1. Trang chủ
  2. » Luận Văn - Báo Cáo

The honeynet project honeypots

53 1,1K 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 53
Dung lượng 1,46 MB

Nội dung

The honeynet project honeypots

Trang 1

GVHD:

TS Phạm Văn Tính

Trang 2

N i Dung Báo Cáo ộ

1 Tổng quan Honeypots

2 Honeypot tương tác thấp(honeyd)

3 Honeypot tương tác cao(honeynet)

4 Ưu nhược điểm Honeypots

Trang 3

1 T ng quan Honeypots ổ

1.1 Honeypots là gì?

1.2 Vắn tắt lịch sử Honeypots

1.3 Phân loại

Trang 4

1.1 Honeypots là gì?

 Honeypots là một hệ thống tài nguyên thông tin

được xây dựng với mục đích giả dạng đánh lừa

những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn chặn tiếp xúc với hệ thống thật

 Honeypot có thể giả dạng bất cứ loại máy chủ tài

nguyên nào như : Mail Server, DNS, Web server, …

 Honeypot là một hệ thống tài nguyên không có giá trị

 Được sử dụng để giám sát, phát hiện và phân tích các cuộc tấn công

Trang 7

1.3.1 Level of Interaction

 Tương tác thấp

 Mô phỏng một vài khía cạnh hệ thống

 Dễ dàng triển khai, ít rủi ro

 Giới hạn thông tin

Trang 8

Medium

High

Trang 9

1.3.2 Physical V.S Virtual Honeypots

Trang 10

1.3.3 Cách làm việc honeypots?

Prevent Detect

Response

Monitor

No connection

Trang 12

Research Honeypots

• Khám phá những công cụ, chiến thuật mới

• Phân tích và phát triển những kỹ thuật

• HONEYNET?

Trang 16

BackOfficer Friendly

BackOfficer

BackOfficer Friendly

Trang 17

BackOfficer Friendly

 BackOrifice: Là một loại Trojan khi được cài đặt vào máy nạn nhân (chỉ trên những hệ thống Window 95 hoặc Window 98) và nằm ẩn bên trong hệ thống và cho phép các Attacker

có thể thực hiện hành vi tấn công của mình như: theo dõi tất

cả hành động của nạn nhân trên hệ thống của mình mà các nạn nhân không hề biết.

 Chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…

 BackOfficer Friendly

báo những tấn công từ bên ngoài đe dọa trên hệ thống nạn nhân nào đó

Trang 18

• Khi một tấn công bị phát hiện, thì thông tin bắt được rất hạn hẹp, chỉ cho thấy được các loại như IP của máy tấn công, trên port và loại dịch vụ tương ứng

Trang 19

KF Sensor

• Là một Honeypot chạy trên môi trường Window, có chức năng thu hút và phát hiện ra các cuộc tấn công, worm và trojan trên hệ thống mạng

• Nó chứa nhiều các tính năng riêng biệt như có khả năng quản lý từ xa, các mẫu signature tương thích với Snort, mô phỏng được hầu hết các dịch vụ mạng của Window.

• KFSensor mô phỏng các dịch vụ như là: FTP, SMB, POP3, HTTP, TELNET, SMTP nhằm lấy các thông tin về một cuộc tấn công Một cuộc tấn công bị phát hiện, phân tích và báo cáo ngay tức khắc, đồng thời đáp trả lại những yêu cầu của

kẻ tấn công trong khi nó vẫn tiếp tục xử lý cuộc tấn công đó.

Trang 21

 Hạn chế của honeypot KFSensor:

 Giống như các honeypot tương tác thấp khác,

KFSensor không cung cấp một hệ điểu hành thật để cho kẻ tấn công có thể tương tác, vì thế sẽ hạn chế lượng thông tin thu được từ những cuộc tấn công và chính vì điểm yếu đó sẽ làm cho Honeypot sẽ dễ

dàng bị phát hiện KFSensor chỉ mô phỏng được

những dịch vụ chưa chạy trên hệ thống

Trang 23

 Specter định ra bảy loại traps trong tổng số 14 dịch

vụ mô phỏng, chủ yếu là định ra danh sách port lắng nghe trên từng loại dịch vụ, trong đó có 1 trap có thể tùy biến port lắng nghe

 Hạn chế : Specter không có khả năng theo dõi trên bất cứ loại dịch vụ nào đang chạy trên hệ điều hành thật

Trang 24

 Được phát triển và duy trì bởi Niels Provos

 Honeyd là một chương trình nền nhỏ có rất nhiều

tính năng nổi trội

 Honeyd giả lập các máy ảo trong một mạng máy tính

 Nó có thể đóng giả một hệ điều hành bất kỳ, cho

phép mô phỏng các dịch vụ TCP/IP khác nhau như HTTP, SMTP, SSH v.v

Trang 25

 Hỗ trợ nhiều loại dịch vụ khác nhau;

 Mô phỏng nhiều mô hình mạng khác nhau;

 Hỗ trợ tunneling và redirecting ;

Trang 28

How it attracts worms?

 Three methods:

 Create special routes;

 Proxy ARP;

 Network tunnels.

