Бұл жұмыста «Honeypot бағдарламалық жасақтамасы негізінде ақпараттық қауіпсіздігінің инциденттерін зерттеу» тақырыбы қарастырылған. Желінің қауіпсіздігі туралы алаңдағанда, сіздің желіңізді рұқсатсыз кіруден қорғаудың көптеген жолдары бар. Ықтимал қолайсыз желілік проблемаларды анықтаудың жаңа әдістері табылды. Ең көп таралған тәсіл — осалдықты бағалау. Бұл сіздің ықтимал шабуылдарға осал екеніңізді білдіреді. Жүйенің осалдығын бағалау оларға зақымданудан және дамудан қорғаудың жаңа қауіптерін анықтауға мүмкіндік береді. Іске асырудың практикалық мысалында өзара әрекеттесудің төмен деңгейімен іске асыруда қажет көптеген шешімдер қарастырылады және шабуылдарды анықтау арқылы желіні қорғауға болатын жаңа механизмдерді анықтайды.
Ключевые слова: ақпараттық қауіпсіздік, шабуыл, ботнет, honeypot.
В данной работе рассматривается тема «Расследование инцидента информационной безопасности на основе программного обеспечения Honeypot». Существует множество способов защитить вашу сеть от несанкционированного доступа, когда вас беспокоит безопасность сети. Были обнаружены новые методы для выявления потенциально неудобных сетевых проблем. Наиболее распространенный подход — оценить уязвимость. Это означает, что вы уязвимы для потенциальных атак. Эта оценка уязвимости системы позволяет им выявлять новые угрозы для защиты системы от ущерба и развития. В практическом примере реализации рассматриваются многие решения, необходимые при разработке, реализации honeypot с низким уровнем взаимодействия и определяет новые механизмы, которые могут использоваться для защиты сети путем обнаружения атак.
Ключевые слова: информационная безопасность, взлом, атака, ботнет, honeypot.
Бұл тарауда біз «honeypot» деген не және оның мақсаты туралы түсіндіреміз. Біз сондай-ақ оның тарихын ұсынамыз және оның артықшылықтары мен кемшіліктерін көреміз.
Бәрінен бұрын, honeypot — бұл компьютерлік жүйе. Онда нақты компьютер сияқты файлдар, каталогтар бар. Дегенмен, компьютердің мақсаты — бұзақыларды бақылауға және олардың мінез-құлқын бақылауға тарту. Сондықтан біз оны нақты жүйеге ұқсайтын жалған жүйе ретінде анықтай аламыз. Олар басқа қауіпсіздік жүйелерінен ерекшеленеді, өйткені олар белгілі бір мәселені шешудің бір жолын таба алмай қана қоймайды, сонымен қатар әр түрлі қауіпсіздік мәселелерін қолдануға және оларға бірнеше тәсілдерді іздеуге құқылы. Мысалы, зиянды әрекеттерді бұзылған жүйеде тіркеу үшін пайдалануға болады, оларды пайдаланушылар үшін жаңа қатерлерді үйрену және сол проблемалардан қалай құтылуға болатындығы туралы ойларды құру үшін пайдалануға болады.
Honeypot — ты қолдану және зерттеу көбінесе әскери, ғылыми және үкіметтік ұйымдар пайдаланады. Олар көптеген ақпарат жинап жатыр. Олардың мақсаты жаңа қауіп-қатерлерді анықтау және Blackhat мотивтері мен әдістері туралы көбірек білу. Мақсаты — жүйені қалай қорғауға болатындығын білу, олар ұйымның қауіпсіздігіне тікелей мән бермейді.
Honeypot-тар өндірістік компанияны шабуылдардан қорғау үшін қолданылады, олар жалпы қауіпсіздікті жақсарту үшін өндірістік желі ішінде жүзеге асырылады. Олар шектеулі ақпараттарды жинайды, көбінесе төмен өзара әрекеттесетін honeypot-тар қолданылады. Осылайша, қауіпсіздік әкімшісі хакердің қимылдарын мұқият қадағалап, компанияға келуі мүмкін қауіптерді азайтуға тырысады. Осы кезде біз өндірістік honeypot-тарды пайдалану қаупін талқылауға және білуге тырысамыз. Себебі ұйымдағы жүйелердің қауіпсіздігін тексеру кезінде күтпеген әрекеттер орын алуы мүмкін, мысалы, басқа жүйелерді теріс пайдалану сияқты. Егер желі әкімшісі бұл мәселені білмесе, олар ұйымды үлкен қиыншылыққа душар етеді.
