Их Британий Honeynet төслийн Дэвид Ватсон
Эртний Хятадын цахилгаан эрчим бүтээсэн Sun Tzu хоёр мянган жилийн турш онлайн аюулгүй байдлын үндсэн зарчмуудыг нэгтгэн дүгнэж байсан. "Хэрэв та дайснаа болон өөрийгөө мэдэж байгаа бол, зуун тулааны үр дүнд айх хэрэггүй" гэж тэр хэлсэн байна. Одоогийн байгууллагууд, бизнес болон хувь хүмүүс хамгийн сүүлийн үеийн хамгаалалтын технологи дээр сая сая жил зарцуулдаг боловч тэд тулгарч буй аюул заналын чанарыг ойлгох гэж оролдсоор байна. Тэд яагаад халдаж байгаа, тэдний халдагчид хэн, хэрхэн мэдэх вэ? Honeynet бол гадны халдлагыг болон тэдгээр нь хэрхэн ажиллахыг ойлгоход туслах ба аюулгүй байдлын технологи нь харьцангуй шинэ юм. Honeynet гадны халдлагыг татах зорилготой компьютерийн систем дэхь сүлжээ юм. Honeynet system нь blackhat дайралтад алдагдсан байгаа үед keystrokes болон татаж авсан хэрэгсэл нь гадагшаа имэйл ба мессеж IRC-рүү халдагч үүсгэж үйл ажиллагааг барьдаг. Үүний зэрэгцээ болзошгүй дайралтаас гадаад сүлжээний үйл ажиллагааг хянадаг. Honeynet технологи нь хурдтай, үйл явдлын дэлгэрэнгүй мэдээллийг алхам алхмаар дахин харуулах боломжийг системийн операторт олгодог. Олон халдлагын дүн шинжилгээ хийх, нэмэгдсэн боловсролоор дамжуулан, оператор уг үйл ажиллагаанаас ардах сэдэл ойлгож, эцэст нь тэдний хамгаалалтын чадавхыг нэмэгдүүлэх болно.
Honeynet гарал үүсэл
Энэ нь 1980-аад оны үед гарч ирсэн. Вирусны эсрэг программ хангамж, галт хана болон халдлага илрүүлэх систем гэх мэт ихэнх нь орчин үеийн honeynets тулгуур суурь ойлголт юм. 1990-ээд оны сүүлээр аюулгүй байдлын мэргэжилтэн, судлаачдын сонирхлыг татаж эхэлсэн. 1999 онд Honeynet төслийн анхны арилжааны honeynet бүтээгдэхүүн болон тогтоц цөөн хэмжээгээр гаргасан. Өнөөдөр, honeynets нь ерөнхийдөө уян хатан, хүчирхэг аюулгүй байдлын багаж хэргэсэл зэрэг олон эрдэм шинжилгээ, засгийн газар болон арилжааны эх үүсвэрээс сонирхлыг татаж Blackhat, CanSecWest болон IEEE-ийн аюулгүй байдлын honeynet зам, Нууцлалын газар гэх мэт арга хэмжээнд хүлээн авч байна.