Trang 29

DataBase

Network

Trang 30

Personality Engine

 Đánh lừa những công cụ fingerprinting

 Thay đổi header của gói tin trước khi out put ra ngoài netword

Trang 31

Kiến trúc Routing

 Mô phỏng kiến trúc mạng ảo;

 Một số honeypot có thể cấu hình như là router

 Cấu hình các thông số của mạng như độ trễ, tỉ lệ thất thoát và băng thông

 Hỗ trợ kỹ thuật tunneling và sự chuyển

hướng dòng dữ liệu

Trang 33

Simulation Results of Anti-Worm

Trang 34

3 Honeypot t ng tác ươ cao(Honeynet)

Trang 35

What is a Honeynet

 Honeypot tương tác mức cao thiết kế để :

 Thu thập thông tin ở mức sâu.

 Học nguời mà sử dụng hệ thống của bạn với không có quyền của bạn.

 Nó là 1 kiến trúc, không là một sản phẩm hay phần mềm.

 Phổ biến với các hệ thống thực.

 Vậy :

 Honeynet là một mạng các honeypot tương tác mức cao giống như một mạng thực sự trong thực tế và được cấu hình sao cho tất cả các hoạt động được giám sát và ghi nhận.

Trang 36

What is a Honeynet

 Một khi đã bị tấn công, dữ liệu thu thập được từ

honeynet sử dụng để học những công cụ, chiến lược

và động cơ của cộng đồng blackhat

 Thông tin thu thập có những giá trị khác nhau đối với những tổ chức khác nhau

 Học những lỗi mà có thể tấn công hệ thống

 Triển khai kế hoạch phản hồi

 Honeynet được áp dụng theo 2 hướng

 Mục đích nghiên cứu

 Bảo vệ hệ thống thật

Trang 37

What’s The Difference?

 Honeypots sử dụng những lỗi đã biết để thu hút tấn

Trang 38

How it works

 Một mạng được giám sát với mức độ khá cao.

 Mỗi gói tin đi vào hay rời hệ thống đều được giám sát, thu thập và phân tích.

 Bất kì traffic đi vào hay ra hệ thống honeynet đều nằm trong phạm vi nghi ngờ.

Trang 39

Diagram of Honeynet

Trang 41

Data Control

Trang 42

• Triển khai tại gateway

• Dựa trên 2 cơ chế :

• Giới hạn số lượng kết nối ra bên ngoài.

• Lọc gói tin độc hại

• Loại bỏ gói tin

• Thay thế sửa đổi gói tin

Trang 43

Data Capture

 Nhằm khám phá ra kỹ thuật xâm nhập , tấn công, công cụ và mục đích của

hacker Đồng thời phát hiện ra lỗ hổng của hệ thống.

 Đóng vai trò vô cùng quan trọng trong

honeynet, không có module thu nhận dữ liệu honeynet không có giá trị.

Trang 44

Data Capture

 Yêu cầu đối với module thu nhận dữ liệu

 Thu nhận càng nhiều dữ liệu càng tốt.

 Đảm bảo tính sẵn sàng.

 Che dấu đối với hacker.

 Dựa trên yêu cầu trên cơ chế thu nhận dữ liệu trong honeynet bao gồm 3 tầng

 Thu nhận từ tường lửa

 Thu nhận từ luồng mạng.

 Thu nhận dữ liệu từ hoạt động honeypot trong hệ

thống.

Trang 45

Data Analysis

 Hỗ trợ phân tích dữ liệu thu nhận được nhằm đưa ra : kỹ thuật , công cụ và mục đích của kẻ tấn công.

 Từ đó đưa ra cho nguời quản trị đưa ra các biện pháp phòng chống.

Trang 46

Honeynet – Gen I

Trang 47

Honeynet – Gen II

Trang 48

Honeynet – Gen III

 Honeynet thế hệ cải tiến bằng triển khai và quản lý.

 Một thay đổi cơ bản trong kiến trúc là sử dụng

một thiêt bị đơn lẽ điều khiển việc kiểm soát dữ liệu và thu nhận dữ liệu được gọi là honeywall

Sự thay đổi trong honeywall chủ yếu ở module

kiểm soát dữ liệu Những sự thay đổi đó khiến honeynet thế hệ 2 và 3 trở nên khó bị kẻ tấn công phát hiện hay in dấu chân.

Trang 50

4 u đi m c a honeypot Ư ể ủ

• Honeypot thu nhận rất ít dữ liệu, nhưng lại có giá trị

sử dụng rất cao

• Lượng tài nguyên phân tích thấp

• Khái niệm đơn giản, có nhiều cách thức hiện thực

• Tính hiệu quả cao

• Có thể nghiên cứu tìm ra cách tấn công mới

Trang 51

R i ro c a honeypot ủ ủ

• Thu hẹp phạm vi ảnh hưởng.

• Để lại dấu vết ( footprinting).

• Gây ra rủi ro lớn khi:

 Bị phát hiện.

 Cấu hình lỗi.

Trang 52

Cách gi m nh r i ro ả ẹ ủ

• Làm cho honeypot trở nên linh hoạt hơn:

 Honeypot nào cũng có khả năng tự phát hiện.

 Sữa đổi những giải pháp không an toàn

 Khắc phục footprinting.

Trang 53

K t lu n ế ậ

• Honeypot không phải là một giải pháp thay thế hoàn toàn cơ chế bảo mật.

• Honeypot chỉ là một công cụ linh hoạt tăng

cường tính bảo mật của hệ thống.

• Ý nghĩa chính của nó là nhận dạng và thu nhập thông tin của các cuộc tân công.

• Honeypot chỉ đang ở những bước đầu.

Ngày đăng: 26/08/2016, 22:41

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w