Безопасность и Internet - статьи


Сбор данных - часть 2


Чтобы преодолеть эти трудности, в Honeynet Project были разработаны модули ядра, устанавливаемые в системах, которые могут стать объектами нападения. Эти модули накапливают информацию обо всей деятельности хакеров, в частности, о зашифрованных командах или о scp (защищенное копирование или инструментарий, для зашифрованной передачи файлов) при загрузке наборов инструментальных средств. Информацию, которую собирают модули ядра, нельзя сохранять локально в ловушке, поскольку хакер может обнаружить, случайно удалить или изменить ее. Данную информацию необходимо удаленно собирать на защищенной системе, причем так, чтобы хакер об этом не знал.

В частности, это можно сделать, отправляя собранные сведения в сеть. Шлюз IDS анализирует и собирает сведения обо всей сетевой активности в сети-приманке, записывая все пакеты, сгенерированные модулем ядра, так что в этом случае мост второго уровня действует как сетевой анализатор, накапливающий сведения и регистрирующий всю деятельность хакера. Смысл данного метода — передать информацию таким образом, чтобы хакер этого не заметил.

Хакеры легко могут проанализировать трафик в канале и увидеть, что в пересылаемых по нему пакетах содержатся сведения об их собственной деятельности. Чтобы воспрепятствовать этому, модуль ядра маскирует пакеты под трафик NetBIOS, передаваемый из других систем. IP- и MAC-адреса отправителей и получателей маскируются под адреса локального сервера Windows. Даже если хакер анализирует канал и просматривает пакеты, то для него они будут выглядеть как обычный трафик. Реальные данные, содержащиеся в пакетах, шифруются Blow-fish, что гарантирует их конфиденциальность [2].

Эти многочисленные уровни сбора данных гарантируют, что мы получим истинное представление о деятельности хакеров. Другие методы, такие как обратный инжиниринг и судебные расследования, выходят за рамки данной статьи. Чтобы больше узнать о технических подробностях развертывания сетей-приманок, посетите сайт www.honeynet.org/papers/honeynet.




- Начало -  - Назад -  - Вперед -