HomeAbout MeSecurityDCLinuxEee PCMusic3D GraphicsRobotsContact Me

Honeypot dla mas
30 czerwca 2003
 
Tomasz Grabowski
 
 
Pułapka na włamywacza

    Honeypot z definicji jest systemem umożliwiającym zbierane informacji o próbach ataków na naszą sieć. Zainstalowany na specjalnie do tego przeznaczonym komputerze, symuluje różne popularne usługi takie jak serwer WWW, FTP czy Telnet, w oczekiwaniu na jakąkolwiek próbę ataku. Następnie zapisuje wszelkie informacje związane z każdym połączeniem z tymi usługami, dzięki czemu umożliwia późniejszą dokładną analizę ewentualnego ataku (w jaki sposób atak został przeprowadzony, z jakiego adresu IP łączył się intruz, czego szukał w systemie). Zasadniczo więc, honeypot, służy głównie do analizy najnowszych sposobów ataków oraz ułatwia namierzanie sprawców włamań komputerowych. Panuje więc przekonanie, jakoby system honeypot był przydatnym narzędziem tylko w rękach profesjonalistów zajmujących się bezpieczeństwem sieci komputerowych.


Honeypot vs. IDS

    Okazuje się, że system honeypot może stanowić bardzo atrakcyjną alternatywę dla zaawansowanych narzędzi typu Intrusion Detection Systems (Systemy Detekcji Włamań), instalowanych w wielu firmach. Podstawowymi trudnościami z jakimi muszą zmierzyć się firmy decydujące się na zainstalowanie systemu IDS, jest przede wszystkim dość skomplikowany proces instalacji tych systemów, konieczność stałego ich uaktualniania oraz ciągła potrzeba analizowania logów przez człowieka. Dzieje się tak dlatego, że systemy IDS starają się rozpoznać ewentualne ataki za pomocą bazy sygnatur znanych ataków. Baza ta musi być stale - nawet kilka razy dziennie - uaktualniana. Sygnatur ataków jest tak wiele, że nierzadko normalny ruch w sieci może przypadkiem odpowiadać jakiejś sygnaturze i zostać przez system IDS uznany jako atak. Stąd też nieodzowne staje się ciągłe analizowanie logów przez administratora, który ostatecznie decyduje czy dane zdarzenie jest faktycznie atakiem, czy też zwykłym ruchem odbywającym się w sieci. Honeypot jest w większości pozbawiony tych wad. Nie korzysta bowiem z żadnych baz, które wymagałyby uaktualniana, a umiejętne umiejscowienie go w sieci sprawia, że każdy alarm może być traktowany jako autentyczna próba włamania. Środowiskiem, w którym prosty honeypot sprawdzi się równie dobrze jak zaawansowany system IDS, jest wewnętrzna sieć firmy, zabezpieczona najczęściej przed światem zewnętrznym za pomocą firewalla. W sieci takiej, traktowanej jako środowisko zaufane, każda próba skanowana portów bądź wykorzystywania serwisów symulowanych przez honeypot, powinna zostać zakwalifikowana jako ewentualna próba ataku i dogłębnie sprawdzona. W większości bowiem przypadków, takie zdarzenie związane będzie z przejęciem kontroli nad jednym z firmowych komputerów przez włamywacza, lub próbami nieuprawnionego działania w sieci przez jednego z pracowników firmy. W obu przypadkach honeypot dostarczy natychmiastowej informacji o tym z jakiego komputera dokonano ataku oraz może pomóc ustalić czego szukał intruz.


Nie tylko dla profesjonalistów

    Doskonałym narzędziem, które idealnie nadaje się do tego typu zastosowań jest oprogramowanie Specter. Działa ono pod kontrolą systemów z rodziny Windows. Instalacja oraz kompletna konfiguracja tego honeypota zajmuje kilkanaście minut. Prostota jego obsługi związana jest oczywiście z ograniczonymi możliwościami w stosunku do zaawansowanych systemów honeypot, jednak na potrzeby monitorowania nadużyć w ramach wewnętrznej sieci firmy jego możliwości są wystarczające.

Prostota i funkcjonalność

    Do zainstalowania Spectera potrzebny jest dedykowany komputer. Wymagania sprzętowe dla tego komputera dyktowane są głównie przez system Windows używany w naszej firmie - sam Specter będzie działał w powodzeniem nawet na najstarszych komputerach z procesorem Intel 486. Otworzy on na naszym komputerze 14 portów. Siedem z nich będzie tylko prostymi pułapkami, które zerwą połączenie zaraz po jakiejkolwiek próbie nawiązania z nimi kontaktu (logując adres IP który to połączenie chciał nawiązać), natomiast pozostałe będą w pewnym stopniu emulowały prawdziwe serwisy (patrz tabela 1).



