Безопасность и Internet - статьи


Сбор данных


Для гарантии эффективной записи данных Honeynet Project использует сразу несколько методов, поскольку ни один в отдельности не в состоянии получить всю требуемую информацию. Многие считают, что если записать все команды, выдаваемые хакером, то таким образом можно получить все необходимые сведения. Это далеко не так. Предположим, выясняется, что записанная команда запускает некий сценарий? Что этот сценарий делает, какие изменения вносит и какую функциональность поддерживает? Восстановление этого сценария столь же важно, как и его обнаружение. Для этого Honeynet Project использует разные уровни сбора данных.

Первый уровень — это сам мост. Шлюз IDS, который идентифицирует и блокирует атаки, пассивно просматривает каждый пакет и весь трафик, который тот создает в сети. Это гарантирует, что мы можем записать и зарегистрировать все действия хакера для последующего анализа. В частности, шлюз позволяет восстанавливать такие данные, как учетные записи или пароли, к примеру, из открытых протоколов, таких как IRC, HTTP или telnet. По журналу регистрации, содержащему информацию о передаче файлов, можно восстановить, какой инструментарий применял хакер. Даже при использовании зашифрованных протоколов, с помощью пассивного анализа характерных признаков пакетов не очень сложно определить тип атакующей системы и ее возможное местонахождение.

Второй уровень сбора данных — это журнал регистрации межсетевого экрана. Мостовое устройство второго уровня имеет механизм фильтрации пакетов, позволяющий блокировать исходящие соединения при достижении установленного предельного их числа. Тот же самый механизм регистрирует все входящие и исходящие соединения. Входящие соединения содержат важную информацию, поскольку с их помощью, скорее всего, выполняются зондирование, сканирование или атаки. Исходящие соединения имеют еще большее значение, поскольку могут свидетельствовать о проникновении в ловушку и поскольку исходящее соединение инициирует хакер.

Третий уровень предназначен для сбора информации о том, какие команды инициировал хакер, и вообще о его деятельности в системе. Это сделать намного труднее, чем кажется: хакеры стали часто использовать шифрование. Большинство организаций, стремясь обеспечить защиту данных, развертывают шифрующие протоколы наподобие SSH и HTTPS. Однако и хакеры, чтобы скрыть свои действия, могут использовать те же самые протоколы. Как только хакер проник в систему, расположенную в сети-приманке, он может осуществлять удаленное администрирование системы с помощью SSH, в силу чего проследить его действия становится еще сложнее. Даже если в системе, куда попал хакер, SSH не установлен, все чаще оказывается, что в этом случае хакер инсталлирует свою собственную версию протокола.




- Начало -  - Назад -  - Вперед -