CC BY
78
ОГЛЯДИ. ПОЛЕМ1КА. ОБМ1Н ДОСВ1ДОМ
УДК 004.056:061.68
ВИКОРИСТАННЯ ПРИМАНОК ДЛЯ ЗАХИСТУ МЕРЕЖЕВО1 1НФРАСТРУКТУРИ В1Д ПОСЯГАНЬ ЗЛОВМИСНИК1В
naepiecbm О. З., Грицюк Ю. I.д.т.н., професор
Львгвський державний умверситет безпеки життедгяльностг,
Львгв, Украгна
USING TRAPS TO PROTECT NETWORK INFRASTRUCTURE FROM INTRUDERS' ATTACKS
Lavrivska O.Z., Grycyuk Yu.I., Doctor of Science (Technics), Professor
Lviv State University of Life Safety, Lviv, Ukraine
Проблеми захисту мережевоУ шфраструктури. Швидкий розвиток телекомушкацшно! галуз1 np^iB до того, що електронна пошта стала зви-чайним явищем, позаяк виpiшила проблему дшового i особистого листу-вання як з точки зору часу, так i вщстаней. Паралельно з цим коpистувачi пошти вiдчули i негативнi аспекти прогресу, наприклад, небажана поява спаму1. Проте, найбiльш вщчутною проблемою телекомунiкацiйних мереж та шформацшних технологiй можна вважати iнфоpмацiйну безпеку [1]. Для 11 забезпечення придатш всi засоби, часто некоpектнi чи навпъ несан-кцiонованi. Здавалося б можна застосувати найдосконал^ засоби аутен-тифшаци та криптографп, вiдгоpодитися потужним мiжмеpежевим екра-ном, але незначна помилка у вщповщальнш пpогpамi здатна звести наш -вець вс зусилля, надавши квалiфiкованому зловмиснику можливють li ви-користовувати у сво1х намipах i вpештi-pешт отримати несанкщоноваш права доступу [2].
Достатньо довго в принцип протистояння «атака - захист» використо-вувалася своерщна покрокова стратепя шформацшно! безпеки: зловмис-ник скористався одним вразливим мюцем — його з часом захистили. Тодi вш знайшов наступне — його знову захистили i т.д. Нагадуе це гру в шахи, де парпя здатна тривати скiльки завгодно. Зрозумшо, за цей час навпъ невелика компашя може зазнати колосальних збиткiв, позаяк у хакера2 знай-деться завжди можливiсть адекватно вщреагувати на захиснi заходи, якими б вони не були досконалими [7].
1 Спам (англ. spam) — масове розсилання кореспонденци рекламного чи шшого характеру людям, яю не висловили бажання ïï отримувати. Термiн «спам» стосуеться рекламних електронних листов. Також вважаються спамом освщчення в коханнi на елект-ронну пошту, в чатах, соцiальних мережах i т.п.
2 Хакер (англ. hacker, вщ to hack — рубати, шматувати) — надзвичайно кватфжований IТ-фахiвець, людина, яка розумiе найо-собливiшi моменти роботи комп'ютерних систем. Хакери з'явилися в той же час, що i мережа 1нтернет, тобто в 1960 роках
Наприклад, в мережi 1нтернет ще в 2010 рощ появилася публшащя [6], в якш сказано, що двом хакерам вдалося зламати iPhone останньо! на той час версп за 20 секунд. Атака була проведена на щорiчному конкурс Pwn2Own, який проводився в рамках конференцп CanSecWest 2010. Перед хакерами було поставлено завдання якнайшвидше зчитати з iPhone вс СМС-повiдомлення. З завданням найшвидше впоралися Вiнченцо Йоццо i Ральф-Фiлiп Вайнманн. Вони направили iPhone на створений ними сайт, за допомогою якого, скориставшись невщомою ранiше вразливiстю пристрою, викрали базу СМС. За свою роботу хакери отримали 15 тисяч дола-рiв, а також зламаний ними телефон. Переможщ, один з яких був ствро -бггником Унiверситету Люксембургу, а шший працюе в комп'ютернiй фiр-мi Zymanics, розробляли протягом двох тижшв експлойт, що використовуе уразливiсть iPhone. Вайнманн заявив, що ^м СМС вони могли б викрасти список контаклв, повщомлення електронно! пошти, фотографп та музичнi файли, однак це не входило в завдання органiзаторiв конкурсу. У рамках конкурсу також були зламаш браузери Internet Explorer 8, Safari i Firefox. За умовами органiзаторiв атаки мали здшснюватися на останнi версп про-грамного забезпечення зi встановленим захистом вщ усiх вiдомих вразли-востей. За зламування браузерiв були врученi призи в розмiрi 10 тисяч до-ларiв. Конкурс Pwn2Own проводив за кошти компанп TippingPoint, яка ви-робляе засоби захисту вiд комп'ютерних вторгнень. За традищею оргашза-тори конкурсу надають iнформацiю розробникам програмного забезпечення про використану для зламування його уразливють i роблять !х надбан-ням гром адеькосп теля впровадження випуску вщповщних оновлень.
