Page 24

Nr. 1 - 26 Ianuarie 2009

22 F

O

C

U

S

Tehnologia „honeypot” de Florin Iliescu, CISA

istemele „honeypot” sunt resurse informatice care imită sisteme reale, dar în realitate nu au valoare pentru organizaţie. Asupra unor asfel de sistem nu ar trebui să existe nici un fel de activitate, neavând o funcţie productivă, decât dacă cineva neautorizat încearcă să penetreze sistemele reale. Pentru această capacitate de a surprinde acţiuni de atac reale, tehnologia de tip „honeypot” a fost alăturată mecanismelor tradiţionale de securitate: antivirus, firewall, IDS/IPS.

S

fie detectabil. Chiar dacă este

Relevanţa.

Majoritatea

identificat, el poate avea un

atacurilor, mai ales cele veni-

rol în infrastructura de securi-

te din exterior prin Internet

tate, semnalând atacul asupra

sunt efectuate prin instrumente

reţelei interne prin acţionarea

automate care încearcă să ex-

unei alarme. În cazul în care

ploateze

se doreşte mai mult decât atât,

mune uşor de exploatat. Aceste

colectarea de informaţii despre

atacuri pot fi relativ uşor con-

atacator şi metodele folosite,

tracarate prin aplicarea unor

vulnerabilităţi

co-

Rolul unui sistem honeypot

obiective cum ar fi încetinirea

programul

emularea

măsuri elementare de securitate

nu este de a atrage atacuri

propagării viermilor, blocarea

capcanei trebuie modificat. Cu

cum ar fie modificarea para-

asupra organizaţiei, oferind o

spamului, detectarea accese-

cât comportamentul sistemului

metrilor impliciţi de acces, in-

platformă vulnerabilă, ci de a

lor neautorizate, colectarea de

„honeypot” este modificat mai

stalarea unui firewall şi a unui

capta acele atacuri direcţionate

informaţii despre atacatori. Va-

mult faţă de parametrii impliciţi

sistem de detectare a intru-

asupra organizaţiei, protejând

loarea acestor sisteme „honey-

definiţi de producător, deter-

ziunilor. Ameninţarea serioasă

sistemele reale şi oferind infor-

pot”

dacă

minând răspunsuri neaşteptate

o prezintă atacurile lansate

maţii despre atacatori şi meto-

identitatea lor reală este divul-

de atacatori, cu atât scad şan-

de

dele folosite. Performanţa unui

gată. Odată detectat, un ataca-

sele ca identitatea acestuia să

avansate, cu acces la reţelele

„honeypot” depinde de cum

tor poate să evite sistemul

fie relevată.

„underground”

sunt adresate în cadrul imple-

capcană

sau

Exploatarea. Chiar şi în ca-

vehiculează informaţii despre

mentării problemele pe care le

să-l alimenteze cu informaţii

zul unor sisteme „honeypot”

vulnerabilităţi încă nedescope-

poate prezenta un astfel de sis-

false, derutante. În afară de

cu interacţiune scăzută, ce nu

rite de producătorii de soft-

tem: identificarea, exploatarea

cazul când o organizaţie face

oferă un sistem real, ce poate

ware şi pentru care nu există

şi relevanţa.

este

diminuată

(„honeypot”),

pentru

persoane

cu în

cunoştinţe care

se

cunoscut faptul ca utilizează

fi compromis, ci emulează doar

patchuri disponibile. Pentru a

Identificarea. Sistemele de

sisteme „honeypot” pentru a

nişte servicii, există riscul ca

surprinde astfel de atacuri este

tip honeypot oferă mai multă

descuraja atacurile asupra sis-

aceste sisteme să fie depăşite.

necesară ajustarea particulară a

sau mai puţină interacţiune

temelor sale informatice, este

Din acest motiv se impune o se-

sistemului „honeypot” pentru

şi pot răspunde mai multor

important ca honeypotul sa nu

curizare maximă sistemului de

fiecare tip de atac ce se doreşte

operare, pe care este instalată

a fi capturat. De exemplu,

aplicaţia „honeypot”, prin apli-

pentru a depista o eventuală

carea patchurilor şi modifica-

fraudă a sistemului de carduri,

rea parametrilor impliciţi de

prin care s-ar efectua o copie

acces: servicii, conturi, paro-

neautorizată a datelor de card,

le, resurse partajate în reţea.

activităţile detectate de scanare

Ca măsură suplimentară este

a reţelei şi penetrare sistemului

recomandată instalarea unui

de acces la serverul capcană

firewall local („host based fire-

nu identifică neapărat şi ten-

wall”) pe maşina care rulează

tativa de furt a datelor de card.

aplicaţia „honeypot”. Sistemele

Această tentativă de fraudă

„honeypot” cu nivel ridicat de

nu va fi captată dacă sistemul

interacţiune, care oferă un me-

capcană nu simulează valoarea

diu real la dispoziţia atacatorilor

căutată de infractor: baza de

trebuie protejate prin sisteme

date centrală a sistemului de

externe de protecţie: limitarea

carduri. Rezolvarea acestui im-

benzii de comunicaţie, insta-

pediment a lipsei de relevanţă a

larea unui sistem de detectare

informaţiilor oferite de „honey-

a intruziunilor, monitorizarea

pot” va necesita particularizare

atentă a tuturor acţiunilor în-

a sistemului capcană astfel încât

treprinse

să poată prinde hoţul căutat. 

capcană. www.ittrends.ro

asupra

sistemului

office@infologica.ro.

Profile for Agora Group

IT TRENDS 1  

IT TRENDS - Business in the Digital Age - numărul 1, ianuarie 2009. Revistă despre tehnologie pentru business. O publicaţie Agora Media SA.

IT TRENDS 1  

IT TRENDS - Business in the Digital Age - numărul 1, ianuarie 2009. Revistă despre tehnologie pentru business. O publicaţie Agora Media SA.

Advertisement