Honeypot
Honeypot нь бүх honeynets -ийн гол барилгын хэсэг юм. Honeynet төсөл нь honeypot шиг мэдээллийн системийн нөөц ,түүний үнэ цэнийг хууль бусаар буюу хууль бусаар ашигладаг гэж тодорхойлдог. Харин тэдний худал утгыг халдагчид ашигладаг. Honeypots нь урьдчилан сэргийлэх, илрүүлэх,мэдээлэл цуглуулах,болон хүчирхэг, уян хатан аюулгүй байдлын багажуудаар асуудалаа шийддэг. Учир нь тэд honeypot- д ямар ч хууль ёсны шалтгаангүйгээр холбогддог ба энэ нь харилцаа их хортой байж болзошгүй. Иймээс honeypotеийн худал сануулгын тоог ихээхэн багасгах нь халдлага илрүүлэх систем гэх мэт үндсэн сүлжээний үйл явдал дээр суурилсан аюулгүй байдлын бүтээгдэхүүнтэй харьцуулагддаг. Энэхүү өндөр дохионы дууны харьцаа нь админд байнга хэрэгтэй байдаг ба жижиг мэдээллийн багц нь удирдах, дүн шинжилгээ хийх нь худал сануулгаас харьцангуй жижиг байдаг. Үүний үр дүнд халдлага илрүүлэх болон будлианд хариу үзүүлэхдээ хурдан болох юм. Honeypot -ын өөр нэг давуу тал нь уламжлалт халдлага илрүүлэх технологи нь ихэвчлэн гарын үсэг зуруулах болон статик загварын халдлагаас загвар тогтооно. Энэ нь үл мэдэгдэх, эсвэл шинэ аюул илэрсэн байж болзошгүй гэсэн үг юм. Эсрэгээр honeypots нь тэдний эсрэг чиглэсэн бүх таних болон танихгүй дайралтуудыг загварчилдаг. Учир нь аливаа сүлжээний үйл ажиллагаа нь honeypot-д доголдолоо илэрхийлнэ. Тэр ч байтугай honeypot-ын радар дээр stealthiest үйл ажиллагааг бүртгүүлж болно. Учир нь honeypot нь хост түвшинд IPv4 биш харилцааг шифрлэх үйл ажиллагаа явуулдаг ба энэ нь ихэвчлэн сохор уламжлалт сүлжээнд суурилан мэдрэгчийг олж болно.
Honeypot-ын төрөл
Honeypot-ийг ихэвчлэн халдагчид олгосон харилцааны хэмжээнд дээр суурилан ангилдаг. Илүү харилцааг зөвшөөрөх нь халдагч хаанчлах болон цуглуулсан мэдээллийн түвшинг нэмэгдүүлнэ гэвч энэ нь бас нарийн төвөг болон эрсдэлийг нэмэгдүүлнэ. Бага харилцаатай honeypot буюу LIH нь сүлжээний үйлчилгээ болон хостын системтэй ерөнхийдөө адилхан. LIH систем нь мэдэгдэж буй аюулаас хязгаарлагдмал учир нь дуурайсан сүлжээ нь өмнөх үл мэдэгдэх халдлагад зөв хариулт өгдөггүй. Ямар ч тохиолдолд дайсан LIH системийг хурдан тодорхойлох боломжтой байна. Тохиргоо болон бүртгэлийн харьцангуй энгийн болон халдагчын тохиргоо нь операторийн эрсдэлийг багасгахын тулд хэвийн хязгаарлагдсан байна. Гэсэн хэдий ч LIH нь урьдчилан сануулах төдийгүй мэдээлэл цуглуулахад ашиглагдах зорилготой. Жишээ нь: LIH нь Specter (худалдааны) болон Honeyd (эх үүсвэр)юм. Зөвхөн програм хангамж ашиглан сүлжээний хэсэг болгонд холбогдсон дотоод хэрэглэгчдийг үйлдлийн системийн хүрээнд шалгалт хийж болдог.Виртуал машин дээр саш олон хостууд ажилуулах замаар хуурмаг сүлжээ үүсгэж болдог.Ингэхийн тулд түүн дээр маш олон төхөөрөмж олгох олон хийсвэр хаяг оноох ба тэдгээрийн холимог байдлаар виртуал сүлжээ өргөжнө.Виртуал сүлжээний хувьд түүн дээр үйлчилгээний чанарыг сайжруулах механизм ашиглаж болно.Ингэснээр хуурмаг сүлжээг илүү уян хатан найдвартай ажиллагаатай болгох үүрэгтэй.
HIH гэж юу вэ?