Алдын алу — қауіпсіздік моделінде қарастырылатын бірінші нәрсе. Анықтама ретінде бұл хакерлердің жүйені бұзуына жол бермеу дегенді білдіреді. Сондықтан біз олардың жүйеге кіруіне жол бермеуге тырысамыз. Мұны қауіпсіздікте жасаудың көптеген жолдары бар. Желілік трафикті басқару үшін брандмауэрді пайдалануға және бұғаттауға немесе рұқсат етуге қатысты ережелер қоюға болады. Аутентификация әдістерін, сандық куәліктерді немесе күшті парольдерді пайдалану қауіпсіздіктің алдын-алудың ең танымал және танымал 4 әдісі болып табылады. Деректерді шифрлайтын шифрлау алгоритмдері де бар. Бұл оны қолданудың жақсы тәсілі, өйткені ол хабарламаларды шифрлайды және оларды оқуға мүмкіндік бермейді. Алдын алу мен балапанды пайдалану арасындағы байланысты келесідей түсіндіруге болады. Егер хакер бұзақылар жасайтын компанияны түсінсе және олар бүгінгі қауіпсіздік мәселелерін білсе, бұл туралы ойлануға мәжбүр етеді. Бұл хакер үшін шатастыратын және қорқынышты болады. Егер компания бірінші абзацта талқылаған әдістерді қауіпсіздікті сақтау үшін қолданса да, ұйымда қауіпсіздікті сақтау жақсы, өйткені қауіпсіздік мәселелері кәсіби деңгейде шешіледі. Қауіпсіздік өте маңызды болғандықтан, әрқашан саналы болу жақсы. Мәселе туындаған кезде төзімділік болмайды, ол кез-келген компанияға көп зиян келтіруі мүмкін. Әр компанияда жеке және маңызды мәліметтер болғандықтан, деректерді зиянкестерден қорғау қажет [1, 25 б.].
Анықтау — бұл жүйеде кез-келген зиянды әрекетті анықтау актісі. Біз алдын-алу осылай істемеді деп ойлаймыз, хакер жүйені бұзды. Бұл шабуылдарды анықтаудың бірнеше әдістері бар. Белгілі детективті шешім желіні басып кіруді анықтау жүйелері болып табылады. Бұл технология пайдаланушыларға желінің бұзылғандығын білуге көмектеседі, бірақ бұл хакерлердің жүйеге шабуылын болдырмайды. Компаниялар үшін мұндай анықтау жүйелері қымбатқа түседі. Осы сәтте бал құмыралары белсенділікті бақылау үшін өте маңызды. Шнайер моделінің соңғы құрамдас бөлігі жауап болып табылады. Бұл кезеңде бізге шабуыл жасалғанына сенімдіміз және оған жауап қайтарамыз. Біздің сот-медициналық тергеу басталады. Хакер жүйені бұзған кезде ізін қалдырады. Тиісті құралдардың көмегімен біз жүйеде не болғандығы туралы бірнеше мәлімет ала алатындай етіп деректерді өңдей аламыз. Журнал файлдарын қарап, не болғанын тексеруге болады. Сот-медициналық құрал-жабдықтар туралы және одан құнды ақпаратты қалай алуға болатындығы туралы кейінірек талқыланады.
Нарықта көптеген қауіпсіздік шешімдері бар. Интернет арқылы кез-келген адам кез-келген таңдауды қарап, олардың қажеттіліктеріне сәйкес келетін шешімді таба алады. Мокубе И. және Адамс М. сәйкес honeypot таңдауымыз керек болуының себептері мынада: honeypot-тар шабуылдарды түсіріп, шабуыл түрі туралы ақпарат бере алады және қажет болған жағдайда журналдардың арқасында қосымша ақпаратты көруге болады. Жаңа шабуылдарды көруге болады және оларға қарау арқылы жаңа қауіпсіздік шешімдерін жасауға болады. Қосымша тексерулерді зиянды мінез-құлық түріне қарап алуға болады. Бұл мүмкін болатын шабуылдарды түсінуге көмектеседі. Ақпарат жинау тұрғысынан honeypot-тар үлкен емес. Олар тек кіретін зиянды трафикпен айналысады. Сондықтан ұсталған ақпарат бүкіл трафикпен бірдей емес. Тек зиянды трафикке назар аудару тергеуді әлдеқайда жеңілдетеді. Сондықтан, бұл бал құмыраларын өте пайдалы етеді. Жалғыз зиянды трафик үшін үлкен деректерді сақтаудың қажеті жоқ. Техникалық қызмет көрсету үшін қажет емес. Кез-келген компьютерді балет жүйесі ретінде пайдалануға болады. Осылайша, мұндай жүйені құру үшін қосымша бюджет шығындалмайды. Оларды түсіну, конфигурациялау және орнату қарапайым. Оларда күрделі алгоритмдер жоқ. Кейбір нәрсені жаңартудың немесе өзгертудің қажеті жоқ. Бал құмыралары зиянды нәрсенің бәрін түсіре алатындықтан, ол шабуылдарды анықтайтын жаңа құралдарды да ала алады. Бұл әр түрлі көзқарастарды табуға және оларды біздің қауіпсіздік шешімдерімізде қолдануға болатындығын дәлелдейтін тақырыптың тереңдігі мен тереңдігін береді.
