Honeyd
Honeyd — это небольшой демон, создающий виртуальные хосты в сети, которые могут быть настроены для запуска произвольных задач в определённых операционных системах. Honeyd позволяет отдельному хосту получать несколько адресов по локальной сети для сетевой имитации, а также повышает информационную безопасность, предоставляя механизмы для выявления и оценки угроз, сдерживает противников, скрывая реальные системы в середине виртуальных систем.
Honeyd получил своё название благодаря способности быть использованным в качестве приманки Honeypot.
Механизмы действия[править | править код]
Основной целью использования Honeyd является обнаружение неавторизованной деятельности внутри локальной сети организации. Honeyd наблюдает за всеми неиспользуемыми IP-адресами, при этом любая попытка подсоединения к такому IP-адресу рассматривается как неавторизованная или злонамеренная активность. Поэтому, когда происходит попытка подключения к одному из них, Honeyd автоматически определяет принадлежность неиспользуемого IP-адреса, и начинает исследовать взломщика.
Этот подход к обнаружению имеет несколько преимуществ по сравнению с традиционными методами:
- Honeyd легко устанавливать и обслуживать;
- Honeyd обнаруживает не только известные атаки, но также неизвестные;
- Honeyd выдает сигнал тревоги только в случае реальной атаки, вероятность ложного сигнала сведена к минимуму.
Honeyd также предоставляет и такую возможность Honeypot как эмулирование операционной системы на уровне ядра. Вследствие того, что взломщики часто удаленно определяют тип операционной системы, используя такие утилиты, как Nmap или Xprobe, а Honeyd использует базу отпечатков утилиты Nmap, то возможна и подделка ответов любой операционной системы, которую необходимо эмулировать. Эта способность Honeyd используется для исследования попыток взлома систем.
Подсистема виртуализации[править | править код]
Honeyd поддерживает задачи виртуализации, выполняя приложения Unix как подсистем виртуального пространства IP-адресов в уже настроенной ловушке Honeypot. Это позволяет любому сетевому приложению динамически связывать порты, создавать TCP и UDP соединения, используя виртуальный IP-адрес. Подсистемы перехватывают сетевые запросы и перенаправляют их в Honeyd. Дополнительным преимуществом такого подхода является возможность расстановки приманок для создания фонового трафика, например, запрашивание веб-страниц и чтение электронной почты и т. д.
WinHoneyd[править | править код]
WinHoneyd основана на Honeyd версии для Unix / Linux Platform, разработанной Niels Provos. WinHoneyd способна моделировать большие сетевые структуры с различными операционными системами на одном хосте.
Литература[править | править код]
- Галатенко В.А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с.
- Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
- Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.
Ссылки[править | править код]
- Developments of the Honeyd Virtual Honeypot (англ.). netVigilance. Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.
- Разумов М. Установка honeypot на примере OpenSource Honeyd. Сетевые решения. Дата обращения: 13 марта 2010.
- WinHoneyd (англ.). Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.