Современные информационные технологии/Информационная безопасность

Петренко А.Б., Шмайденко М.С.

Національний авіаційний університет, Україна

ПЕРЕВАГИ ТА НЕДОЛІКИ HONEYPOT

Вступ. Зі зростанням популярності Інтернету виникає небезпека розголошення персональних даних, важливих корпоративних ресурсів, державних таємниць та іншої секретної інформації. Щодня хакери піддають загрозі ці ресурси, намагаючись одержати до них доступ за допомогою спеціальних атак.

Актуальність. З кожним днем проблема захисту інформації у комп’ютерних мережах постає все більш гостро. Наявність вразливостей та зростання кількості загроз викликає необхідність створення засобів надійного  забезпечення  захисту інформації.

Постановка завдання. Кількість атак у комп’ютерних мережах постійно зростає. Для захисту інформації будуються системи захисту інформації. Honeypot розширює і доповнює архітектуру системи захисту.

Мета роботи. Провести аналіз переваг та недоліків засобів Honeypot.

Викладення матеріалу. Технологія Honeypot - ресурс безпеки, призначення якого полягає в тому, щоб стати дослідженим або зазнати нападу. Мета Honeypot - бути дослідженим, атакованим або використаним зловмисником. Будь-яка зовнішня взаємодія з ним розглядається як несанкціонована активність. Honeypot збирає невелику кількість інформації, після аналізування якої будується статистика методів, якими користуються злоумисники, а також розробляються методи боротьби  з ними.

Технології Honeypot надають аналітикам такі переваги:

–                   збір змістовної інформації;

–                   невимогливість до системних ресурсів;

–                   простота інсталяції, конфігурації та експлуатації;

–                   наочність необхідності використання;

–                   відсутність хибних тривог.

Збір змістовної інформації. Засоби Honeypot збирають невелику кількість даних, але ці дані, зазвичай, мають високе значення. Замість того щоб реєструвати гігабайти непотрібної інформації щодня, Honeypot збирають декілька мегабайт даних в день. Всі дані, зареєстровані Honeypot  - є скануванням, дослідженням або атакою на мережу. Отже, виконується збір лише цінної інформації для забезпечення інформаційної безпеки.

Honeypot швидко надає точну інформацію у легкому для розуміння форматі, що спрощує аналіз і зменшує час реагування. Зібрані дані можуть бути використані для статистичного моделювання, аналізу дій, виявлення нападів, або навіть дослідження зловмисників.

Невимогливість до системних ресурсів. У процесі функціонування механізмів безпеки необхідно контролювати параметри обмеження ресурсів для того, щоб не виникла проблема їх нестачі. Нестача ресурсів – стан, коли механізм безпеки більше не може продовжувати функціонувати, тому що його ресурси вичерпані. Наприклад, коректне функціонування брандмауера може бути порушено, через переповнення його таблиці станів, що призводить до закінчення ресурсів, і міжмережевий екран більше не може контролювати підключення, що змушує його блокувати всі підключення (або ж навпаки - пропускати всі запити) замість того, щоб блокувати лише несанкціоновану діяльність.

Honeypot фіксує тільки ті дії, які спрямовані безпосередньо на нього, таким чином, система не переповнюється трафіком.

Простота інсталяції, конфігурації та експлуатації. Простота є найбільш значущою перевагою технології Honeypot. Він потребує лише інсталяції в мережі, далі лише очікування результатів. Існують різні додаткові рішення для Honeypot - такі як база сигнатур атак, реакцій і т.д. Принцип експлуатації простий – будь-який зв'язок з Honeypot вимагає перевірки.

Наочність необхідності використання Honeypot. Міжмережеві екрани, блокують дії зловмисників, але не надають інформації про спроби їх атакування. Тому постає питання в необхідності їх встановлення, адже факт проведення атак не доведено. Засоби  Honeypot швидко і неодноразово демонструють своє значення. Кожен раз, коли вони піддаються нападу, підтверджується наявність зловмисників і фіксується несанкціонована діяльність.

Honeypot можуть використовуватися, щоб підтвердити не тільки власну необхідність, а й інвестиції в інших ресурсах безпеки. адже, можуть ефективно довести, що ризик безпеці інформації дійсно існує.

          Недоліки Honeypot.

Засоби Honeypot мають кілька недоліків. Саме через ці недоліки Honeypot не можуть  замінити інших засобів безпеки, вони тільки доповнюють або  розширюють повну архітектуру безпеки.

Головними проблемами Honeypot є:

–        обмежена область бачення;

–        можливість розкриття Honeypot;

–        ризик взлому Honeypot і атаки вузлів сторонніх організацій.

Обмежена область бачення. Найбільший недолік Honeypot - вузька область бачення. Honeypot здійснюють моніторинг діяльності, яка спрямована безпосередньо проти них. Якщо дії атакуючого спрямовані на різні підсистеми мережі, то Honeypot не буде виявляти дану активність. Якщо зловмисник ідентифікував Honeypot, то він може спробувати обійти його і проникнути у захищену мережу. Таким чином, дуже обмежена область бачення Honeypot може виключити події, які трапляються поза цієї області.

Можливість розкриття Honeypot. Інший недолік Honeypot - це можливість розкриття зловмисником. Тобто збір інформації, з використанням якої зловмисник може ідентифікувати Honeypot, через наявність певних очікуваних характеристик або особливостей поведінки. Наприклад, Honeypot може імітувати роботу Web-сервера. Кожен раз, коли зловмисник з'єднується з цим певним типом Honeypot, Web-сервер відповідає, посилаючи загальне повідомлення про помилки, використовуючи стандартний HTML, що є відповіддю, яку можна очікувати від будь-якого Web-сервера. Однак є орфографічна помилка в одній з команд HTML – це перевірка правопису слова - "legnht". Ця орфографічна помилка є особливістю для даного Honeypot, і будь-який зловмисник може швидко ідентифікувати даний Honeypot через її наявність.

Неправильно експлуатований Honeypot може також ідентифікувати себе. Наприклад, Honeypot може бути спроектований так, щоб емулювати IIS Web-сервер, при цьому маючи певні характеристики, які ідентифікують його як UNIX-сервер Solaris. Ці характеристики суперечать одна одній і можуть діяти як сигнатура для Honeypot. Існують різноманітні методи, щоб відрізнити справжню систему або сервіс від Honeypot.

Розкриття Honeypot може негативно вплинути і з наступного боку: зловмисник, ідентифікувавши Honeypot, починає з ним взаємодіяти і, таким чином, привертає увагу адміністраторів безпеки. Тим часом, зловмисник може зосередитися на реальних нападах. Можливість розкриття Honeypot зловмисником становить найбільший ризик для дослідницьких Honeypot,які використовуються лише для вивчення моделі поведінки порушника. Зловмисник може спеціально надати недостовірну, що може призвести до неправильних висновків.

Ризик злому і атаки на вузли сторонніх організацій. Третій недолік Honeypot – ризик злому. Honeypot, на який нападають, може використовуватися для нападу або пошкодження інших систем або мереж.

Різні Honeypot мають різні рівні ризику. Чим простіша конфігурація Honeypot, тим менший ризик. Наприклад, Honeypot, який імітує кілька серверів, складно скомпрометувати і використовувати для атак інших систем та мереж. Ризик змінюється залежно від побудови і розгортання Honeypot.

Література:

1.                   Lance Spitzner. Dynamic Honeypots.

2.     Lance Spitzner. Honeypots: Tracking Hackers. Addison Wesley.