Tabela 1. Porty otwierane przez Spectera.
Porty otwierane przez Spectera
Pułapki    Emulowane serwisy
DNS
IMAP4
SUN-RPC
SSH
SUB-7
BOK2
Dowolny wybrany port    FTP
TELNET
SMTP
FINGER
HTTP
NETBUS
POP3



Stopień emulowania poszczególnych serwisów można w Specterze regulować. Np. w przypadku FTP możemy zezwolić intruzowi na zalogowanie się jako anonimowy użytkownik czy nawet na pobranie pliku z hasłami użytkowników! Bez obawy - usługa ta jest w pełni wirtualna tj. intruz nigdy nie dostaje żadnej kontroli nad systemem, a pobrany przez niego plik jest oczywiście nieprawdziwy. W przypadku SMTP możemy emulować dobrze zabezpieczony system pocztowy, lub też np. taki, który zachowuje się jak open relay - umożliwi nam to np. namierzenie osób poszukujących w naszej sieci serwerów służących do wysyłania spamu. Możemy także skonfigurować Spectera w taki sposób, aby emulował serwisy występujące na danym systemie operacyjnym. Przykładowo, gdy wybierzemy Windowsa, emulowany przez Spectera serwer WWW przedstawi się jako IIS. Gdy wybierzemy Linuxa - na porcie 80 przywita nas Apache. Specter potrafi emulować serwisy czternastu systemów operacyjnych (patrz tabela 2). Nie potrafi on niestety emulować stosu IP tych systemów, w związku z czym intruz posługujący się narzędziem do zdalnej detekcji systemu operacyjnego (np. Nmap) bez trudu zorientuje się w oszustwie. Aby to zrobić musi on jednak połączyć się z jakimś portem otwartym przez Spectera, a to już wystarczy, aby został zauważony i wywołał alarm.



Tabela 2
Systemy operacyjne emulowane przez Spectera
Windows 98
Windows NT
Windows 2000
Windows XP
Linux
Solaris
Tru64
NeXTStep
Irix
Unisys Unix
AIX
MacOS
MacOS X
FreeBSD



Interesującą funkcją Spectera jest tzw. „intelligence gathering”. Polega to na tym, że w trakcie kiedy intruz łączy się z honeypotem, Specter w tym samym czasie stara się zdobyć nieco więcej informacji o atakującym komputerze: skanuje jego porty, sprawdza usługę finger, robi traceroute itp. Informacje te mogą okazać się później ogromnie przydatne podczas namierzania sprawcy. Oczywiście funkcji tej należy używać z rozwagą, gdyż dzięki niej intruz może zorientować się, że jest skanowany i próbować zacierać za sobą ślady.

Wszyscy zgodzą się chyba z faktem, że czas jaki upływa od momentu rozpoczęcia ataku, do momentu kiedy informacja o tym dotrze do administratora, jest niezmiernie istotny. Szybsza reakcja administratora zwiększa bowiem szanse na skuteczne powstrzymanie intruza oraz jego ewentualne namierzenie. Specter oferuje w tej kwestii wszystkie niezbędne udogodnienia. Oprócz standardowych logów tworzonych na lokalnym komputerze, może on także wysyłać je na zdalny komputer za pomocą usługi syslogd, generować e-maile z informacjami o ataku oraz przesyłać krótkie informacje o zaistniałym zdarzeniu na telefon komórkowy. Wszystkie te udogodnienia powodują, że administrator otrzymuje niezbędną informację prawie natychmiast.

Nie wszystko złoto...

    Specter nie jest oczywiście narzędziem doskonałym. Jego głównym mankamentem jest ograniczona do czternastu ilość portów, które potrafi obsłużyć oraz fakt, że monitoruje tylko działanie protokołu TCP. Jeśli więc intruz będzie szukał luk w naszych systemach w usługach, które znajdują się na innych portach lub korzystają z innych protokołów, Specter nie będzie w stanie wykryć takiego działania. Drugim istotnym mankamentem jest to, że Specter potrafi działać tylko na prawdziwym adresie IP komputera, na którym jest uruchomiony. Oznacza to, że jeśli intruz nie połączy się nigdy z honeypotem, administrator nie otrzyma żadnych informacji o tym, że w sieci dzieje się coś złego.


Czy warto...

    Ze względu na swoją prostotę oraz skuteczność, którą w ostatnich latach dowiodły systemy honeypot, Specter jest na pewno atrakcyjną alternatywą dla drogich i wymagających stałego nadzoru systemów IDS. Zainstalowany wewnątrz sieci firmy zawiadomi administratora, oraz zbierze najważniejsze informacje na temat intruza. Stanowi więc znakomite uzupełnienie do systemów ochrony zastosowanych w firmie, gdyż w porę poinformuje o tym, że główne zabezpieczenia, takie jak np. system firewall, nie spełniły swojego zadania. Systemy honeypot zaczynają ewoluować ze skomplikowanych aplikacji przeznaczonych dla wąskiego grona specjalistów, w kierunku powszechnie stosowanych systemów zabezpieczeń. Warto więc uwzględnić tę nową możliwość ochrony sieci podczas tworzenia polityki bezpieczeństwa firmy.



Informacje o produkcie:
www.specter.com
Cena: $599 – wersja Light (okrojona).  $899 – wersja pełna.
Screenshot na stronie WWW: http://www.specter.com/screenshot50_control.htm