Honeypot dla mas
30 czerwca 2003
Tomasz Grabowski
Pułapka na włamywacza
Honeypot z definicji jest systemem umożliwiającym zbierane informacji o próbach
ataków na naszą sieć. Zainstalowany na specjalnie do tego przeznaczonym komputerze, symuluje różne
popularne usługi takie jak serwer WWW, FTP czy Telnet, w oczekiwaniu na jakąkolwiek próbę ataku. Następnie
zapisuje wszelkie informacje związane z każdym połączeniem z tymi usługami, dzięki czemu umożliwia
późniejszą dokładną analizę ewentualnego ataku (w jaki sposób atak został przeprowadzony,
z jakiego adresu IP łączył się intruz, czego szukał w systemie). Zasadniczo więc, honeypot,
służy głównie do analizy najnowszych sposobów ataków oraz ułatwia namierzanie sprawców
włamań komputerowych. Panuje więc przekonanie, jakoby system honeypot był przydatnym narzędziem tylko
w rękach profesjonalistów zajmujących się bezpieczeństwem sieci komputerowych.
Honeypot vs. IDS
Okazuje się, że system honeypot może
stanowić bardzo atrakcyjną alternatywę dla zaawansowanych narzędzi typu Intrusion Detection Systems (Systemy
Detekcji Włamań), instalowanych w wielu firmach. Podstawowymi trudnościami z jakimi muszą zmierzyć
się firmy decydujące się na zainstalowanie systemu IDS, jest przede wszystkim dość skomplikowany
proces instalacji tych systemów, konieczność stałego ich uaktualniania oraz ciągła potrzeba
analizowania logów przez człowieka. Dzieje się tak dlatego, że systemy IDS starają się rozpoznać
ewentualne ataki za pomocą bazy sygnatur znanych ataków. Baza ta musi być stale - nawet kilka razy dziennie
- uaktualniana. Sygnatur ataków jest tak wiele, że nierzadko normalny ruch w sieci może przypadkiem odpowiadać
jakiejś sygnaturze i zostać przez system IDS uznany jako atak. Stąd też nieodzowne staje się ciągłe
analizowanie logów przez administratora, który ostatecznie decyduje czy dane zdarzenie jest faktycznie atakiem,
czy też zwykłym ruchem odbywającym się w sieci. Honeypot jest w większości pozbawiony tych wad.
Nie korzysta bowiem z żadnych baz, które wymagałyby uaktualniana, a umiejętne umiejscowienie go w sieci
sprawia, że każdy alarm może być traktowany jako autentyczna próba włamania. Środowiskiem,
w którym prosty honeypot sprawdzi się równie dobrze jak zaawansowany system IDS, jest wewnętrzna sieć
firmy, zabezpieczona najczęściej przed światem zewnętrznym za pomocą firewalla. W sieci takiej, traktowanej
jako środowisko zaufane, każda próba skanowana portów bądź wykorzystywania serwisów
symulowanych przez honeypot, powinna zostać zakwalifikowana jako ewentualna próba ataku i dogłębnie
sprawdzona. W większości bowiem przypadków, takie zdarzenie związane będzie z przejęciem kontroli
nad jednym z firmowych komputerów przez włamywacza, lub próbami nieuprawnionego działania w sieci
przez jednego z pracowników firmy. W obu przypadkach honeypot dostarczy natychmiastowej informacji o tym z jakiego
komputera dokonano ataku oraz może pomóc ustalić czego szukał intruz.
Nie tylko dla profesjonalistów
Doskonałym narzędziem,
które idealnie nadaje się do tego typu zastosowań jest oprogramowanie Specter. Działa ono pod kontrolą
systemów z rodziny Windows. Instalacja oraz kompletna konfiguracja tego honeypota zajmuje kilkanaście minut. Prostota
jego obsługi związana jest oczywiście z ograniczonymi możliwościami w stosunku do zaawansowanych
systemów honeypot, jednak na potrzeby monitorowania nadużyć w ramach wewnętrznej sieci firmy jego możliwości
są wystarczające.
Prostota i funkcjonalność
Do zainstalowania Spectera potrzebny jest dedykowany komputer. Wymagania sprzętowe dla tego komputera
dyktowane są głównie przez system Windows używany w naszej firmie - sam Specter będzie działał
w powodzeniem nawet na najstarszych komputerach z procesorem Intel 486. Otworzy on na naszym komputerze 14 portów.
Siedem z nich będzie tylko prostymi pułapkami, które zerwą połączenie zaraz po jakiejkolwiek
próbie nawiązania z nimi kontaktu (logując adres IP który to połączenie chciał nawiązać),
natomiast pozostałe będą w pewnym stopniu emulowały prawdziwe serwisy (patrz tabela 1).
Tabela 1. Porty otwierane przez Spectera.