Web Server Mail Server Honeypot-приманка
Internal Netwotk
_________ _1-1-1
Workstation Honevpot-приманка File Server
Рис. Схема оргашзацп Honeypot-пасток
Honeypot — нова технолопя захисту мережево'1 шфраструктури.
Часто потенцiйно потерпiла сторона, щоб мiнiмiзувати ризик вторгнення зловмисникiв у мережеву шфраструктуру, зобов'язана робити вщповщш дй' на випередження. Одним з методiв, що дае змогу здшснити цю iдею, називаеться Honeypot (вщ англ. — горщик з медом) [8]. Фактично Honeypot («пастка») — ресурс, який е приманкою для зловмисниюв [3, 5]. Завдання Honeypot — тддатися атацi зловмисника або несанкцюнованому досль дженню, що згодом дасть змогу системному адмшютратору вивчити його стратегш i визначити перелш засобiв, за допомогою яких вш зможе завда-ти удари по реально наявних об'ектах шформацшно1' безпеки. Реалiзацiя Honeypot як пастки для зловмисниюв — не принципова (рис.), — це може бути як спещально видшений сервер, так i один з мережевих серверiв, завдання якого — привернути увагу зловмисниюв [4].
Технолопя захисту мережево!' шфраструктури Honeypot кардинально вiдрiзняеться вщ всiх розробок у сферi шформацшно1' безпеки [3]. Як правило, вш вiдомi програмнi продукти покликан вирiшувати строго певну функцiю (неважливо, то апаратне чи програмне забезпечення). Наприклад, мiжмережевий екран вирiшуе завдання розмежування доступу з одше1 ме-
-5
режi в iншу на рiзних рiвнях, сервiс SSH призначений для шифрованого доступу до ресуршв операцiйноï системи i т.д. Приманка Honeypot мае ве-лику перевагу над екранами i рiзними сервiсами [8]. Насамперед, це зби-рання необхiдноï iнформацiï, що часто мютить цiннi вiдомостi. Розкручу-вання та експлуатацiя «живця», тобто зловмисника, не представляють осо-бливих трудношдв. Також засоби Honeypot, як правило, не вимогливi до надмiрних системних ресурсiв, якими обмеженi бшьшють державних ло-кальних мереж.
Величезна кiлькiсть програмних продуклв, якi iснують на ринку шфо-рмацiйноï безпеки, мае розвинеш вбудованi механiзми збирання та аналiзу iнформацiï (в основному на рiвнi журналiв), що стосуються безпеки. Ме-режевий адмiнiстратор здатний вiдстежити поди в хронолопчному порядку i дiзнатися, що вiдбувалося на певнш дiлянцi мережево!' iнфраструктури в будь-який момент часу [5]. Хоча у приманщ Honeypot назбируеться ш-формацп не так вже й багато, але вона представляе велику цшнють для системного адмiнiстратора мереж^ адже саме такi вiдомостi розкривають суть спроби ïï зламування, сканування або дослщження.
