таких как IRC, HTTP или telnet. По журналу регистрации, содержащему информацию о передаче файлов, можно восстановить, какой инструментарий применял хакер. Даже при использовании зашифрованных протоколов, с помощью пассивного анализа характерных признаков пакетов не очень сложно определить тип атакующей системы и ее возможное местонахождение.
Второй уровень сбора данных — это журнал регистрации межсетевого экрана. Мостовое устройство второго уровня имеет механизм фильтрации пакетов, позволяющий блокировать исходящие соединения при достижении установленного предельного их числа. Тот же самый механизм регистрирует все входящие и исходящие соединения. Входящие соединения содержат важную информацию, поскольку с их помощью, скорее всего, выполняются зондирование, сканирование или атаки. Исходящие соединения имеют еще большее значение, поскольку могут свидетельствовать о проникновении в ловушку и поскольку исходящее соединение инициирует хакер.
Третий уровень предназначен для сбора информации о том, какие команды инициировал хакер, и вообще о его деятельности в системе. Это сделать намного труднее, чем кажется: хакеры стали часто использовать шифрование. Большинство организаций, стремясь обеспечить защиту данных, развертывают шифрующие протоколы наподобие SSH и HTTPS. Однако и хакеры, чтобы скрыть свои действия, могут использовать те же самые протоколы. Как только хакер проник в систему, расположенную в сети-приманке, он может осуществлять удаленное администрирование системы с помощью SSH, в силу чего проследить его действия становится еще сложнее. Даже если в системе, куда попал хакер, SSH не установлен, все чаще оказывается, что в этом случае хакер инсталлирует свою собственную версию протокола.
Чтобы преодолеть эти трудности, в Honeynet Project были разработаны модули ядра, устанавливаемые в системах, которые могут стать объектами нападения. Эти модули накапливают информацию обо всей деятельности хакеров, в частности, о зашифрованных командах или о scp (защищенное копирование или инструментарий, для зашифрованной передачи файлов) при загрузке наборов инструментальных средств. Информацию, которую собирают модули ядра, нельзя сохранять локально в ловушке, поскольку хакер может обнаружить, случайно удалить или изменить ее. Данную информацию необходимо удаленно собирать на защищенной системе, причем так, чтобы хакер об этом не знал.
В частности, это можно сделать, отправляя собранные сведения в сеть. Шлюз IDS анализирует и собирает сведения обо всей сетевой активности в сети-приманке, записывая все пакеты, сгенерированные модулем ядра, так что в этом случае мост второго уровня действует как сетевой анализатор, накапливающий сведения и регистрирующий всю деятельность хакера. Смысл данного метода — передать информацию таким образом, чтобы хакер этого не заметил.
Хакеры легко могут проанализировать трафик в канале и увидеть, что в пересылаемых по нему пакетах содержатся сведения об их собственной деятельности. Чтобы воспрепятствовать этому, модуль ядра маскирует пакеты под трафик NetBIOS, передаваемый из других систем. IP- и MAC-адреса отправителей и получателей маскируются под адреса локального сервера Windows. Даже если хакер анализирует канал и просматривает пакеты, то для него они будут выглядеть как обычный трафик. Реальные данные, содержащиеся в пакетах, шифруются Blow-fish, что гарантирует их конфиденциальность [2].
Эти многочисленные уровни сбора данных гарантируют, что мы получим истинное представление о деятельности хакеров. Другие методы, такие как обратный инжиниринг и судебные расследования, выходят за рамки данной статьи. Чтобы больше узнать о технических подробностях развертывания сетей-приманок, посетите сайт www.honeynet.org/papers/honeynet.
Стремясь собирать как можно более широкий спектр сведений, Honeynet Project развертывает в своих сетях-приманках различные виды операционных систем. Существуют сети-приманки, где работают Solaris, OpenBSD, Linux и Windows. Хотя все эти проекты пока находятся на начальных этапах реализации, можно отметить весьма интересные тенденции: главная заключается в том, что разные операционные системы привлекают разные категории злоумышленников. Windows-системы, как правило, становятся объектами нападения червей или простых автоматизированных атак, таких как сканирование открытых совместно используемых ресурсов или передача рекламных объявлений через порт 135. На Linux-системы, как правило, организаторами нападения становятся жители Восточной Европы, в основном, румыны, которые используют общеизвестные дефекты систем и автоматизированные средства планирования атак, такие как wu-ftpd massrooter. Системы, работающие под управлением Solaris и OpenBSD, подвергаются более разнообразным и интересным атакам, в частности, организуемым с использованием туннелирования IPv6.
