Что такое «HoneyNet»?

Введение

Говоря о защите периметра, нельзя не упомянуть о проекте «HoneyNet» (http://project.honeyNet.org/papers), цель которого - изучение поведения нарушителей. «HoneyNet» - это сеть узлов, используемых в повседневной работе, но предназначенных для взлома. В процессе взлома информация фиксируется, а затем анализируется с целью изучения поведения нарушителей.

Назначение и особенности

Основная цепь «HoneyNet» - сбор данных о противнике, изучение его тактики. С её помощью можно решить следующие задачи:

o Получение сведений о рисках в области безопасности и уязвимостях. Поскольку HoneyNet состоит из систем и приложений, используемых в повседневной деятельности, риски и уязвимости, имеющиеся в HoneyNet, полностью отображают риски и уязвимости реальной сети организации.

o Отработка политики реагирования на инциденты.

o Отслеживание действий нарушителя в реальном времени (общение через IRC и т. д.).

Таким образом, с помощью «HoneyNet» можно контролировать любую деятельность, происходящую внутри. Анализ собранных данных дает информацию об использованных инструментах, тактике и мотивах нарушителей.

Типовая схема «HoneyNet»

Схема «HoneyNet» должна быть спроектирована таким образом, чтобы обеспечить:

o Возможность контроля ситуации

o Возможность фиксации как можно большего числа данных

Сеть «HoneyNet» должна работать вместе с корпоративной сетью и быть максимально независимой от нее. Она может быть подключена к Интернет по отдельному каналу или использовать основной маршрутизатор организации.

В предлагаемом варианте сети можно выделить три сегмента:

o Собственно сама сеть «HoneyNet»

o Административная сеть

o Интернет

Сегмент «HoneyNet» состоит из:

o Узлов-приманок. Они создают сетевую среду, моделирующую реальную сеть предприятия. На этих узлах ничего не эмулируется, ничего не сделано специально для ослабления защиты.

o Сервера регистрации. Он собирает данные с узлов-приманок, настроенных так, что все данные сохраняются локально и на сервере-регистрации. На него могут поступать данные и от системы обнаружения атак (через административный сегмент)

o Системы обнаружения атак, собирающей трафик сетевого сегмента «HoneyNet».

Административный сегмент служит для сбора и обработки данных, которые и являются результатом работы «HoneyNet». Источниками данных являются:

o Межсетевой экран

o Сервер регистрации

o Система обнаружения атак

o Системные журналы узлов сегмента «HoneyNet»

Межсетевой экран осуществляет фиксацию событий и контроль соединений, позволяя управлять ситуацией в сегменте «HoneyNet». Маршрутизатор защищает от атак сетевого уровня, исходящих из сегмента «HoneyNet», таких как IPSpoofmg, Ping of Death и т. п., a также ограничивает ICMP- трафик.

Итак, использование «HoneyNet» даёт возможность получить информацию о противнике, изучить аспекты его поведения и сделать соответствующие выводы, относящиеся уже к реальной сети предприятия.