Оскiльки приманка Honeypot початково призначалася для вщстежуван-ня атак i дослщжень намiрiв зловмисниюв, то вважаеться, що практично вся знята з ще1' пастки шформащя вiдображае саме ïхнi дiï. На основi отриманих даних адмiнiстратор мережi може провести 1'х аналiз, побудува-ти статистику методiв зламування системи, як використовуються хакера-
3 SSH (англ. Secure SHell — «безпечна оболонка») - мережевий протокол рiвня додатюв, який дае змогу проводити вщдалене управлiння операцiйною системою i здшснювати тунелювання TCP-з'еднань (наприклад, для передачi файлiв).
ми, а також визначити наявнють будь-яких нових ршень, що застосову-ються зловмисниками [7]. Необдумано було б шдставляти тд удар реальну дiлянку мережево! iнфраструктури — адже на основi iнформацii вiд приманки Honeypot можна оперативно внести корективи до конф^урацп, на-приклад, production-сервера.
Особливо! уваги вимагае мiсце iнсталяцii та подальша експлуатацiя приманки Honeypot [5]. Як правило, весь комплекс заходiв зводиться до «встановлення та очшування». Найбiльш поширений випадок з видшеним сервером, який знаходиться пiд контролем фахiвцiв. На сьогоднi е безлiч програм-пiдробок, якi справляють враження сьогодення, але не е такими, позаяк ix основне завдання — протоколювати весь обмш даними. Перевага Honeypot в тому, що котю програмного забезпечення можна зробити на морально застаршому сервер^ який не справляеться з типовими обчислю-вальними завданнями електронного бiзнесу.
Для того, щоб з'ясувати цiннiсть пасток, розглянемо, наприклад, шфо-рмацiйну модель безпеки Брюса Шнейера (Bruce Schneier), яка бере до уваги три рiвнi: запоб^ання, виявлення, вiдповiдь [1]. Honeypot-пастки мо-жуть бути задiянi на всix трьох рiвняx [3, 5]. Наприклад, на рiвнi запобь гання вони застосовуються при уповшьненш або повнiй зупинцi автомати-чних вторгнень. Пастки можна використовувати для виявлення неавтори-зовано! активностi, коли традицшш рiшення з областi безпеки здатш зге-нерувати величезний обсяг журнальних записiв, тодi як всього декшька з них вiдображують реальш спроби проникнення або дослiдження. О^м цього, не всi сучаснi шформацшш технологи володiють iнтелектуальними здiбностями i не завжди можуть iдентифiкувати дос не знайомi атаки. Приманка Honeypot з усшхом вирiшуе такi проблеми, позаяк через малий обсяг корисно! iнформацii, що генеруеться, можна легко упевнитися в тому, що мае мюце атака чи дослщження. Пастки використовуються i для ре-акцп спроби зловмисника вторгнутися в мережеву шфраструктуру [8]. Як-що зловмисник проник у мережу i одна з атакованих систем виявилася па-сткою, корисна iнформацiя, отримана вiд ще! пастки, використовуеться для вiдповiдi на атаку.
Описан вище переваги можуть викликати у ламера4 iлюзiю, шби Honeypot — iдеальний засiб для забезпечення максимально! безпеки. Шкода, але через деяк недолжи приманка Honeypot може тшьки слугувати до-повненням до наявного комплексу засобiв захисту мережево! шфраструк-тури [5]. Насамперед потрiбно вiдзначити вузьку спрямованють конкретно! пастки, також iснуе ймовiрнiсть виявлення Honeypot та небезпеки повного и знищення. Ця приманка потенцшно не здатна охопити всi проблеми ш-
4 Ламер — на комп'ютерному сленгу так називають людину, яка погано володie комп'ютером, нездатного або принципово не ба-жае добре освогги роботу за комп'ютером. Для програмю™ — образливе слово. Часто цей термш використовуеться для протистав-лення понять «хакер» чи «комп'ютерний гуру». Замiсть слова «ламер» часто вживають слово «чайника» в значенш «недосвiдчена людина».