Энэ нь honeypot үйлдлийн системийг бодит халдлага үүсэхэд хамгаалах үүрэгтэй ажилдаг байна.Мөн энэ технологи нь алсаас халдах халдлагаас сүлжээг хамгаалдаг тохиргоотой байж болно.Гэхдээ та үүнийг яг нарийн сайн ажиллана гэж тооцож болохгүй.Учир нь халдлагууд маш олон төрөл байх тул тэр бүрийг сайн тооцоход хүндрэлтэй байдаг.Харин hih аргыг пакетыг шүүж шинжилэхэд өргөн ашиглаж бас болдог.Мөн hih дээр дэмжиж ажиллах байдлаар md5 болон hash функцыг тооцоолдог байхаар загварчилж болно.Энэ систем нь ерөнхийдөө систем рүү халдах халдлагуудыг бууруулах үүний зэрэгцээ тэдгээрийг зарим халдлагыг бууруулах зэргээр ашиглана.Сул тал ихтэй байна гэдэг нь тухайн сүлжээ эрсдэлд өртөх магадлал өндөр болохыг илэрхийлнэ.Мөн халдагчид honeypot ашиглах замаар халдлага хийх оролдлого их гарч байна.Гадна халдлагууд дотроос хамгийн илэрүүлэхэд хэцүү халдлага нь honeypot ашигласан халдлага юм.Hih нь илүү нарийн төвөгтэй бүтэцтэй байдаг.Бодит системүүдэд халдлага илрүүлэх техникийг суулгасан байх нь аюулаас таныг хамгаална.Тэгэхээр та honeypot халдлагыг цааш дэлгэрүүлж судалснаар түүгээр дамжин халдах халдлагаас сэргийлэх боломжтой болно.
Судалгаа ба үйлдвэрлэл
Honeypot нь ашиглах байдлаасаа хамаарч үйлдвэрлэлийн ба судалгаанд зориулагдсан гэсэн 2 төрөлтэй байна.Үйлдвэрлэлээс хамаатай honeypot-ийг ихэвчлэн халдлага эсэргүүцэх зорилгоор ашиглаж байна.Ингэхдээ labera,tarpits арга техникийг ашиглан халдлагыг эсэргүүцэх арга хэмжээ авдаг.Ингэснээр сүлжээгээр хайгч хийгчид болон dos халдлага үйлдэгчдээс сүлжээг хамгаалах боломжтой болдог.Honeypot тохируулснаар сүлжээгээр урсах өгөгдлийг хурдан хугацаанд шүүлт хийхээс гадна хэрэв аюул тулгарсан тохиолдолд маш түргэн хугацаанд аюулыг бууруулах арга техник ашигладаг байна.Судалгааны honeypot нь маш их судалгаа хийгдсэн байгаа бөгөөд хортой үйл ажиллагааг дүн шинжилгээ хийх халдлагыг илрүүлэх тал дээр илүү судалгаа хийж байна.
Honeypot-ийн хөгжил
Honeypot –уудыг нийт сүлжээгээр тараан ашигласнаар сүлжээнд үүсэх халдлагыг нэлээд хэмжээгээр бууруулна гэж эрдэмтэд үзсэн байна.Энэ системийг ашиглах үед халдагчыг яг халдлага хийж байх үед нь илэрүүлэх боломжтой болдог.Энэ систем нь зөвхөн сүлжээгээр урсах өгөгдлийн урсгалыг л шүүж маягаар ажилдаг.Үүнийг big brother гэж нэрлэдэг.Хөгжлийн эхэн үедээ honeypot-ууд ажиллагааны төвөгтэй бүтэцтэй байсан тул ихэнхи төхөөрөмж дээр нэвтрүүлэхэд хүндррэлтэй байсан байна.Харин судалгаа эрчимтэй явуулны үр дүнд honeypot –г илүү үр дүнтэйгээр сүлжээнд ашиглах боломж нээгдсэн юм.Тэд судалгааны явцдаа цаг хэмнэх хурдан ажилладаг байх бүх боломжит санааг агуулан үйлдвэрт нийлүүлсэн байна.Эхэн үеийн сүлжээний honeypot –ууд нь сүлжээний пакет болон түүний стандартуудын асуудал гэх мэт зүйлээс болж их өргөн хэрэглэгддэггүй байсан.
Хоёрдугаар үеийн honeypot –ууд нь илүү боломжит хэрэгслүүд нэмэгдсэн байна.Тэд энэ үедээ тоног төхөөрөмжөөс хамааралгүй ажиллах боломжийг судалж түүнийг хэрэгжүүлсэн байдаг.Судалгаа цааш хийгдэх тусмаа илүү хүнд асуудлуудтай тулгарч байсан.Үүнээс гадна honeypot дээр өгөгдлийг нууцлах аргууд нэмэгдсэн ба тэдгээрт тавигдах шаардалгууд их болсон байна.Энэ төсөлийг анх 2003 онд eвроп-д гаргасан юм.Түүний ажиллагааны гол хэсэг нь кернел болон хатуу дискээс бүрдэнэ. 