Honeypot-ды қолданудың бірнеше маңызды артықшылықтары болғандықтан, олардың кемшіліктері де бар. Біз зерттеулерін жалғастырып жатырмыз: Біз хакерлер жүйеге белсенді шабуыл жасаған кезде ғана деректерді жинай аламыз. Егер ол жүйеге шабуыл жасамаса, ақпарат жинау мүмкін емес. Егер басқа жүйеде шабуыл болса, біздің балта оны анықтай алмайды. Сонымен, біздің балта жүйесіне қарсы емес шабуылдар басқа жүйелерге зиян келтіруі және үлкен проблемалар тудыруы мүмкін. Бал қайнатқыштарының саусақ іздерінде кемшілігі бар. Тәжірибелі хакердің ол балапан жүйесіне немесе нақты жүйеге шабуыл жасап жатқандығын түсіну оңай. Саусақ ізі осы екеуін ажыратуға мүмкіндік береді. Бұл біздің эксперименттің қажет емес нәтижесі. Бал торы зомби ретінде басқа жүйелерге қол жеткізу және оларды бұзу үшін қолданылуы мүмкін. Бұл өте қауіпті болуы мүмкін. Біз бал құмыраларын мақсатына қарай жіктегендіктен, енді өзара әрекеттесу деңгейлері туралы толығырақ қарастыратын кез келді. Өзара әрекеттестік деңгейі хакердің жүйемен қаншалықты әрекеттесе алатындығын білдіреді. Біз жинағымыз келетін мәліметтердің көбірек мөлшері өзара әрекеттесудің көбірек деңгейін талап етеді. Өзара әрекеттесудің көбірек деңгейі желінің қауіпсіздігіне үлкен қауіптер туғызады. Эксперименттің қажеттіліктері мен мақсаттарын ескере отырып, бал құмыраларында өзара әрекеттесудің үш категориясы бар. Олар төмен әсерлесу, орташа әсерлесу және жоғары өзара әрекеттесу деп аталады. Төмен тіркелу құқығын пайдалану құқығын табыстау және басқа жүйелер туралы ақпарат. Оларға ауыр тиюге болмайды, ауыр зардаптарды жоюға болмайды. Куәлік, жұмыс және операциялық жүйе жоқ. Оларды жаңа құрттарды немесе вирустарды анықтау және желі арқылы байланыстыру үшін нәтижелер. Өзара әрекеттесу деңгейінің байланысын конфигурация мен түсінуге оңай. Біздің осы диссертацияда осы категорияның логикасын түсіну, олардың жұмыс жасауын қамтамасыз ету. Біздің үйдегі эксперимент — бұл сіздің қарым-қатынасыңыздың өзара байланысы және өзара қарым-қатынас. 2007 жылдың соңғы нұсқасы (1.5c) 2007 жылы жарияланды, мамырда. Honeyd 1.5c егжей-тегжей практикалық қолданылуы туралы түсіндіріледі [2,128 б.]. Мұғалімдердің құмарлығы және достық қарым-қатынасы. Мүмкін, операциялық жүйе жоқ. Бұл туралы ақпарат ақпараттармен және олардың көмегімен байланысты ақпаратпен қамтамасыз етіледі. Ол жетілдірілген, хакерлер жүйелеріне кіреді, күндізгі қауіпсіздік мәліметтері көп. Mwcollect, балтраппа және нефентес — жаңа, жоғары деңгейдегі еңбек адамдарының бал құмыралары. Орташа әсерлесетін құмыра аз әсер ететін бал құмыраларына қарағанда дамыған. Дегенмен, операциялық жүйе жоқ. Бірақ бұл жолы хакерден көбірек ақпарат пен күрделі шабуылдарды алуға болады. Ол жетілдірілгендіктен, хакерлер жүйеге кіре алатындай қауіпсіздік тесіктері көп. Mwcollect, honeytrap және Nepenthes — қазіргі кезде қолданылатын орта әсерлесетін бал құмыралары. Жоғары әсерлесетін құмыралар — бұл ең дамыған