Đang tải... (xem toàn văn)
The honeynet project honeypots
HONEYPOTS GVHD: TS Phạm Văn Tính Nội Dung Báo Cáo Tổng quan Honeypots Honeypot tương tác thấp(honeyd) Honeypot tương tác cao(honeynet) Ưu nhược điểm Honeypots Tổng quan Honeypots 1.1 Honeypots gì? 1.2 Vắn tắt lịch sử Honeypots 1.3 Phân loại 1.1 Honeypots gì? Honeypots hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn chặn tiếp xúc với hệ thống thật Honeypot giả dạng loại máy chủ tài nguyên : Mail Server, DNS, Web server, … Honeypot hệ thống tài nguyên giá trị Được sử dụng để giám sát, phát phân tích công 1.2 Vắn tắt lịch sử Honeypots • • • • • • • • • • • 1990/1991 The Cuckoo’s Egg and Evening with Berferd 1997 - Deception Toolkit 1998 - CyberCop Sting 1998 - NetFacade (and Snort) 1998 - BackOfficer Friendly 1999 - Honeynet Project 2001 - Gen II Honeynets 2002 - Honeynet Research Alliance 2003 - Snort-inline Sebek 2004 - Honeywall Roo 2005 - Philipine Honeynet Project 1.3 Phân loại • Mức tương tác • High • Low • Middle? • Hiện thực • Virtual • Physical • Mục đích • Production • Research 1.3.1 Level of Interaction Tương tác thấp Mô vài khía cạnh hệ thống Dễ dàng triển khai, rủi ro Giới hạn thông tin Honeyd Tương tác cao Mô tất khía cạnh hệ điều hành: hệ thống thực Rủi ro cao Thu thập nhiều thông tin Honeynet 1.3.1 Level of Interaction Low Fake Daemon Medium Operating system Disk High Other local resource 1.3.2 Physical V.S Virtual Honeypots • loại – Physical • Máy thật • IP • Thường tương tác cao – Virtual • Giả lập máy khác: – Mô nhiều virtual honeypots thời điểm 1.3.3 Cách làm việc honeypots? Prevent Detect Response Monitor No connection Diagram of Honeynet Diagram of Honeynet Data Control Data Control • • Triển khai gateway Dựa chế : • • Giới hạn số lượng kết nối bên Lọc gói tin độc hại • • Loại bỏ gói tin Thay sửa đổi gói tin No Restrictions Honeypot Internet Honeywall Connections Limited Packet Scrubbed Honeypot Data Capture Nhằm khám phá kỹ thuật xâm nhập , công, công cụ mục đích hacker Đồng thời phát lỗ hổng hệ thống Đóng vai trò vô quan trọng honeynet, module thu nhận liệu honeynet giá trị Data Capture Yêu cầu module thu nhận liệu Thu nhận nhiều liệu tốt Đảm bảo tính sẵn sàng Che dấu hacker Dựa yêu cầu chế thu nhận liệu honeynet bao gồm tầng Thu nhận từ tường lửa Thu nhận từ luồng mạng Thu nhận liệu từ hoạt động honeypot hệ thống Data Analysis Hỗ trợ phân tích liệu thu nhận nhằm đưa : kỹ thuật , công cụ mục đích kẻ công Từ đưa cho nguời quản trị đưa biện pháp phòng chống Honeynet – Gen I Honeynet – Gen II Honeynet – Gen III Honeynet hệ cải tiến triển khai quản lý Một thay đổi kiến trúc sử dụng thiêt bị đơn lẽ điều khiển việc kiểm soát liệu thu nhận liệu gọi honeywall Sự thay đổi honeywall chủ yếu module kiểm soát liệu Những thay đổi khiến honeynet hệ trở nên khó bị kẻ công phát hay in dấu chân Ưu điểm honeypot • Honeypot thu nhận liệu, lại có giá trị sử dụng cao • Lượng tài nguyên phân tích thấp • Khái niệm đơn giản, có nhiều cách thức thực • Tính hiệu cao • Có thể nghiên cứu tìm cách công Rủi ro honeypot • Thu hẹp phạm vi ảnh hưởng • Để lại dấu vết ( footprinting) • Gây rủi ro lớn khi: Bị phát Cấu hình lỗi Cách giảm nhẹ rủi ro • Làm cho honeypot trở nên linh hoạt hơn: Honeypot có khả tự phát Sữa đổi giải pháp không an toàn Khắc phục footprinting • Nghiên cứu giải pháp Kết luận • Honeypot giải pháp thay hoàn toàn chế bảo mật • Honeypot công cụ linh hoạt tăng cường tính bảo mật hệ thống • Ý nghĩa nhận dạng thu nhập thông tin tân công • Honeypot bước đầu [...]...Production Honeypots • Ngăn chặn • Giữ chân kẻ xấu • Phát hiện • Phát hiện kẻ tấn công • Phản ứng Research Honeypots • • • Khám phá những công cụ, chiến thuật mới Phân tích và phát triển những kỹ thuật HONEYNET? Thu thập dữ liệu • • Host based: • Keystrokes • Syslog Network based: • Firewall • Sniffer Bảo trì Honeypots • • • • Phát hiện, cảnh báo Phản ứng Phân... động được giám sát và ghi nhận What is a Honeynet Một khi đã bị tấn công, dữ liệu thu thập được từ honeynet sử dụng để học những công cụ, chiến lược và động cơ của cộng đồng blackhat Thông tin thu thập có những giá trị khác nhau đối với những tổ chức khác nhau Học những lỗi mà có thể tấn công hệ thống Triển khai kế hoạch phản hồi Honeynet được áp dụng theo 2 hướng Mục đích nghiên cứu Bảo... dòng dữ liệu Simulation Results of Anti-Worm 3 Honeypot tương tác cao (Honeynet) What is a Honeynet Honeypot tương tác mức cao thiết kế để : Thu thập thông tin ở mức sâu Học nguời mà sử dụng hệ thống của bạn với không có quyền của bạn Nó là 1 kiến trúc, không là một sản phẩm hay phần mềm Phổ biến với các hệ thống thực Vậy : Honeynet là một mạng các honeypot tương tác mức cao giống như một... một loại Trojan khi được cài đặt vào máy nạn nhân (chỉ trên những hệ thống Window 95 hoặc Window 98) và nằm ẩn bên trong hệ thống và cho phép các Attacker có thể thực hiện hành vi tấn công của mình như: theo dõi tất cả hành động của nạn nhân trên hệ thống của mình mà các nạn nhân không hề biết Chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP… BackOfficer Friendly Nhiệm vụ chính... loại traps trong tổng số 14 dịch vụ mô phỏng, chủ yếu là định ra danh sách port lắng nghe trên từng loại dịch vụ, trong đó có 1 trap có thể tùy biến port lắng nghe Hạn chế : Specter không có khả năng theo dõi trên bất cứ loại dịch vụ nào đang chạy trên hệ điều hành thật Honeyd Được phát triển và duy trì bởi Niels Provos Honeyd là một chương trình nền nhỏ có rất nhiều tính năng nổi trội Honeyd