формацшно1' безпеки, тому доводиться або дослщжувати рiвень безпеки окремо взятого фрагмента шфраструктури мереж^ або застосовувати декь лька приманок (див. рис.).
Також не можна вилучити ризик усвщомлення зловмисниками того, що перед ними не реальний обсяг шформацп, а тшьки шдставна пастка [3]. Найчастiше це вщбуваеться через неправильнi або недостатньо ретельш налаштування пастки, тобто здебшьшого винен людський чинник. Наприклад, приманки Honeypot спочатку замасковували шд сервер доменних iмен (DNS), що працюе пiд управлiнням ОС Sun Solaris. Якщо сервер з будь-яких причин почав працювати пiд ОС Linux, то можна не сумшвати-ся — зловмисник затдозрить пастку. Ще одна типова проблема — актив-нiсть роботи сервера: якщо це не реальний комп'ютер, то найчастше вiн не проявлятиме жодно1' активностi (знаходячись в пасивному режимi очжу-вання зламування) i не генерували постiйно мережевий трафiк, що вщразу ж виявить зловмисник.
О^м практичного застосування приманки Honeypot, описано1' вище, не менш важливий шший бiк питання — дослiдницький напрямок [8]. Шкода, проте одна з найбшьш актуальних проблем фахiвцiв з шформацш-но1' безпеки полягае у вщсутност достовiрноï iнформацiï про цей напрям дiяльностi. Адже за допомогою декiлькох машин з рiзним програмним за-безпеченням можна значно бшьше дiзнатися про дiï хакера, шж при вико-ристаннi однiеï пастки.
Висновки: 1) З'ясовано, що приманка Honeypot — гнучка шформацшна технолопя, яку можна застосовувати у багатьох ситуащях. Як зашб забез-печення безпеки, Honeypot-пастки мають здатнiсть ефективно працювати в мережi iнфраструктури, збираючи невелику кшьюсть даних, проте значна 1'х частина мае чимале значення для власниюв мережi. Також Honeypot-приманки можуть ефективно працювати в штенсивному середовищi, не вимагаючи при цьому великих витрат на розгортання та експлуатащю.
2. Виявлено, що основними недолшами Honeypot-пастки е те, що вона значно звужуе область бачення проблем. Якщо приманка Honeypot не атакована, то вона не мае шякого значення. Деяк Honeypot-пастки тддаються рiзким методам розкриття зловмисниками i можуть бути виявлеш або, що-найпрше, використаш для проникнення в iншi системи.
3. Встановлено, що приманки Honeypot можуть застосовуватися як у виробничш сфер^ виконуючи функцп попередження, виявлення та реакцп на д^' зловмисника, так i бути частиною дослщження щодо виявленню но-вих методiв, засобiв i мотивацiй зловмисникiв.
Лггература
1. Гайворонський М. В. Безпека шформацшно-комушкацшних систем / М. В. Грай-воронський, О. М. Новшов — К. : Вид. група BHV, 2009. — 608 c.
2. Закон Украши «Про захист шформацп в шформацшно-телекомушкацшних системах» вщ 05.07.1994 р., № 80/94, редакщя в1д 30.04.2009 р. [Електронний ресурс]. — Режим доступа: http://zakon4.rada. gov.ua/l aws/show/80/94-вр
3. Михеев Д. Приманка для мух: технологии Honeypot / Д. Михеев. [Электронный ресурс]. — Режим доступа: http://www.itsec.ru/articles2/Oborandteh/priman ka dlya muh
4. Обнаружение и противодействие honeypots: системные вопросы [Электронный ресурс]. — Режим доступа: http://www.nestor.minsk.by/sr/2005/05/sr50516.html
5. Патий Е. Honeypot: приманка для злоумышленника / Е. Патий. [Электронный ресурс]. — Доступный с http://citcity.ru/15560/
6. Хакеры взломали iPhone за 20 секунд [Электронный ресурс]. — Режим доступа: http://www.segodnya.ua/science/khakery-vzlomali-iphone-za-20-cekund.html
7. Хто таю ха^ри i що вони собою представляють [Електронний ресурс]. — Режим доступа: http://http://hakyr.blog.net.ua/
8. Honeypot — приманка для нарушителя [Электронный ресурс]. — Режим доступа: http://cybern.ru/honeypot.html
References
1. Haivoronskyi M. V., Novikov O. M. (2009) Bezpeka informatsiino-komunikatsiinykh system [Security Information and Communication Systems]. Kyiv, BHV Publ., 608 p.
