Развертывание honeynet на FreeBSD

[medgimet]

Развертывание honeynet на FreeBSD

Если переводить дословно, то honeypot - это «горшочек с медом», система ловушка, "обманная система". Его единственная задача – привлечь к себе внимание и заинтересовать злоумышленника, быть атакованным и даже взломанным. В последствии, собранные данные будут проанализированы и могут использоваться в разных целях: от получения ранее ни где не публикуемых уязвимостей, эксплоитов или руткитов до возможности обеспечить правопорядок, используя собранные данные в качестве доказательств злонамеренных действий. Honeynet – это сеть, состоящая из нескольких honeypot, объединенная в единое целое.

До сих пор, honeypots получили свое распространение преимущественно в Интернете. Например, антивирусные компании, на сколько мне известно, используют сети honeynet для получения свежих компьютерных вирусов, по большей части сетевых и почтовых червей. Также, honeynet хорошо зарекомендовали себя в качестве инструмента при борьбе со спамом. Но до сих пор ни кто не решается использовать honeynet для борьбы с угрозами внутри корпоративной сети.

Так уж сложилось, что большинство систем защиты информации, применяемые в компаниях, в первую очередь решают проблемы угроз со стороны Интернета. При этом мало кто устанавливает системы IDS/IPS на промышленные сервера, не доступные со стороны глобальной сети. И причины тому могут быть различны. Это и экономия средств, и экономия ресурсов самого сервера, а также целесообразность в применяемых средствах. Собственно, в сетях, где внутренняя защищенность с технической стороны оставляет желать лучшего, для пресечения возможных сетевых инцидентов, может успешно использоваться искусственная сеть honeynet, которая позволит:

• выявить компьютеры, с которых происходит сканирование сети
• выявить компьютеры, с которых происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети
• выявить компьютеры, с которых происходят попытки или предпосылки для проведения DOS атаки
• выявить компьютеры, с которых происходит атака типа brute-force
• выявить компьютеры, с которых происходят попытки несанкционированной отправки писем
• выявить компьютеры, с которых происходят несанкционированные обращения к ресурсам сети
• выявить компьютеры, с которых происходит целенаправленная атака на ресурсы сети

Cтатья полностью на _http://www.securitylab.ru/contest/266417.php

[ftpd]

прочел эту статью и подумал, что без эмуляции tcp/ip стека дела не будет.
fingerprints никто не отменял.

[IrWert]

Там в конце статьи

Цитата:

Доступные эмулируемые ОС с помощью Honeyd

honey# grep "^Fingerprint" /usr/local/share/honeyd/nmap.prints | more

Доступно 989 отпечатков различных ОС и устройств. От самых распространенных (Windows, Linux, BSD, Cisco) до экзотики (AmigaOS, BeOS, Astaro Security Linux).

Например:
personality "AmigaOS AmiTCP/IP 4.3"
personality "Astaro Security Linux 4 (Kernel 2.4.19)"
personality "BeOS 4 - 4.5"
personality "Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP"
personality "FreeBSD 4.7-RELEASE"
personality "IBM AIX 4.0 - 4.2"
personality "Apple Mac OS X 10.1.5-10.2.6"
personality "Cisco Catalyst 2820 switch Management Console"
personality "Sun Solaris 9"