Tải bản đầy đủ - 0 (trang)
CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT

CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT

Tải bản đầy đủ - 0trang

- BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu hình và

có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác được

với một số dịch vụ đơn giản như FTP, Telnet, SMTP…

- Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt

hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống BOF thì

specter bị giới hạn số dịch vụ và cũng không linh hoạt.

- Honeyd:

o Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng

được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn cơng, tương tác

với kẻ tấn cơng với vai trò một hệ thống nạn nhân.

o Honeyd có thể mơ phỏng cùng một lúc nhiều hệ điều hành khác nhau.

o Hiện nay, Honeyd có nhiều phiên bản và có thể mơ phỏng được khoảng 473



hệ



điều hành.

o Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd

có nhược điểm là không thể cung cấp một hệ điều hành thật để tương tác với tin

tặc và khơng có cơ chế cảnh báo khi phát hiện hệ thống bịxâm nhập hay gặp nguy

hiểm.



3.3. HONEYNET

3.3.1. Khái niệm

- Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet

là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường.Honeynet cung cấp

các hệ thống, ứng dụng, các dịch vụ thật.

- Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là

gateway ở giữa honeypots và mạng bên ngồi.Nó hoạt động ở tầng 2 như là Bridged.Các

luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.



Hình 3.2 - Honeywall

3.3.2. Chức năng

- Điều khiển được luồng dữ liệu

o Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động.

o Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngồi thì sẽ bị hạn

chế.



Hình 3.2 - Minh họa luồng dữ liệu

- Thu nhận dữ liệu: Là quá trình thu nhận những sự kiện xảy ra trong hệ thống, nó có

thể là do attacker hay các đoạn mã độc hại gây ra. Mục đích của thu thập dữ liệu đó là ghi



nhận tồn bộ những sự kiện diễn ra trong hệ thống. Làm cơ sở cho q trình phân tích dữ

liệu sau này.

- Phân tích dữ liệu: Là q trình phân tích các sự kiện diễn ra trong hệ thống sau khi

thu thập. Mục đích của việc phân tích dữ liệu là nắm được những gì xảy ra trong hệ

thống.Với những tấn cơng cụ thể ta có thể thấy rõ được quy trình tấn cơng, cơng cụ tấn cơng

và mục đích của cuộc tấn cơng.

- Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Chỉ áp dụng cho các tổ

chức có nhiều honeynets.Đa số các tổ chức chỉ có một honeynet.

3.3.3. Khả năng an tồn và các rủi ro

Honeynet có thể là một cơng cụ rất mạng, chúng ta có thể thu thập thông tin rộng rãi

trên nhiều mối đe dọa. Để thu được những thơng tin đó, bạn phải cho phép attacker và

những chương trình mã độc hại có quyền sử dụng hệ thống, thực thi những hành động của

nó, chính điều này sẽ làm cho hệ thống có thể gặp nhiều rủi ro. Các rủi ro này là khác nhau

đối với mỗi tổ chức khác nhau, mỗi tổ chức phải xác định được rủi ro quan trọng mà mình

có thể bị. Có thể có các loại rủi ro sau:

- Gây thiệt hại cho hệ thống khác

- Rủi ro khi hệ thống bị phát hiện

- Rủi ro khi hệ thống bị vơ hiệu hóa

- Các rủi ro khác

Để giảm thiểu các rủi ro chúng ta phải thực hiện việc giám sát và duy trì hệ thống

theo thời gian thực, khơng được sử dụng các công cụ tự động. Khi triển khai hệ thống chúng

ta phải thay đổi những cấu hình mặc định của hệ thống, do các công nghệ honeypot bao

gồm cả honeywall đều là mã nguồn mở, mọi người đều có thể tiếp xúc với mã nguồn của

nó, trong đó có cả những hacker.

3.3.4. Đánh giá so sánh mức độ an tồn

Trong vơ số các biện pháp ngăn chặn tin tặc đột nhập vào hệ thống thì "Honeypot"

(tạm gọi là mắt ong) và "Honeynet" (tạm gọi là tổ ong) được coi là một trong nhữngcamj

bẫy được kế với mục đích này.

