არქივი

ჰანიფოთი – უსაფრთხოება მოტყუებით

1114baa45ff1

უკვე ყველასთვის ცნობილია, რომ კომპიუტერული თავდამსხმელები თავდაპირველად ახდენენ მრავალი მისამართის დასკანირებას და სამიზნედ ირჩევენ იმას, რომელიც შეიცავს ყველაზე მეტ სისუსტეს.

რა თქმა უნდა, თუ ორგანიზაციას ყავს ინფორმაციული უსაფრთხოების გუნდი, ისინი აღმოაჩენენ ამ სისუსტეებს და აღმოფხვრავენ მათ, მაგრამ მეორე საკითხია ამას მოახერხებენ თავდამსხმელზე ადრე თუ გვიან, შესაბამისად შედეგიც შეიძლება იქნას დადებითი ან სავალალო. ამიტომ, თავდამსხმელთაგან თავის დასაცავად არსებობს ერთ-ერთი საკმაოდ ეფექტური ხელსაწყო – ჰანიფოთი (Honeypot).

ჰანიფოთი არის სისტემა რომელიც სრულიად იზოლირებულია მუშა სისტემისგან და შეიცავს მრავალ სისუსტეს, რაც მას მიმზიდველს ხდის თავდამსხმელისთვის. კრიმინალი ახორციელებს შეტევას ჰანიფოთზე იმ იმედით და ილუზიით, რომ „ტეხავს“ ნამდვილ სისტემას და მოიპოვებს წვდომას ორგანიზაციის ფასეულ მონაცემებზე, სინამდვილეში კი, იგი ექცევა ხაფანგში, იმყოფება მონიტორინგის ქვეშ და საბოლოოდ ორგანიზაცია უკეთ იცავს თავს კრიმინალის მიერ განხორციელებული ქმედებების გაანალიზებით და კრიმინალმა შეიძლება ციხეშიც კი ამოჰყოს თავი.

ჰანიფოთი მსგავსია ძვირფასი საიუვილერიო მაღაზიის ყველაზე მიმზიდველ ადგილას განთავსებულ ვიტრინაში მოთავსებული ყალბი ბრილიანტებისა.

ჰანიფოთისთვის გამოყოფილ სისტემას გამოყოფილი აქვს სპეციალური IP მისამართი, რომელზე შესვლისასაც შეტყობინება მისდით წინასწარ განსაზღვრულ პირებს და იგულისხმება, რომ სისტემა იმყოფება თავდასხმის ქვეშ და უკვე შესაძლებელია ჰაკერის ქმედებებზე თვალყურის დევნება, საკუთარი სისუსტეების გამოაშკარავება და ბევრი სიახლის სწავლა.

ჰანიფოთის დაყენება
დღეს მრავალი ჰანიფოთ სისტემაა ხელმისაწვდომი, რომელთაგანაც ზოგი კომერციულია, ზოგი კი უფასო (OpenSource). ყველაზე გავრცელებული და ეფექტურებია: Tiny Honeypot, Single-honeypot, KFSensor, APS და LaBrea.

Honeyd კარგი სისტემაა დასაყენებლად, რადგან უფასოა, cross-platform-ი და BSD ლიცენზიით. ასევე აქტიურად განახლებადი და განვითარებადი.

იმისათვის, რომ დაყენდეს Honeyd Unix სისტემაზე, საჭიროა ჩამოიტვირთოს ძირითადი ფაილი:

ead07ba0444c

სანამ დაიწყებთ მის დაყენებას და კონფიგურირებას საჭიროა დაყენდეს დამატებითი პაკეტები, როგორებიცაა: libevent, libdnet და libpcap. ხშირ შემთხვევაში (განსაკუთრებით უსაფო BSD ლიცენზიის დროს) პაკეტების საყენების შემდეგ, საჭიროა კონფიგურაციის სკრიპტი მიუთითოთ კონკრეტულ პაკეტს. მაგალითად libeventისთვის:

8445257df0ca

honeyd-ის სრული მახასიათებლების გამოყენებისთვის საჭიროა დაყენდეს arpd დაემონი:

c4c0b0b5f3af

Honeyd -ის გამოყენება

რაში შეიძლება გამოვიყენოთ honeyd-ი? პირველ რიგში იგი ამონიტორინგებს ქსელურ მოქმედებას: თუ ვინმე ეცდება სისტემასთან დაკონექტებას (იდეაში თავდამსხმელი) UDP და/ან TCP პროტოკოლებით ან მოახდენს ICMP პაკეტის გაგზავნას, honeyd-ი ჩაიწერს ამ ქმედებებს და ასახავს მას ლოგებში.

ასევე შესაძლებელია ოპერაციული სისტემის ემულაცია: თუ თავდამსხმელი, მაგალითად, მოახდენს OS Fingerprinting-ს NMAP-ს საშუალებით, honeyd-ი მიაწვდის მას იმ ყალბს ოპერაციული სისტემის მონაცემებს, რომლებსაც თქვენ წინასწარ განუსაზღვრავთ.

Honeyd-ს ასევე სხვა საინტერესო ფუნქციებიც გააჩნია და თქვენ მისი გამოყენებით შეძლებთ დაიცვათ საკუთარი ფასეული მონაცემები, აღმოაჩინოთ სისუსტეები თქვენს სისტემაში და ეს ყველაფერი თავდამსხმელის მოტყუებით და მის ქმედებებზე თვალყურის დევნების ხარჯზე.

მსგავსი ამბები

Back to top button