Rambler's Top100 Service

  Radius Group
СКАЧАЙТЕ БЕСПЛАТНО

ПУТЕВОДИТЕЛЬ

по всем нашим сайтам. Уникальная программа


РАЗДЕЛЫ ПОРТАЛА
  Главная страница
Бесплатная документация
Форумы
ГОРЯЧАЯ НОВОСТЬ
 

23 Mar (00:01)
Поиск в Google
Простые рекомендации от SecurityFocus

Архив...
ЛАБОРАТОРИЯ
  Место где решаются Ваши проблемы

Сейчас в Лаборатории
Компаний: 1588
Экспертов: 671

Вход
для пользователей
для экспертов

Как работает Лаборатория?
НОВОСТИ КОМПАНИЙ
 

9 Feb (00:04)
Кто боится Liebert UPStation?


15 Dec (00:04)
Система Online-control.net - три года успешной работы!

26 May (18:12)
Семинар "Создание эффективных веб-сайтов"

29 Apr (00:08)
Интернет-сайт компании: удобное средство для заработка денег или дополнительные накладные расходы?

15 Apr (00:26)
Три источника, три составные части Intel Centrino

Архив...
СТАТЬИ И ОБЗОРЫ
 

Поверхностный анализ исходных кодов Windows
Статья

Русский Microsoft Office Word 2003 (11.5604.5606)

Уж сколько раз твердили всем, как избежать больших проблем

10 ИТ-событий прошлого года

Погода в Интернете

Архив...
Назад НаверхВниз
Советуют профессионалы! Совет: Системой Online-control.net можно пользоваться бесплатно, всего лишь пригласив друга

NEWS.ITUNION.RU НазадНаверхВниз

Honeypot и сети анализа трендов


Кроме непосредственной защиты компьютерных систем от вторжений и атак весьма полезно проводить обнаружение попыток неавторизованного доступа. Обычно с этой целью применяется некоторая система обнаружения вторжений IDS (Intrusion Detection System), но последнее время даже отдельные компании стали использовать средства, ранее применявшиеся только экспертами по компьютерной защите.

Одним из таких средств стал метод honeypot - "ловли на живца", когда для потенциальных взломщиков в частной сети специально организуется хост (сайт), который только и ждет, чтобы его взломал новый нарушитель. Обычно такой сайт моделирует определенную системную архитектуру (хотя и не обязан иметь ее в наличии), либо некоторую службу, например почтовую службу SMTP.

На Web-сайте Tracking Hackers (Отслеживание хакеров) Ланса Спитца (Lance Spitzner) для термина honeypot приведено такое определение ( www.tracking-hackers.com ): "защищенный ресурс, параметры которого предоставляют обманные значения во время проверки, атаки или компрометации данного ресурса". На методе honeypot основан проект Honeyd (см. www.citi.umich.edu/u/provos/honeyd/ ), в рамках которого недавно опубликована новая версия соответствующего ПО.    Руководитель проекта Honeyd, Нильс Провос (Niels Provos), так определяет цели проекта: "Honeyd - это виртуальное место для ловли на живца, которое реализовано небольшим процессом-демоном, создающим в сети виртуальный хост. Хост можно сконфигурировать для запуска абсолютно любой службы так, что внешне служба будет не только показывать себя запланированным образом, но и моделировать работу определенной ОС". Затем ПО Honeyd проводит мониторинг неиспользуемых в сети IP-адресов, чтобы сформировать виртуальную сеть хостов для ловли на живца, которые помогут выявить сканирование и вторжение.

Honeyd обеспечивает отслеживание портов TCP и UDP, а также некоторых типов трафика по протоколу Internet Control Message Protocol (ICMP). Подменная служба успешно откликается на неавторизованные сеансы и способна обмануть такие средства как Xprobe или Nmap. В настоящее время доступна версия Honeyd 0.5, поддерживаемая в сети университета Мичигана (University of Michigan) - см. www.citi.umich.edu/u/provos/honeyd/challenge.html

Вместе с Honeyd или в автономном режиме можно использовать еще одно полезное средство - программный инструмент HoneyWeb от Кевина Тимма (Kevin Timm). HoneyWeb позволяет эмулировать различные платформы Web-серверов (включая Apache, Netscape и Microsoft IIS), чтобы выявлять незаконные вторжения по протоколу HTTP (см. www.var-log.com/files ). Например, HoneyWeb просматривает входящие запросы URL, определяет целевую платформу, а затем возвращает нужный заголовок и Web-страницу для платформы, запрошенной извне. Причем если очень умная программа взлома сначала выставит запрос к системе UNIX, а затем к Web-серверу Microsoft, то в ответ отправится сообщение об ошибке 404. Разумеется, отлеживаются входящие запросы. Программа HoneyWeb написана на языке Python (см. www.python.org ). Описание HoneyWeb можно найти по адресу www.var-log.com/files/HoneyWeb.txt . Надстройка Stunnel позволяет использовать в HoneyWeb протокол Secure Sockets Layer (SSL) - см. www.stunnel.org .

Кроме моделирования наживки в реальных сетях можно использовать специальные сети, предназначенные исключительно для анализа вторжений. Такие сети позволяют проследить тенденции в хакерском сообществе. Среди специальных сетей такого рода можно отметить DShield.org, myNetWatchman, DeepSight Analyzer от Symantec или XFTAS (X-Force Threat Analysis Service) от ISS (Internet Security Systems). Это так называемые сети анализа угроз (threat-analysis network). В любом случае предполагается использования ПО на клиентской стороне для сбора статистических данных о неавторизованных действиях.

DShield.org ( www.dshield.org ) предоставляет открытый для посещения Web-сайт, где в графическом и табличном виде показаны текущие тенденции в области безопасности. Например, недавно на этом сайте основное внимание было нацелено на порт 1434 (вспомним о вирусе Slammer/Sapphire для Microsoft SQL Server). Организация DShield.org сотрудничает с институтом SANS (SysAdmin, Audit, Network, Security Institute, институт безопасности, сетей, аудита и системного администрирования), который поддерживает собственный вариант статистических данных на сайте Internet Storm Center (см. isc.sans.org ).

myNetWatchman (см. www.mynetwatchman.com ) - это бесплатная общественная служба, не требующая предварительной регистрации. Соответствующий сайт не предоставляет такую же полную информацию DShield.org, но дополняет данные от других информационных сетей анализа компьютерных угроз.    DeepSight Analyzer компании Symantec - бесплатная служба, но доступная только тем, кто сотрудничает с ней в области предоставления собственных данных из систем IDS и брандмауэров - компанию Symantec интересуют чужие журналы регистрации вторжений. Кроме бесплатной службы DeepSight Analyzer, существует коммерческая DeepSight Threat Management System. Адреса:

analyzer.securityfocus.com

enterprisesecurity.symantec.com/products/products.cfm?productid=158

XFTAS от ISS - коммерческая служба с ежегодной абонентской платой. Предоставляется информация о тенденциях в области безопасности (см. https://gtoc.iss.net ).

Полная лента новостей NEWS.ITUNION.RU

Вы можете подписаться на ежедневную
бесплатную рассылку IT-новостей:




  Site DESIGN by MIRRON (C) 2000-2001 Rambler's TOP100