2. Zakon Ukrainy "Pro zakhyst informatsii v informatsiino-telekomunikatsiinykh systemakh" [The Law of Ukraine "Data Protection in the information and telecommunication systems"]. Available at: http://zakon4.rada.gov.ua/laws/show/80/94-вр (Accessed 01 Dec 2013)
3. Mikheyev D. Bait for the flies: Honeypot technology. Available at: http://www.itsec.ru/articles2/Oborandteh/priman ka_dlya_muh (Accessed 01 Dec 2013)
4. Detection and counteraction honeypots: System Aspect. Available at: http://www.nestor.minsk.by/sr/2005/05/sr50516.html (Accessed 01 Dec 2013)
5. Patyi E. Honeypot: bait for attackers. Available at: http://citcity.ru/15560/ (Accessed 01 Dec 2013)
6. IPhone hackers broke into the 20 seconds. Available at: http://www.segodnya.ua /science/khakery-vzlomali-iphone-za-20-cekund.html (Accessed 01 Dec 2013)
7. Who are hackers and what they represent. Available at: http://http://hakyr.blog.net.ua/ (Accessed 01 Dec 2013)
8. Honeypot - bait for the intruder. Available at: http://cybern.ru/honeypot.html (Accessed 01 Dec 2013)
Лавр1вська О. З., Грицюк Ю. I. Використання приманок для захисту мережееог тфраструктури eid посягань злоемиснише. Розглянуто особливост1 використання приманок для захисту мережевог тфраструктури eid посягань зловмиснишв, як1 сто-суються ризишв несанкцюнованого гх вторгнення в мережу: атаки на мережу, несанк-цюноване гг до^дження i т.д. З'ясовано, що приманка Honeypot — гнучка тформацт-на технологiя, яку можна застосувати для запоб^ання атак, гх виявлення та вiдповiдi на них. Як заЫб забезпечення безпеки, Honeypot-пастки мають здаттсть ефективно працювати в мережi тфраструктури, збираючи невелику кшьшсть даних, проте знач-на гх частина мае велике значення для власниюв мережi.
Ключoei слова: приманка Honeypot, тфраструктура мережi, засоби захисту т-формацгг, тформацтт атаки, тформацтт загрози.
Лавривская О. З., Грыцюк Ю. И. Использование приманок для защиты сетевой инфраструктуры от посягательств злоумышленников. Рассмотрены особенности использования приманок для защиты сетевой инфраструктуры от посягательств злоумышленников, касающиеся рисков несанкционированного их вторжения в сеть: атаки на сеть, несанкционированное ее исследование и т.д. Выяснено, что приманка Honeypot — гибкая информационная технология, которую можно применить для пре-
дотвращения атак, их выявления и ответа на них. Как средство обеспечения безопасности, Honeypot-ловушки имеют способность эффективно работать в сети инфраструктуры, собирая небольшое количество данных, однако значительная их часть имеет большое значение для владельцев сети.
Ключевые слова: приманка Honeypot, инфраструктура сети, средства защиты информации, информационные атаки, информационные угрозы.
Lavrivska O. Z., Grycyuk Yu. I. Using traps to protect network infrastructure from intruders' attacks. The article deals with the peculiarities of using traps to protect network infrastructure from intruders' attacks concerning the risks of unauthorized intrusion to a network: attacks on a network, its unauthorized research, etc. It has been clarified that Honeypot trap is flexible information technology, which can be applied to prevent attacks, their detection and answer to them. As a means of protection Honeypot-traps have ability to work effectively in the infrastructure network collecting small amount of data. However, they are of considerable importance for the owners of network.
Keywords: Honeypot trap, network infrastructure, means of information protection, information attacks, information threats.