Орчин үеийн honeynet технологи:
Энэ үеийн судалгаа нь 2005 оноос эхэлсэн бөгөөд fedora,core 3 үйлдлийн системүүд дээр илүү хурдан ажиллах боломжийг судалж эхэлсэн байна.Тэд дараах хэд хэдэн аргыг нэвтрүүлсэн байна.Үүнд: Roo honeywall honeynet зэргийг нэвтрүүлсэн.Эдгээр нь ажилахдаа физик интерфэйс дээр суурилах ба тэр нь түүгээр урсах өгөгдлийн урсгалыг шүүх шүүлтүүрийн үүрэг гүйцэтгэнэ.Урсгалыг хянахын тулд 2 гүүрний аргыг ашиглана.Энэ нь дотоод ба гадаад сүлжээний хоорондох өгөгдлийн урсгалыг шүүх боломж олгох ба whitelists болон blacklists аль алинд нь гадагшаа honeypot сүлжээний үйл ажиллагаанд, дэмжлэг тохируулагч нь пакет үнэ хязгаарлалт чадвар, бүх IP сүлжээний холболтууд зохицуулах нь iptables дээр тулгуурласан галт хана зэрэг орно.Үүний зэрэгцээ snort,inline,honeynet ашиглан сүлжээгээр урсах өгөгдлийг илүү нарийн судлах боломжтой болж байна.Ингэснээр honeypot нь урсгал удирдах замаар аюулгүй байдлыг сайжруулах боломжтой болно.Мөн хэрэглэгчдийг нэвтрэх үед хэн болохыг таних үйл ажиллагаа явуулдаг.
Sebek:
Энэ арга нь шифрлэсэн мэдээллийг замаас нь булаах замаар түүний мэдээллийг задлах боломжтой үгүйг судалдаг.Мөн далд байдлаар сүлжээг анализ хийх боломжийг нэмэгдүүлдэг байна. Sebek хэрэглэгчид нь Linux, * BSD, Solaris болон Windows үйлдлийн системүүд дээр суурилдаг. Honeypot –уудыг нийт сүлжээнд нэвтрүүлснээр тухайн сүлжээгээр урсах өгөгдөлд аюул учрахгүй байх шалтгаан болж өгдөг.Өнөө үед улс орны мэдээллийн салбаруудад энэ системийг өргөн хэрэглэхийг санал болгож байна. Honeypots нь кибер гэм хэргийн үйл ажиллагаанаас интернет хэрэглэгчийн спам ,фишинг болон бусад хэлбэрүүдийг хамгаалахад тусалдаг. Гарын үсэг боловсруулдаг програм тэдний шинэ үйлдэл болон хөнөөлтэй код нь гол вирус үйлдвэрлэгчид болон шинэ сүлжээний үйл ажиллагааг илрүүлэхэд халдлага илрүүлэх болон түүнээс урьдчилан сэргийлэх системийг шинэчлэгддэг юм. Судалгааны honeypot нь одоогийн компьютерийн аюулгүй байдлын аюулын талаар мэдээлэл цуглуулах, дэлхийн мэдээллийн аюулгүй байдлын чиг хандлагыг дагаж worm-ыг илрүүлэхэд туслах, дэмжлэг үзүүлэхэд ашиглагддаг. Учир нь honeynet-ээр цуглуулагдсан өгөгдөл нь blackhat үйл ажиллагаа ажиглалт болон хортой кодонд алсаас дүн шинжилгээ хийхгүй, honeynet нь боловсролын аюулгүй байдлын судлаачид болон эрдэмтдэд, аж ахуйн нэгжийн системийн администраторууд болон дэд бүтцийг хамгаалах бүлгэм, хууль сахиулах байгууллагын төлөөлөгч, цэрэг тагнуулын тэр ч байтугай гэрийн компьютерийн хэрэглэгчдэд тусалдаг. Blackhat хэрэгсэл нь орон нутгийн иргэдийн мэдлэгийг дээшлүүлэх тактик илрүүлсэн нь бидний хамгаалалт болон хувьсан өөрчлөгдөж буй үйл явцыг сайжруулахад чухал хэсэг болж байна. Honeynet төслийн судалгааны өнөөгийн газар нь тархсан honeynet ийн honeynet мэдээлэлд дүн шинжилгээ хийж дотоод аюул, anti-spam, honeynet,зэргийг илрүүлэхэд үнэ өртөг их зарцуулагддаг. Хагас автомат халдлага нь шүүх мэдээллийн сантай тохиролцож , хуулбарлах болон нэгтгэх нь түүний урт хугацааны зорилго юм.
