Понимание виртуальных Honeynet

Опубликовано: 14 Апреля, 2023


Кто враг?


Откуда ты знаешь, кто твой враг? Сегодня во многих организациях распространено неправильное представление о том, что вы должны защищать внутреннюю сеть от внешних злоумышленников, пытающихся проникнуть в нее из Интернета. Злоумышленники не только находятся в Интернете, но также могут работать на организацию. Непонимание этого жизненно важного факта может привести к тому, что организация потеряет важные данные. Если пользователь использует простой ping для прокладки пути к серверу и если у пользователя нет разрешений для этого сервера, то это действие можно считать попыткой вторжения. Многие люди будут утверждать, что эта позиция слишком параноидальна; Во многих случаях злоумышленники были идентифицированы при использовании типичных утилит устранения неполадок TCP/IP, чтобы облегчить их попытку проложить путь к сети. Некоторые злоумышленники используют это как точку обзора, чтобы выяснить, какие машины подключены к сети и как осуществляется маршрутизация. Другая причина для этого графика заключается в том, что каждая нанесенная точка может быть снята по отпечатку пальца, чтобы определить, какой тип операционной системы работает на этой машине, и таким образом можно идентифицировать уязвимости и использовать их. Нельзя не подчеркнуть, что злоумышленники могут быть как внутренними, так и внешними, и что установка ловушек для внешних злоумышленников только испортит вашу стратегию обнаружения злоумышленников. Honeynets предоставляют организациям возможность лучше понять типичных злоумышленников и попытки проникновения в вашу систему. Этот тип информации идентифицирует злоумышленника и описывает методы и тактику злоумышленника, которые он может использовать. Знание того, кто является злоумышленником, может помочь вам установить счетчики критериев, которые направляют эти потенциальные атаки в тупиковую сеть. Это очень важно и является неотъемлемой частью проектирования вашей сети с учетом требований безопасности.


Критерии Ханнет.


Honeypots/Honeynets могут потреблять ресурсы с определенной скоростью и связывать используемое оборудование, но для крупных организаций, которые серьезно относятся к безопасности, это не должно быть проблемой. Другой проблемой является обслуживание и сложность системы. Я бы порекомендовал очень полезный инструмент под названием VMware, так как он сэкономит на аппаратных средствах. Ресурсоемкость заставляет многие организации терять фокус и недооценивать полезность хорошо построенной и поддерживаемой сети-приманки. Этот фактор может даже повлиять на необходимость приманки. Создание виртуальной приманки влечет за собой загрузку нескольких программ на аппаратные системы с использованием программного обеспечения виртуальных машин, такого как VMware. Эта методология позволяет построить полноценную мультисервисную систему. Экономические преимущества запуска нескольких операционных систем и служб на одном компьютере велики, и вы можете создать сеть DMZ только на одном компьютере. Аппаратная сеть-приманка в значительной степени представляет собой программную сеть-приманку, разделенную на несколько аппаратных систем. Эта методология значительно увеличивает стоимость проекта приманки и является основным фактором, который сбивает многие организации с пути приманки. Простота является наивысшей ценностью в любом отношении, и ее следует рассматривать как благоприятную причину при принятии решения о развертывании сети-приманки. По этой причине понятно, почему виртуальные сети-приманки побеждают аппаратные сети-приманки. Знание того, что сеть-приманка может быть построена на одной системе со средними программными и аппаратными возможностями, открывает бесчисленные двери в среде безопасности. Многие профессионалы в области безопасности давно ждали появления этой развивающейся технологии.


Virtual Honeynet может объединять несколько операционных систем в одну систему. Ценность этой технологии становится очевидной, когда администраторы безопасности считают эффективным и экономичным развертывание нескольких экземпляров операционной системы, объединенных во всей сети, для имитации корпоративной среды с разрезанием данных. Затем эта приманка начинает привлекать злоумышленников толпами, и имейте в виду, что это должно произойти.


Ханинет


Прежде чем мы сможем узнать, что такое сеть для приманки, нам нужно узнать, что такое приманка. Хонет-пот — это изолированная сеть, которая была разработана с целью захвата злоумышленников и регистрации их перемещений внутри атакуемой изолированной сети. Весь трафик, входящий и исходящий из приманки, регистрируется. Приманка — это одна система в изолированной сети, приманка — это множество приманок, составляющих сеть. Virtual Honeynet — это одна машина, на которой работает несколько экземпляров операционной системы, предоставляющая различные услуги для имитации полной сети. Администраторы безопасности теперь могут использовать устаревшее оборудование.






Что такое виртуальные приманки?


Виртуальная сеть-приманка — это система, которая позволяет специалисту по безопасности запускать все службы, которые типичная сеть будет запускать на одной компьютерной системе, используя такие технологии, как виртуальные машины или операции Java. Пакет приложений, такой как VMware, используется для создания виртуальной приманки. Эта система состоит из машины, на которой работает базовая операционная система, работающая под управлением VMware, а затем нескольких операционных систем, установленных в среде VMware для эмуляции всей сети на одной машине. Создание нескольких машин в одной компьютерной системе позволяет злоумышленнику почувствовать, что он наткнулся на незащищенную сеть в Интернете. В этой конфигурации должно быть включено подробное ведение журнала, чтобы вы могли расшифровать то, что злоумышленник пытается использовать в качестве формы атаки.


