Ловушки
Сеть-приманка — вид ловушки, представляющей собой «защищенный ресурс, назначение которого состоит в том, чтобы служить объектом зондирования, атак и взломов» [1]. Концепция, лежащая в ее основе, очень проста. Вы создаете ресурс, который не используется в работе и на котором не ведется никакая содержательная деятельность. Это значит, что, если в данную ловушку передается какой-нибудь пакет или кто-то предпринимает попытку получить к ней доступ, то, скорее всего, это зондирование, сканирование или атака. Неотъемлемым преимуществом этой модели является ее простота.
Трафик, передаваемый через ловушки, невелик, но деятельность этих ресурсов очень важна. Значительно сокращается число ложных тревог. Вместо того чтобы генерировать, к примеру, 10 тыс. уведомлений в день, ловушка может генерировать всего пять или десять таких уведомлений, но большинство из них будут сообщениями о реальных попытках зондирования или атаках. Кроме того, ловушки, в отличие от других средств обнаружения вторжения, не зависят от сигнатур, правил или новых алгоритмов, поэтому они могут без труда собирать информацию даже о ранее неизвестных атаках. В частности, в январе 2002 года ловушка смогла распознать атаку, совершенную с помощью эксплоита dtspcd для операционной системы Solaris. Наконец, поскольку ловушки собирают крайне ценные и при этом вовсе не избыточные сведения, согласовывать данные и выявлять общие тенденции становится значительно проще.
Тем не менее, ловушки имеют два основных недостатка. Первый из них заключается в том, что сфера действия ловушек весьма ограничена: они способны отслеживать только те атаки, которые направлены непосредственно против них. Ловушки игнорируют атаки на Web-серверы или внутренние базы данных, если при этом в сами ловушки не передается никакой информации. Второй недостаток является общим для всех технологий защиты — риск. Всякий раз, когда вы предлагаете новую технологию, особенно ту, которая работает со стеком протоколов IP, возникает риск, что в результате злонамеренных действий ресурс выйдет из строя, или, как в случае ловушки, будет использован для организации атак на другие системы. Из-за этих недостатков ловушки не смогут заменить существующие технологии организации защиты. Но с их помощью можно добиться более эффективного использования уже имеющихся архитектур.