Honeynet судалгааны төрөл
Honeynet төслийн гишүүд нь амжилттайгаар honeynet-ийг ашигласан.
· Стандарт үйлдлийн системийг тохируулгын хувьд нийтлэг үйлдлийн системтэй тэмцэх халдлагад шинжилгээ хийх болон дундаж "time to compromise" -ийг тодорхойлох.
· Инженер нь шинэвирус , өт болон олон нийтийн скан хийх хэрэгсэл/autorooters ийг буцаана.
· Эхний баримтжуулсан тохиолдолын нэг нийтлэл нь доорх кредит картны худалдаа, зохион байгуулалттай кибер гэмт хэрэг болон онлайн кибер гэмт хэргийг хянах
· Фишинг хувиарлах, pharming арга техник ийг хамтад нь төрөл бүрийн спам, нээлттэй прокси үйл ажиллагаа, DDOS тодорхойлох, айлган сүрдүүлэхэд хийж болно.
· Алдагдсан honeypot болон улс төрийн hacktivism компанит дээр эхлүүлснээр олон нийтийн цахим хуудас болон форум, IRC серверээс халдагчдыг ажиглана
· IRC мэдээлэл болон бодит ертөнцийн ажиглалт дээр суурилсан blackhat нийгмийн харилцааны хувьд эхний танилцуулсан загваруудын нэгийг үйлдвэрлэнэ.
· Үйлдвэрлэлийн сүлжээнд NVP протокол болон хортой peer to peer дээр IPv4 хакердах түннэлийг эхлүүлэх IPv6 хөдөлгөөнд түннэлдэх зэрэг ер бусын сүлжээний үйл ажиллагааг илрүүлнэ.
· Ботнеттэй тархалтын механизм болон вирусд анализ хийж botnet командыг бүтээх , хяналтыг илрүүлэх болон арга замыг бий болгоно.
· Ботнет түрээсийн үйлчилгээ болон бусад далд псевдо-валют зэрэг зээлийн картын мэдээлэл, болон дансны итгэмжлэлүүдтэй зах зээлийг хянах
Аюулгүй байдлын дайны уралдаан
Өнгөрсөн арван жилийн хугацаанд ажиглагдсан хортой үйл ажиллагааны үндсэн хэлбэр байнга өөрчлөгдөж байна. PC-ны antivirus програм нь физик зөөвөрлөгчөөс вирусийн халдварыг ихээхэн бууруулдаг гэвч blackhat-аас халдлага ирэхэд өргөн тархсан сүлжээ холбооны бусад боломжуудаа нээдэг. Муу тохиргоотой системүүд дээр илүү сайн системийн менежментийн арга техникийг бий болгох замаар хариу үйлдэл үзүүлэх болон энгийн хандалтын хяналтын жагсаалтуудыг нэм гэж хуучны гарын авлага дээр тусгагдсан байдаг.
