Управление данными
Поскольку необходимо предоставить хакерам возможность попасть в наши системы, но не позволить им проникнуть дальше и нанести вред другим, следует изолировать системы-цели в сети-приманке с помощью мостового устройства второго уровня. В этом случае весь трафик, проходящий через системы сети-приманки, сначала пересылается через «невидимый» мост второго уровня (см. рис. 2). Поскольку мост действует на втором уровне, не происходит никакого замедления при маршрутизации пакетов или появления MAC-адресов, которые может идентифицировать хакер. Мост позволяет злоумышленникам проникнуть в сеть, но дает возможность контролировать их действия и исходящий трафик. Это очень важно. Было обнаружено, что в большинстве случаев взлома сетей-приманок Honeynet хакеры предпринимали попытки использовать такие сети для проникновения в другие системы, в частности, для организации DoS-атак (denial of service — «отказ в обслуживании»).
Рис. 2. Сеть-приманка второго поколения GenII. Мостовое устройство второго уровня (на рисунке оно называется сенсором сети-приманки) изолирует и ограничивает системы в сети-приманке |
Таким образом, главное в управлении данными — предоставить хакерам свободу действий и в то же время не дать им возможность причинять вред. Одно из потенциальных решений — создать сеть-приманку, в которую может попасть любой, а затем блокировать на мосту все исходящие соединения. Это позволило бы не допустить причинение вреда другим системам, но подобная сеть-приманка будет практически бесполезной: выяснить, что делали хакеры после того, как проникли в сеть, будет невозможно. Кроме того, хакерам не составит труда распознать сеть-приманку, если после попадания в нее они будут лишены обратной связи.
Второе решение, опирающееся на технологии GenI, предполагает подсчет числа исходящих соединений и блокировку любых соединений, превышающих установленный лимит. Можно начать с пяти-десяти соединений в час. Как только число соединений на ловушке достигнет этого предела, все остальные исходящие соединения необходимо блокировать. Это предотвращает большинство DoS-атак, сканирование или другую вредоносную деятельность, но по-прежнему оставляет хакерам достаточную свободу действий.
Этот метод эффективен, но имеет свои ограничения: хакеры по-прежнему могут опознавать сеть-приманку и инициировать атаки, не превышая ограничения на число исходящих соединений. В GenII существует второй уровень управления данными: шлюз IPS (intrusion prevention system — «система предотвращения вторжений»). Этот шлюз обладает теми же возможностями для обнаружения атак, что и обычные IDS (intrusion detection system — «система обнаружения вторжений»), но имеет преимущество, поскольку позволяет блокировать атаки после того, как те идентифицированы.
|
Рис. 3. Сигнатура Snort-Inline применяется для модификации и обезвреживания известной DNS-атаки, использующей опцию замены. Жирным шрифтом выделена команда, служащая для модификации и обезвреживания атаки |
Есть вероятность того, что шлюз IDS не распознает новую или замаскированную атаку, но существует и иной риск, который следует принять во внимание при развертывании данной технологии. Если хакер инициирует ранее неизвестную атаку, а шлюз IDS пропустит ее, хакер потенциально может использовать жертву в своих интересах. К счастью, однако сеть-приманка будет регистрировать все действия хакера, в том числе задействованные инструменты, его методы и сигнатуру новой атаки. Эта информация затем будет распространена в сообществе специалистов по защите, что позволит им уберечься от повторения такой атаки.