Honeyd-це невеликий Демон, що створює віртуальні хости в мережі, які можуть бути налаштовані для запуску довільних завдань в певних операційних системах. Honeyd дозволяє окремому хосту отримувати декілька адрес по локальній мережі для мережевої імітації, а також підвищує інформаційну безпеку, надаючи механізми для виявлення та оцінки загроз, стримує супротивників, приховуючи реальні системи в середині віртуальних систем.

Honeyd отримав свою назву завдяки здатності бути використаним як приманка Honeypot.

Механізми діїРедагувати

Основною метою використання Honeyd є виявлення неавторизованої діяльності всередині локальної мережі організації. Honeyd спостерігає за всіма невживаними IP-адресами, при цьому будь-яка спроба під'єднання до такого IP-адресу розглядається як неавторизована або зловмисна активність. Тому, коли відбувається спроба підключення до одного з них, Honeyd автоматично визначає приналежність невживаної IP-адреси, і починає досліджувати зломщика.

Цей підхід до виявлення має кілька переваг порівняно з традиційними методами:

  1. Honeyd легко встановлювати і обслуговувати;
  2. Honeyd виявляє не тільки відомі атаки, але також невідомі;
  3. Honeyd видає сигнал тривоги тільки в разі реальної атаки, ймовірність помилкового сигналу зведена до мінімуму.

Honeyd також надає і таку можливість Нoneypot як емулювання операційної системи на рівні ядра. Внаслідок того, що зломщики часто віддалено визначають тип операційної системи, використовуючи такі утиліти, як Nmap або Xprobe, а Honeyd використовує базу відбитків утиліти Nmap, то можлива і підробка відповідей будь-якої операційної системи, яку необхідно емулювати. Ця здатність Honeyd використовується для дослідження спроб злому систем.

Підсистема віртуалізаціїРедагувати

Honeyd підтримує задачі віртуалізації, виконуючи додатки Unix як підсистем віртуального простору IP-адрес у вже налагодженій пастці Honeypot. Це дозволяє будь-якому мережному додатку динамічно пов'язувати порти, створювати TCP і UDP з'єднання, використовуючи віртуальну IP-адресу. Підсистеми перехоплюють мережеві запити і перенаправляють їх в Honeyd. Додатковою перевагою такого підходу є можливість розстановки приманок для створення фонового трафіку, наприклад, запит веб-сторінок і читання електронної пошти і т.і.

WinHoneydРедагувати

WinHoneyd заснована на Honeyd версії для Unix/Linux Platform, розробленої Niels Provos. WinHoneyd здатна моделювати великі мережеві структури з різними операційними системами на одному хості.

ДжерелаРедагувати

  • Галатенко В.А. Стандарти інформаційної безпеки. - М .: Інтернет-університет інформаційних технологій, 2006. — 264 с.
  • Щербаков А.Ю. Сучасна комп'ютерна безпека. Теоретичні основи. Практичні аспекти. - М: Книжковий світ, 2009. — 352 с.
  • Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.

ПосиланняРедагувати