Porty otwierane przez Spectera
Pułapki
Emulowane serwisy
DNS
IMAP4
SUN-RPC
SSH
SUB-7
BOK2
Dowolny wybrany port
FTP
TELNET
SMTP
FINGER
HTTP
NETBUS
POP3
Stopień emulowania poszczególnych
serwisów można w Specterze regulować. Np. w przypadku FTP możemy zezwolić intruzowi na zalogowanie
się jako anonimowy użytkownik czy nawet na pobranie pliku z hasłami użytkowników! Bez obawy - usługa
ta jest w pełni wirtualna tj. intruz nigdy nie dostaje żadnej kontroli nad systemem, a pobrany przez niego plik
jest oczywiście nieprawdziwy. W przypadku SMTP możemy emulować dobrze zabezpieczony system pocztowy, lub też
np. taki, który zachowuje się jak open relay - umożliwi nam to np. namierzenie osób poszukujących
w naszej sieci serwerów służących do wysyłania spamu. Możemy także skonfigurować
Spectera w taki sposób, aby emulował serwisy występujące na danym systemie operacyjnym. Przykładowo,
gdy wybierzemy Windowsa, emulowany przez Spectera serwer WWW przedstawi się jako IIS. Gdy wybierzemy Linuxa - na porcie
80 przywita nas Apache. Specter potrafi emulować serwisy czternastu systemów operacyjnych (patrz tabela 2). Nie
potrafi on niestety emulować stosu IP tych systemów, w związku z czym intruz posługujący się
narzędziem do zdalnej detekcji systemu operacyjnego (np. Nmap) bez trudu zorientuje się w oszustwie. Aby to zrobić
musi on jednak połączyć się z jakimś portem otwartym przez Spectera, a to już wystarczy, aby
został zauważony i wywołał alarm.
Tabela 2
Systemy
operacyjne emulowane przez Spectera
Windows 98
Windows NT
Windows 2000
Windows XP
Linux
Solaris
Tru64
NeXTStep
Irix
Unisys Unix
AIX
MacOS
MacOS X
FreeBSD
Interesującą funkcją Spectera jest tzw. „intelligence gathering”. Polega to na tym, że
w trakcie kiedy intruz łączy się z honeypotem, Specter w tym samym czasie stara się zdobyć nieco
więcej informacji o atakującym komputerze: skanuje jego porty, sprawdza usługę finger, robi traceroute
itp. Informacje te mogą okazać się później ogromnie przydatne podczas namierzania sprawcy. Oczywiście
funkcji tej należy używać z rozwagą, gdyż dzięki niej intruz może zorientować się,
że jest skanowany i próbować zacierać za sobą ślady.
Wszyscy zgodzą się
chyba z faktem, że czas jaki upływa od momentu rozpoczęcia ataku, do momentu kiedy informacja o tym dotrze
do administratora, jest niezmiernie istotny. Szybsza reakcja administratora zwiększa bowiem szanse na skuteczne powstrzymanie
intruza oraz jego ewentualne namierzenie. Specter oferuje w tej kwestii wszystkie niezbędne udogodnienia. Oprócz
standardowych logów tworzonych na lokalnym komputerze, może on także wysyłać je na zdalny komputer
za pomocą usługi syslogd, generować e-maile z informacjami o ataku oraz przesyłać krótkie
informacje o zaistniałym zdarzeniu na telefon komórkowy. Wszystkie te udogodnienia powodują, że administrator
otrzymuje niezbędną informację prawie natychmiast.
Nie wszystko złoto...
Specter nie jest oczywiście narzędziem doskonałym. Jego głównym mankamentem
jest ograniczona do czternastu ilość portów, które potrafi obsłużyć oraz fakt, że
monitoruje tylko działanie protokołu TCP. Jeśli więc intruz będzie szukał luk w naszych systemach
w usługach, które znajdują się na innych portach lub korzystają z innych protokołów,
Specter nie będzie w stanie wykryć takiego działania. Drugim istotnym mankamentem jest to, że Specter
potrafi działać tylko na prawdziwym adresie IP komputera, na którym jest uruchomiony. Oznacza to, że
jeśli intruz nie połączy się nigdy z honeypotem, administrator nie otrzyma żadnych informacji o tym,
że w sieci dzieje się coś złego.
Czy warto...
Ze względu na swoją prostotę oraz skuteczność, którą w ostatnich
latach dowiodły systemy honeypot, Specter jest na pewno atrakcyjną alternatywą dla drogich i wymagających
stałego nadzoru systemów IDS. Zainstalowany wewnątrz sieci firmy zawiadomi administratora, oraz zbierze najważniejsze
informacje na temat intruza. Stanowi więc znakomite uzupełnienie do systemów ochrony zastosowanych w firmie,
gdyż w porę poinformuje o tym, że główne zabezpieczenia, takie jak np. system firewall, nie spełniły
swojego zadania. Systemy honeypot zaczynają ewoluować ze skomplikowanych aplikacji przeznaczonych dla wąskiego
grona specjalistów, w kierunku powszechnie stosowanych systemów zabezpieczeń. Warto więc uwzględnić
tę nową możliwość ochrony sieci podczas tworzenia polityki bezpieczeństwa firmy.
Informacje o produkcie:
www.specter.com
Cena: $599 – wersja Light (okrojona). $899 – wersja
pełna.
Screenshot na stronie WWW: http://www.specter.com/screenshot50_control.htm