Преимущества виртуальных приманок



  1. Упрощает централизованное управление.
  2. Консолидированная система Honeynet.
  3. Низкая стоимость, так как требуется только одна машина.

Недостатки виртуальных приманок



  1. Ограничение операционной системы в соответствии с возможностями программного обеспечения виртуальной машины.
  2. Ограниченные платформы, большинство виртуальных машин поддерживают только платформы X86.
  3. Центральность, если злоумышленник знает, что система является приманкой, он сможет демонтировать всю систему одним ударом.

Проектирование виртуальной Honeynet


Виртуальная приманка может состоять из всей сети Honeynet, объединенной в одну компьютерную систему. Это означает, что ваш шлюз, брандмауэр, почтовый сервер, веб-сервер, DNS и другие службы будут работать на одном компьютере, эмулируя среду локальной сети всей организации. Сеть-приманка может быть спроектирована так, чтобы быть переносимой. Виртуальные сети-приманки — это сети-приманки, которые устанавливаются на портативном компьютере, таком как ноутбук, и их можно легко транспортировать в любое место. У этого есть много преимуществ, поскольку он имеет разумную стоимость и экономит много места по сравнению с этой системой с традиционными приманками. Недостатки заключаются в том, что существует единая точка отказа, но этому можно противостоять, объединив две машины с одинаковыми конфигурациями и продумав комплексную стратегию отработки отказа, а также то, что программное обеспечение виртуальной машины несколько дорого и ограничено средами, специфичными для платформы.


Чтобы спроектировать такую систему как виртуальную сеть-приманку, нам нужно привыкнуть к таким технологиям, как VMware Workstation, VMware GSX Server и User Mode Linux.


Рабочая станция VMware


Эта система предназначена для среды рабочего стола и поддерживает платформы Windows и Linux. Он прост в использовании и упрощает работу с Honeynet на настольных компьютерах. Ограничения заключаются в том, что с использованием версии рабочей станции VMware можно запустить не более четырех машин. Отпечатки пальцев стали проблемой и, похоже, облегчают жизнь злоумышленникам при взломе виртуальной сети-приманки с помощью виртуального программного обеспечения. Конфигурация программного обеспечения может быть изменена в VMware для противодействия снятию отпечатков пальцев, но это выходит за рамки данного документа. Вся идея сети-приманки не в том, чтобы защитить ее, а в том, чтобы сделать ее привлекательной, чтобы злоумышленники могли атаковать ее. Затем это становится трамплином, позволяющим специалисту по безопасности узнать о тактике, используемой злоумышленниками.


Сервер VMware GSX


VMware GSX Server — это промышленная версия VMware, позволяющая запускать гораздо больше виртуальных машин на одной компьютерной системе. Это также предпочтительная система для использования в сетях-приманках, и в настоящее время многие крупные корпорации используют ее в качестве своего решения для сетей-приманок. Он обеспечивает более высокий уровень межплатформенной поддержки большего количества операционных систем, чем рабочая станция VMware, включая 95, 98, NT, 2000, XP и сервер.NET, а также различные разновидности Linux. Эта версия также не имеет накладных расходов на X Windows и может управляться через веб-интерфейс с возможностью удаленной остановки и запуска соответствующих операционных систем. Удаленное управление также является функцией этого программного обеспечения. За все это приходится платить, но это не должно сдерживать организацию, поскольку это необходимая технология, обеспечивающая безопасность вашей локальной сети.


Пользовательский режим Linux


Пользовательский режим Linux можно определить как модуль ядра, который позволяет запускать множество виртуальных версий Linux одновременно. По сути, у пользователя может быть несколько версий Linux, работающих одновременно на одной и той же компьютерной системе. Эта система использует очень мало ресурсов, поскольку занимает очень мало места и не использует x windows, как VMware. Все нажатия клавиш регистрируются обычным способом Linux. Нет коммерческой поддержки. Удаленный доступ к терминалу возможен, но не имеет поддержки графического интерфейса для установки и настройки. Время от времени немного глючит, но, тем не менее, стоит очень мало, чтобы начать работу.


Сравнительно говоря, VMware лидирует в этой области, когда речь идет о виртуальных машинах. Однако с открытым исходным кодом, таким как тот, который можно найти на платформах Linux, наблюдается быстрый переход к использованию более дешевого программного обеспечения для замены дорогостоящих основных сред. Исследования и разработки должны составлять большую часть Honeynetting, и перед внедрением Honeynet в любой среде его следует тщательно протестировать в лабораторных условиях на различных технологиях.


Вывод


Этот технический документ служит справочным материалом и намеренно выделяет определения виртуальных Honeynet с намерением помочь читателю. Многие организации ссылаются на тот факт, что, возможно, нет необходимости знать, что делают ваши типичные злоумышленники. Использование этого подхода равносильно тому, чтобы затолкать слепого человека в аквариум с акулами. Чрезвычайно важно знать различные типы сетей-приманок и понимать, как лучше всего их развертывать с учетом потребностей соответствующих организаций. Знание разницы между виртуальными Honeynet и традиционными Honeynet позволяет быстро принять решение об использовании Honeynet, поскольку становится очевидным, что капитал и ресурсы, необходимые для создания современной сети Honeynet, очень доступны большинству организаций.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023