Blackhat аюулын үе шат
Worm нь дахин нэг удаа ердийн хэрэглээ болжээ гэхдээ сүүлийн үеийн аюулгүй байдлын сайжруулалт
- Ялангуяа MS windows компьютер
- Сүлжээд суурилсан халдлагуудын үр нөлөөг бууруулах
Хэрэглэгч болон онлайн програмууд тэдний зорилт, болон нийгмийн инженерчлэл, зорилтот халдлага нь бага хэрэглээтэй вирусыг эвдэх, blackhat нормтой болох юм. Хэдийгээр honeynet технологи хувьсан өөрчлөгдөж байгаа ч blackhat хариу арга хэмжээ авсаар байна. Honeypot-ийн анхдагч тохиргоонууд ажиллаж байхад бага сонирхол татахуйц олон нийтийн скан хийх үйл ажиллагаа нь багасаж байх ба илүү их хүчин чармайлт нь 'sweeten' судалгааны honeynet болон дэвшилтэт болон чиглэсэн аюул шаардлагатай байдаг. Нэмэлт ажил нь honeypot ыг далдлах болон урьдчилан сэргийлэх шаардлагатай байна. тэдний үндсэн зорилго нь ил гарсан байгаа ба том honeynet-ын байрлалууд нь орон нутгийн гэхээсээ илүү дэлхий нийтийн чиг хандлагыг судлах шаардлагатай болсон.
Virtual honeynets
Виртуалчлалын технологийн VMware, User Mode Linux (UML) болон Xen нь бүхэл бүтэн honeynet дэд бүтцийн зардал, үйл ажиллагааны дэмжлэг нарийн төвөгтэй байдлыг багасгах, нэг машин уруу нэгтгэх боломжтой. Олон төрлийн үйлдлийн системийг янз бүрийн хувилбараар зөвхөн үндсэн тоног төхөөрөмжийг ашиглан зэрэгцээ ажиллуулах боломжтой байдаг бөгөөд цогц виртуал сүлжээний топологи хурдан угсарч болно. Бага эрчим хүчтэй, хэмжээтэй honeynet selfcontained зөөврийн систем амархан байршуулах зорилгоор training, demonstration, эсвэл in-the-field зэрэг зөөврийн виртуал honeynets болгон ашиглаж болно. Голдуу үндсэн үйлдлийн систем нь зөвхөн виртуалчлалын програм хангамжийг ажиллуулж, дараа нь honeywalls болон honeypots зочин үйлдлийн систем гэх мэт хувь хүний виртуал машин дээр суугдана. Алсын график болон вэб дээр суурилсан менежмент нь ихэвчлэн виртуал машинуудын бүрэн алсын виртуал зөөвөрлөгчийг ашиглан дахин суулгагддаг. Мэдээллийн нөөц их хэмжээгээр хялбарчлах болон дискний snapshot-ыэ технологи ашиглах замаар автомат виртуал машин оновчлох нь виртуалчлалын технологи API-г дамжих боломжтой юм. Виртуал honeynets-ын сул талууд нь виртуал honeypot эвдэгдсэнээр виртуалчлалын технологийн эсрэг халдлагуудад хүргэж болох ба ганц цэгийн гэмтлийн улмаас стандарт виртуал машин тоног төхөөрөмжийн тохиргоонд нь honeypot онцол шинж нь бүрэн виртуал honeynet болон хост үйлдлийн системийг илүү эрсдэлийг оруулдаг. Зарим оролдлогууд VMware зориулагдсан хоёртын obfuscation засваруудтай адил виртуал honeynets нэмэгдсэн эрсдэлийг бууруулахад хийдэг. Honeypot Proc File System (HPPFS) болон зочин үйлдлийн системийн үндсэн драйвер давхаргад TTY мод бэлтгэх undetectable keystroke байдалд хяналт тавьдаг. Илүү аюулгүй ажиллагааны горим нь цөмийн хаягийн хэмжээ гэж нэрлэдэг (SKAS) түүний үйл явц, цаашид виртуалчлалын технологи илрүүлэх эрсдэлийг бууруулдаг өөр хост хаяг хэмжээнд ажиллуулах UML цөм идэвхжүүлдэг. Гэсэн хэдий ч, энэ чиглэлээр blackhat судалгаа нь идэвхтэй хэвээр байгаа бөгөөд энэ нь виртуал honeynets эсрэг тодорхой халдлага honeynet тасралтгүй илрүүлсээр байна.