бал құмыралары. Төмен әрекеттесу мен орташа әсер ететін бал құмыраларына қарағанда, операциялық жүйе бар. Осының салдарынан хакер кез келген нәрсені жасай алады. Пропорционалды түрде, хакерлердің әрекеттерінен көбірек деректер алуға болады. Алайда, бұл қауіпсіздікке қатысты ең қауіпті, өйткені хакерге ешқандай шектеулер жоқ. Мұндай құмыралар өте көп уақытты алады және оларды күту қиын. Honeywall — жоғары өзара әрекеттесетін бал кортының жақсы мысалы. Біз барлық осындай бал құмыраларын қамтыған қауіпсіздік мәселелеріне қайта ораламыз және қауіпсіздік мәселелерін талқылаймыз және айтамыз және зертханалық жұмыстың арқасында қауіпсіздікті жақсарту туралы бірнеше идеяларды ұсынамыз.
Бұл бөлімде біз сымсыз балдырлар болып табылатын балдырлардың басқа түрлерін қарастырдық. Сымсыз құмыраларды орналастырудың мақсаты — сымсыз аймақтағы жүйенің мінез-құлқын бақылау және белгілі бір ақпарат пен статистика алу. IEEE 802.11 технологиясы қамтылған, сонымен қатар bluetooth сияқты басқа технологиялар да мүмкін. Бұл Wi-Fi құрылымын кейбір қол жеткізу нүктелерімен, сымды желілермен және шабуылға ашық кейбір компьютерлермен алуға болады [3]. Wi-Fi ұялары рұқсат етілмеген трафикті түсіру үшін пайдаланылады және сымсыз желілерді бұзуға тырысқан күзетші мен хакерлерді табу мүмкін болған жағдайда сұрақтарға жауап беруге тырысады.
Honeyspot — испандық Honeynet Project қолдауымен танымал сымсыз балдақ жобасы. Бұл термин балдақ пен ыстық нүктеден шыққан. Негізінен, бал нүктесі хакерді және оның сымсыз желіге жасаған шабуылдарын бақылау үшін жасалды. Осылайша, бал дақтары арқылы өтетін трафик зиянды болып саналады. Алайда, кез-келген басқа құрылымдар сияқты, кәсіби хакерлер оның нақты жүйе емес екенін түсінуі мүмкін. Сонымен, бал дақтары жақсы нәтижеге қол жеткізу үшін мүмкіндігінше нақты көрінуі керек. Honeyspot командасы шабуыл түрін, бұзушылардың идеяларын, құралдарын, логикасын және оның тәсілдерін білгісі келеді. IP-мекен-жайын бұзу, веб-сессияны бұзу, MAC мекен-жайын бұзу арқылы анықтауға болады. Ол сонымен бірге сымсыз клиенттерді бұзудың арнайы тәсілдеріне жауап бере алады. Осы ақпараттың арқасында неғұрлым қауіпсіз жүйелерді жасауға болады.
Әдебиет:
- Майкл Саттон(Michael Sutton). Hacking Exposed Malware _ Rootkits. –Учебник, 2014.– 356с.
- Steven Adair. Tools and Techniques for Fighting Malicious Code. –Canada, 2014.–128 с.
- Алексей Милосердев. Testing on accession with Kali Linux.–Учебник, 2015.–255 с.
- Zadeh L. A. Fuzzy Sets as a basis for a theory of possibility // Fuzzy Sets and Systems. 2014. N 1. P. 3–28
- Pytyev Yu.P. Uncertain Fuzzy Sets. Theory and Applications // Pattern Recognition and Image Analysis. 2015. 5. N 1. P. 13–34
- Джеимс К. Ф., Принятие решений на основе нечетких моделей. Примеры использования. Рига: Зинантне. — 1990. -184 с.
- Заде Л. Понятие лингвистической переменной и его применение к принятию приближенных решений. М.: Мир, 1976. 166c.