Русская Википедия:Honeypot

Шаблон:Нет ссылок

Honeypot (Шаблон:Tr-en) — ресурс, представляющий собой приманку для злоумышленников.

Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.

Honeypot представляет собой ресурс, который без какого-либо воздействия на него ничего не делает. Honeypot собирает небольшое количество информации, после анализа которой строится статистика методов, которыми пользуются взломщики, а также определяется наличие каких-либо новых решений, которые впоследствии будут применяться в борьбе с ними.

Например, веб-сервер, который не имеет имени и фактически никому не известен, не должен, соответственно, иметь и гостей, заходящих на него, поэтому все лица, которые пытаются на него проникнуть, являются потенциальными взломщиками. Honeypot собирает информацию о характере поведения этих взломщиков и об их способах воздействия на сервер. После чего специалисты в области информационной безопасности разрабатывают стратегии отражения атак злоумышленников.

История появления

Honeypot появились с первыми компьютерными злоумышленниками. Honeypot’ам насчитывается по меньшей мере 20 летШаблон:Уточнить, разработки по их созданию и внедрению проводились параллельно с исследованиями IDS.

Первым документальным упоминанием была книга Клиффорда Столла «The Cuckoo’s Egg», написанная в 1990 г. Через десять лет, в 2000 г. honeypot стали повсеместно распространенными системами-приманками.

Впоследствии IDS и honeypot будут представлять собой единый комплекс по обеспечению информационной безопасности предприятияШаблон:Нет АИ.

Альтернативные методы защиты

Помимо honeypot, в настоящее времяШаблон:Когда? применяются следующие средства защиты компьютерных сетей: honeynet, honeytoken, padded cell, IDS, IPS. Последние два не подходят под определение honeypot — они являются не приманками, а системами обнаружения и предотвращения вторжений. В то же время наиболее близким понятию honeypot становится IDS — система обнаружения вторжений, протоколирующая все несанкционированные подключения к целевой системе.

Padded Cell — это разновидность приманки типа «песочница». Попадая в неё, злоумышленник не может нанести какой-либо вред системе, так как он постоянно находится в изолированном окружении.

Honeynet — это сеть из honeypot, о ней см. ниже.

В любом случае, вне зависимости от того, какая система защиты установлена, на ней в качестве приманки должна быть подложная информация, а не оригинал.

Виды honeypot

Существуют honeypot, созданные на выделенных серверах и программно-эмулируемые honeypot.

• Honeypot, установленные на выделенном сервере, позволяют максимально приблизить его к реальному серверу, роль которого он выполняет(сервер данных, сервер приложений, прокси-сервер).

• Эмулируемый honeypot быстро восстанавливается при взломе, а также четко ограничивается от основной ОС. Он может быть создан при помощи виртуальной машины или Honeyd.

Разница между ними в масштабах сети. Если, к примеру, это малая офисная сеть, то не имеет особого смысла ставить выделенный сервер для протоколирования подозрительных событий в сети. Здесь достаточно будет ограничиться виртуальной системой или даже одним виртуальным сервисом. В больших организациях используются именно выделенные серверы с полностью воспроизведенными на них сетевыми службами. Обычно в конфигурировании таких служб специально допускают ошибки, чтобы у злоумышленника удался взлом системы. В этом и состоит основная идея honeypot — заманить взломщика.

Преимущества Honeypot

Технологии Honeypot предоставляют аналитикам некоторые преимущества :

• сбор содержательной информации;
• нетребовательность к системным ресурсам;
• простота установки, конфигурирования и эксплуатации;
• наглядность необходимости использования.

Недостатки Honeypot

Средства Honeypot имеют несколько недостатков. Honeypot не заменяют никаких механизмов безопасности; они только работают и расширяют полную архитектуру безопасности.

Главными проблемами средств Honeypot являются:

• ограниченная область видения;
• возможность раскрытия Honeypot;
• риск взлома Honeypot и атаки узлов посторонних организаций.

Расположение honeypot

Различные варианты размещения honeypot помогут дать полные сведения о тактике нападающего. Размещение honeypot внутри локальной сети даст представление об атаках изнутри сети, а размещение на общедоступных серверах этой сети или в DMZ — об атаках на незащищенные сетевые службы, такие как: почтовые сервисы, SMB, ftp-серверы и т. д.

Файл:Honeypots.jpg

honeypot в локальной сети

honeypot может быть установлен внутри локальной сети (после firewall) — то есть на компьютерах локальной сети и серверах. Если не производится удаленное администрирование сети, то следует перенаправлять весь входящий ssh-трафик на honeypot. Принимая сетевой трафик, система-ловушка должна протоколировать все события, причем на низком уровне. Honeypot — это не простая программа, которая записывает логи сервера. Если злоумышленник смог получить доступ к серверу, стереть все логи ему не составит труда. В идеале все события в системе должны записываться на уровне ядра.

honeypot в DMZ

В демилитаризованной зоне или DMZ располагаются общедоступные серверы. К примеру, это может быть веб-сервер или почтовый сервер. Поскольку наличие таких серверов зачастую привлекает внимание спамеров и взломщиков, необходимо обеспечить их информационную защиту. Установка honeypot на серверы DMZ является одним из решений этой проблемы.

Если же нет выделенного веб-сервера, можно эмулировать веб-службы при помощи программных honeypot. Они позволяют в точности воспроизвести несуществующий в действительности веб-сервер и заманить взломщика. Эмуляция почтовых и других сетевых служб ограничивается лишь выбором конкретного программного решения.

Сеть с двумя, тремя и более honeypot по определению называется honeynet. Она может быть ограничена от рабочей сети. Управляющий трафик, попадающий в honeynet, должен фиксироваться ловушками этой сети.

Реализации honeypot

Все известные honeypot можно поделить на 2 класса — открытые и коммерческие

открытые	коммерческие
Bubblegum Proxypot	PatriotBox
Jackpot	KFSensor
BackOfficer Friendly	NetBait
Bait-n-SwitchШаблон:Недоступная ссылка	ManTrap
Bigeye	Specter
HoneyWeb	Honeypot Manager
Deception Toolkit
LaBrea Tarpit
Honeyd
Sendmail SPAM Trap
Tiny Honeypot

Ниже приводится краткое пояснение некоторых реализаций.

	Комментарий
Deception Toolkit	самый первый open-source honeypot, датирован 1997 годом
HoneyWeb	эмулирует различные типы веб-сервисов
BackOfficer Friendly	honeypot для ОС Windows, может применяться в качестве HIPS
Honeyd	низкоуровневый honeypot для Linux, способен эмулировать сотни ОС
Bubblegum Proxypot	open-source honeypot, применяется для борьбы со спамерами
Specter	коммерческий низкоуровневый honeypot для ОС Windows. Эмулирует 13 различных ОС.
Honeypot Manager	коммерческий honeypot. Эмулирует сервер с установленной СУБД Oracle.

Ссылки

• Honeypots Solutions

Шаблон:Вредоносное программное обеспечение

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.