Нарийвчилсан honeynets
Газар зүйн байршил дээр нь ганц honeypot үйл ажиллагаа явуулж сонирхолтой, хэрэгтэй мэдээлэл байнга өгч болно, гэхдээ өргөн хэтийн томоохон байгууллагуудын тулгарч буй аюул, дэлхий нийтийн хэмжээнд чиг хандлагыг ойлгох шаардлагатай байна. Honeynets нь хангалттай том сүлжээний хүрээн дээр байрлуулж байгаа бол honeynet операторууд бүхэлд нь интернетийн тухай асуултад хариулах болно. Тархтал honeynets их том зүйрлэвэл тор дамжуулж санал болгож болно. Бүтцийн хувьд тархмал honeynets ихэвчлэн дан тохиргоонд тохируулах боловч нэмж төв байрлал руу өгөгдөл оруулахдаа өөр өөр байршилд байрлуулсан байна. Энэ нь хуваалцсан сангийн бүтэц болон холбоо, confederated загвар, шаталсан төв мэдээллийн агуулга болон олон шинжээч түлхэх / татах дэмжих тархмал шийдэл зэрэг цогц бүх сүлжээний мэдээллийг өдөр тутмын шилжүүлэх бүх дэлхийн мэдээлэл байж болно. Бүтцийн тархмал honeynets гол сул тал нь honeynet node шилжих бүтэц, байршил хооронд тээвэрлэх, алсаас удирдах тоног төхөөрөмж шаардлагатай байгаа юм. Энэ асуудлыг шийдэх нэг арга нь төвлөрсөн нэг сайн зохицуулалт байршил дээр бүх honeypots болон honeynets байрлуулах, дараа нь ил тод төв honeyfarm нь алсын honeypot-ын тодорхой IP хаяг уруу чиглэсэн сүлжээний урсгалыг дамжуулах явдал юм. Алсын сайт бүр дээр шаардлагатай байгаа чиглүүлэлтийн зөвхөн бага хүчин чадалтай GRE туннель болон олон VLAN-уудын технологи нь үнэн хэрэгтээ орон нутгийн болон дэлхийн нөгөө талд төв honeyfarm нь бүтцийн байрлах honeypot халдагч гэж алсын зайны сүлжээ гарсан. Португалийн Honeynet төслийн Honeymole-ийн жишээ бол honeyfarms бий болгох замын хөдөлгөөний туннель хэрэгсэл юм. Гярхай халдагч буцаах боломжтой пакетууд дээр буруу дугаарыг нэмэгдүүлэх TTL тоог бүртгэхэд honeyfarmed honeypot ашиглаж илрүүлж болно. лон улсын томоохон хол сүлжээний саатал нэмэгдсэн хэдий ч илүү авхаалжтай халдагчид түгшүүр болох iptables пакет mangling бодлого дээр суурилсан чиглүүлэлтийн энэ байдлыг арилгахын тулд сүлжээний хаягийн хөрвүүлэлт (NAT) ашиглаж болно. Одоогийн байдлаар олон улсын томоохон хол үйл ажиллагаа явуулж байгаа honeyfarms асуудалд ч шийдэл байдаг. Аль ч тохиолдолд тархтал honeynets тавьсан гол асуудал нь барьсан мэдээллийн хэмжээгээр, холбогдох чухал ач холбогдолтой мэдээлэлд дүн шинжилгээ хийх бэрхшээл нэмэгдэж байна.
Зохиогчийн тухай
Олон жилийн турш honeynet системийн үйл ажиллагааг Их Британийн Honeynet төслийн (www.ukhoneynet.org) Дэвид Ватсон хүргэдэг, мөн Судлалын холбооны удирдах хорооны таван гишүүдийн нэг юм. Тэр Honeysnap мэдээлэх хэрэгсэл гаргасан Honeynet төслийн "KYE Фишинг" цагаан цаас coauthor байсан бөгөөд одоогоор blackhat IRC үйл ажиллагаа, POS болон санхүүгийн систем honeypots судалж байна. Тэрээр мөн Honeynet Төслийн Глобал Тархмал Honeynet санаачлагын төслийн менежер, хар тугалга хөгжүүлэгч бөгөөд АНУ-ын Засгийн газар, цэргийн болон хууль сахиулах байгууллагад өнгөрсөн хугацаанд танилцуулсан байна.
Орчуулсан баг : Defenders of the Networking
No comments:
Post a Comment