Что такое Honeypot


Honeypot (англ. горшочек с мёдом) — ресурс, представляющий собой приманку для злоумышленников.

Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, впоследствии позволяющие изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание хакеров.

Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Любое внешнее взаимодействие с этим ресурсом рассматривается как хакерская активность. Honeypot собирает небольшое количество информации, которая анализируется, после чего строится статистика методов используемых хакерами, а также определяется наличие каких-либо новых решений, впоследствии возможно применяемые в борьбе с взломщиками.

Например, веб-сервер, не имеющий имени и фактически никому не известный, не должен, соответственно, иметь и гостей, заходящих на него. Поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности, разрабатывают стратегии отражения атак злоумышленников.


Альтернативными методами защиты являются:

  • IDS - система обнаружения вторжений, протоколирующая все несанкционированные подключения к целевой системе;
  • Padded Cell - разновидность приманки типа "песочница". Попадая в нее, злоумышленник не может нанести какой-либо вред системе, т.к. он постоянно находится в изолированном окружении;
  • Honeynet - сеть из honeypot.

В любом случае, вне зависимости от того, какая система защиты установлена, на ней в качестве приманки должна быть подложная информация, а не оригинал.


Виды honeypot
Существуют honeypot, созданные на выделенных серверах и программно-эмулируемые honeypot.

  • Honeypot, установленный на выделенном сервере, позволяют максимально приблизить его к реальному серверу, роль которого он выполняет(сервер данных, сервер приложений, прокси-сервер);
  • Эмулируемый honeypot быстро восстанавливается при взломе, а также четко ограничивается от основной ОС. Он может быть создан при помощи VMware или Honeyd.


Разница между ними в масштабах сети. Для малой офисной сети не имеет особого смысла ставить выделенный сервер для протоколирования подозрительных событий в сети. Достаточно будет ограничиться виртуальной системой или даже одним виртуальным сервисом. В больших организациях используются именно выделенные сервера с полностью воспроизведенными на них сетевыми службами. Обычно в конфигурировании таких служб специально допускают ошибки, чтобы у злоумышленника удался взлом системы. В этом и состоит основная идея honeypot — заманить взломщика


Расположение honeypot
Различные варианты размещения honeypot дадут полные сведения о тактике нападающего. Размещение honeypot внутри локальной сети даст представление об атаках изнутри сети, а размещение на общедоступных серверах этой сети или в DMZ - об атаках на незащищенные сетевые службы, такие как: почтовые сервисы, SMB, ftp-серверы и т.д.

  • Honeypot, установленный внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то следует перенаправлять весь входящий ssh-трафик на honeypot. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Honeypot — это не простая программа, которая записывает логи сервера. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра.

  • Honeypot в демилитаризованной зоне или DMZ располагаются общедоступные сервера. Это может быть веб-сервер или почтовый сервер. Наличие таких серверов часто привлекает внимание спамеров и хакеров, поэтому необходимо обеспечить их информационную защиту. Установка honeypot на сервера DMZ является одним из решений этой проблемы.

Если же нет выделенного веб-сервера, можно эмулировать веб-службы при помощи программных honeypot. Они позволяют в точности воспроизвести несуществующий в действительности веб-сервер и заманить взломщика. Эмуляция почтовых и других сетевых служб ограничивается лишь выбором конкретного программного решения.

Сеть с двумя, тремя и более honeypot по определению называется honeynet. Она может быть ограничена от рабочей сети. Управляющий трафик, попадающий в honeynet, должен фиксироваться ловушками этой сети.