Với hệ thống honeynet, ta có thể xây dựng được một hệ thống mạng với chi phí rẻ,

nhưng hiệu quả trong việc bảo vệ mạng máy tính, bảo vệ an tồn thơng tin trong mạng



Chương 4 : Cơng cụ dò tìm xâm nhập IDS và Honeypot

4.1. Snort

4.1.1. Khái niệm

Snort là một hệ thống nguồn mở dùng để phát hiện xâm nhập, có thể thực hiện phân

tích gói tin trên mạng IP trong thời gian thực.

Nó có thể phân tích các giao thức và các nội dung đang tìm kiếm hay đang xem và

được sử dụng để phát hiện một loạt các cuộc tấn cơng và thăm dò chẳng hạn như tràn bộ

đệm, quét những cổng ẩn, tấn công CGI, thăm dò SMB và dấu vân OS.

Nó sử dụng ngơn ngữ một cách linh hoạt để mô tả việc truyền thông, nó có thể thu

thập hoặc vượt qua, cũng như một công cụ phát hiện bằng cách lợi dụng kiến trúc mô dun

plug-in.

4.1.2. Kiến trúc của Snort

Snort bao gồm nhiều thành phần, mỗi phần có một chức năng riêng biệt





Module giải mã gói tin







Module tiền xử lý







Module phát hiện







Module log và cảnh báo







Module kết xuất thông tin



Kiến trúc của Snort được thể hiện qua mơ hình sau:



Hình 4.1- Hình kiến trúc Snort



4.1.2.1. Module giải mã gói tin

Snort chỉ sử dụng thư viện pcap để bắt mọi gói tin trên mạng lưu thơng qua hệ thống.

Một gói tin khi được giải mã sẽ được đưa tiêp vào modul tiền xử lý. Nhiệm vụ chủ yếu

của hệ thống này là phân tích gói dữ liệu thô bắt được trên mạng và phục hồi thành gói dữ

liệu hồn chỉnh ở lớp application, làm input cho hệ thống detection engine.

Q trình phục hồi gói dữ liệu được tiến hành từ lớp Datalink cho tới lớp Application

theo thứ tự của Protocol Stack.

4.1.2.2. Module tiền xử lý

Module này rất quan trọng đối với bất kỳ hệ thống nào để có thể chuẩn bị gói dữ liệu

đưa vào cho Module phát hiện phân tích. 3 nhiệm vụ chính:





Kết hợp lại các gói tin: Khi một dữ liệu lớn được gửi đi, thơng tin sẽ khơng đóng gói

tồn bộ vào một gói tin mà thực hiện phân mảnh, chia thành nhiều gói tin rồi mới gửi

đi. Khi Snort nhận được các gói tin này, nó phải thực hiện kết nối lại để có gói tin

ban đầu. Module tiền xử lý giúp Snort có thể hiểu được các phiên làm việc khác

nhau.







Giải mã và chuẩn hóa giao thức (decode/normalize): cơng việc phát hiện xâm nhập

dựa trên dấu hiệu nhận dạng nhiều khi thất bại khi kiểm tra các giao thức có dữ liệu

có thể được biểu diễn dưới nhiều dạng khác nhau. Ví dụ: một Web server có thể nhận

nhiều dạng URL: URL viết dưới dạng hexa/unicode hay URL chấp nhận dấu / hay .

Nếu Snort chỉ thực hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ

xảy ra tình trạng bỏ sót hành vi xâm nhập. Do vậy, 1 số Module tiền xử lý của Snort

phải có nhiệm vụ giải mã và chỉnh sửa, sắp xếp lại các thông tin đầu vào.







Phát hiện các xâm nhập bất thường (nonrule/anormal): các plugin dạng này thường

để xử lý với các xâm nhập khơng thể hoặc rất khó phát hiện bằng các luật thông

thường. Phiển bản hiện tại của Snort có đi kèm 2 plugin giúp phát hiện xâm nhập bất

thường đó là portscan và bo (backoffice). Portscan dùng để đưa ra cảnh báo khi kẻ

tấn công thực hiện quét cổng để tìm lỗ hổng. Bo dùng để đưa ra cảnh báo khi hệ

thống nhiễm trojan backoffice.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 3: GIỚI THIỆU TỔNG QUAN VỀ HONEYPOT

Tải bản đầy đủ ngay(0 tr)

×