- Сущност
- Цель
- Особенности
- Место
- Число
- Типичные примеры
- Преимущества
- Недостатки
- Виды Honeypots
Ложные компоненты, воспроизводящие многочисленные уязвимости в системах, с целью ограничения недозволенного доступа к сетевым систем.
Вверх
Отклонить атаки производственных систем и позволить администраторам исследовать что произходить в сети.
Вверх
Honeypot система должна выглядеть возможно более настоящей.
Она проектирована так, что не легко использовать ее для стартовото пункта дальнейших атак к сети.
Она должна имитировать содержания настоящей и интересной информации, чтобы занять хакеров достаточно долго и дать возможность проследить их действий.
Вверх
В близости данновых серверов чтобы отклонять атаки изнутри, или вне межсетевого экрана в демилитаризованной зоне, против внешних угроз.
Если они ближе настоящих серверов, легче привлекут хакеров.
Вверх
Равное или больше числа производственных систем.
Если недостиг финансовых средств - равное числу критических серверов.
Вверх
Инсталляция на машине, специально предназначенной для записи всех попыток досупа в файлах регистрации.
Инсталляция на старой операционной системе без вставок (например Win NT 4 с IIS 4.0) и использование стандартной IDS или снифера для записей и атак в файлах регистрации.
Инсталляция специального софтуера для прослеживания действия хакеров.
Вверх
В отличии от IDS honeypot работает только при обнаружения вражеской активности.
Если изпользуем изолированный honeypot, то в нормалном случае к нему нет доступа и каждый трафик является подозрительным.
Сигналы ложной тревоги намного меньше.
Honeypot накопляет меньше данных, но большей стоимости. Это очень много улесняет и ускоряет их обработки и архивирования.
Большинство средств превенции не в состоянии обработывать всю ширину полосы или все подозрительные активности.
NIDS не всегда справляются с всей сетевой активности и потенциальных атак.
Централизированные серверы для файлов регистрации не в состоянии собрать все файлы регистрации системы. Honeypots улавливают все.
Honeypots можно использовать для за тестирования и тренировки для реакции в случае инцидента.
Honeypots в состоянии действовать как тормоз. Их наличие способно остановить хакеров с попытки атак (но и наоборот, они могут воспринять их как предивикательство).
Вверх
Бесполезны в отсуствии атак.
Если атака успешна, они облегчают далнейшей компрометации сети. Чтобы предотвратить этой опасности, можно поставить honeypot за межсетевого экрана. Так его эффективность меньше, но достоверность больше.
Требуют усилия для настройки и поддержки.
Не заменяют остальные средства превенции, а только усиливают защиты при помощи совместного действия.
Вверх
Самие простые honeypot. Это "сокет"-базированная программа, подслушивающая на данном порте. Здесь "сокет" - минимальное количество информации из TCP/IP, необходимое для коммуникации в сети. Порт монитор подслушивает для трафика на портах, которых хакеры обично сканируют. Но он тоже предупреждает хакера для наличия защиты.
В отличии от порт монитора, который представляет пасивное подслушивающее устройство, системы-иллюзии взаимодействуют с хакерам и отвечают попыткам вторжения через портам как настоящие серверы.
Это системы-иллюзии, симулирующие множество операционных систем и сетевых сервизов.
Цель - поимка специфической активности, например вторжение червя или сканирование уязвимостей. Их возможно реализировать например как сервиз, подслушивающий на порте 80 (http) и улавливающий весь трафик из и к этом порте.
Представляют платформу для исследования угроз для сети. Очень хорошее средство для улавливания автоматичных атак, например с auto-rooters или червей.
Представлявают сеты из производственных систем где ничего не эмулируется. Предлагают хакерам полной набор из систем, приложений и функциональных возможностей. Недостаток - если компрометирован, Honeynet можно использовать как трамплин для атаки других сетей.
|