Использование приманок на базе Windows

Как отвлечь взломщика от важных ресурсов предприятия

Приманки (honeypot) долго считались игрушками для администраторов безопасности, страдающих от избытка свободного времени, но в последнее время они все чаще применяются в корпоративных сетях. Приманки — это непроизводственные компьютерные ресурсы, созданные специально для отвлечения взломщика. Приманки могут имитировать любой ресурс (например, маршрутизатор или принт-сервер), но чаще всего они выглядят как настоящие производственные серверы и рабочие станции.

В прошлом специалисты по безопасности использовали приманки в основном для того, чтобы изучить поведение и методы взломщиков. В таком качестве приманки принесли немалую пользу. Например, с помощью приманок участникам проекта Honeynet Project (http://www.honeynet.org) удалось выяснить, что большинство нападений автоматизировано и осуществляется с применением мобильного вредоносного программного кода (вирусов, «червей» и «троянских коней») и сценариев. Атаки, организованные вручную, не столь распространены, но терпеливый взломщик всегда найдет уязвимые места. С помощью приманок были обнаружены разветвленные сообщества взломщиков, которые широко практиковали мошенничество, осваивали и передавали друг другу новые приемы взлома, прежде чем о них узнавали пользователи и специалисты по безопасности.

Изучение взломщиков и их методов — достойная задача, но большинство администраторов применяют приманки, чтобы отвлечь взломщика от своих производственных ресурсов организации и своевременно получать предупреждения об опасности. В отличие от брандмауэров и систем обнаружения несанкционированного доступа (Intrusion Detection Systems, IDS), приманки не вызывают множества ложных тревог. По определению приманка — это непроизводственный ресурс, и любое действие в отношении его считается вредным до тех пор, пока не доказано обратное.

Чтобы привлечь взломщика, приманка должна выглядеть как настоящий производственный ресурс. Например, в однородной среде Windows администраторы могут создавать приманки, имитирующие широко используемые порты и службы. Однако первые приманки стали применяться не на платформе Windows, а на UNIX/Linux. Существует несколько решений для организации приманок Windows, но они уступают аналогичным продуктам UNIX/Linux по разнообразию функций и поддержке. Это может показаться странным, так как в большинстве сетей в мире используется Windows. Поставщики лишь начинают устранять разрыв, и некоторые решения Windows уже могут соперничать с продуктами UNIX/Linux. Как обычно, решения Windows проще в конфигурировании и развертывании, чем продукты UNIX/Linux. В данном обзоре виртуальных приманок, спроектированных для Windows, представлены как коммерческие, так и открытые решения.

Реальные и виртуальные приманки

Приманки могут быть реальными и виртуальными. Реальная приманка работает с производственным программным обеспечением (например, Windows Server 2003, Microsoft Exchange Server, Microsoft IIS) на выделенном аппаратном оборудовании. Реальная приманка — одна из лучших мишеней, которые можно предложить взломщику. Она выглядит и ведет себя как настоящий производственный ресурс, и если данные на ней обновляются, то взломщику очень трудно догадаться, что перед ним приманка.

Недостаток реальных приманок заключается в том, что для организации и управления ими, как правило, требуется много усилий и времени. Для установки реальной приманки иногда необходимо столько же времени, сколько для инсталляции настоящего производственного ресурса. Еще один серьезный недостаток состоит в том, что трудно помешать взломщику, захватившему приманку, атаковать другой производственный ресурс. Во многих реальных приманках UNIX/Linux используется механизм, который предотвращает захват производственных ресурсов (называемый иногда механизмом управления данными — data-control mechanism), но лишь немногие продукты Windows располагают такими функциями.

Виртуальные приманки представляют собой среду эмуляции, программное обеспечение которой ограничивает возможности взломщика. Как правило, потенциальный ущерб для производственных ресурсов существенно уменьшается или исключается полностью. Большинство виртуальных приманок может имитировать открытые порты, закрытые порты или порты с отвечающей на запросы службой.

Виртуальные приманки, которые только открывают порт и регистрируют начальный запрос взломщика, называются простыми слушателями порта (simple port listener). Более высокоразвитые слушатели порта могут отвечать несложными пакетами открытия или закрытия, что выглядит более реалистично и привлекает взломщика. Эти приманки записывают информацию, посылаемую взломщиком, и отвечают в соответствии с сетевым протоколом (например, посылают пакет SYN). Приманки не передают никаких других данных, и попытка соединения взломщика никогда не бывает успешной. Такой обмен может дать сетевому администратору достаточную информацию, так как свидетельствует о несанкционированной активности внутри периметра сети и позволяет свести риск к минимуму.

Многие виртуальные приманки имитируют интересующие взломщика службы на известных портах, такие как SMTP или FTP. Эти приманки не ограничиваются начальным обменом сообщениями по протоколу, и эмулируемая служба отвечает взломщику. Эмулируемая служба, которая передает только имитированный баннер, называется баннерной службой (banner service). Например, при подключении взломщика к TCP-порту 25 (SMTP) может последовать отклик имитируемого баннерного соединения Exchange. Эмулируемая служба, которая дает минимальный отклик на запрос, называется простой (simple) или стандартной (standard) службой. Например, в ответ на запрос к FTP-порту 21 можно запросить у взломщика регистрационное имя и пароль, которые будут зарегистрированы приманкой. Если взломщик использует текущую или старую регистрационную информацию вместо случайной догадки, значит, он либо действует внутри компании, либо успешно проникал в систему раньше.

Службы имитации, особенно IIS или FTP, часто обеспечивают высокий уровень эмуляции. Одни виртуальные приманки располагают ложными подкаталогами, файлами и откликами. Другие виртуальные приманки позволяют пересылать запросы к служебным портам в компьютеры, на которых размещены важные программы, но гарантируют, что взломщик получает доступ к непроизводственному ресурсу. В целом чем лучше эмуляция служб, тем больший интерес представляет объект для взломщика. Чем дольше взломщик задерживается на приманке, тем больше информации о нем удается собрать. Однако большинство виртуальных приманок плохо приспособлены к взаимодействию, так как не обеспечивают глубокой эмуляции.

Критерии выбора и оценки

Существует множество различных приманок, но мы рассмотрим только те из них, которые функционируют без эмуляции на платформах Windows и имитируют типовые порты и службы Windows. Из нашего обзора исключены специализированные приманки для защиты от одной угрозы (например, «смоляные ямы» — tarpit, программы антиспама) и продукты с минимальной функциональностью, которые плохо поддерживаются и часто исчезают с рынка спустя несколько месяцев после выпуска.

Всем критериям выбора отвечали четыре приманки: Honeyd-WIN32 0.5, KFSensor фирмы KeyFocus, Network Security Software (NETSEC) SPECTER 7.0 и VMware (дочернее предприятие компании EMC) Workstation 4.0. В табл. 1 приведены другие достойные внимания приманки, совместимые с Windows, но не отвечающие всем критериям выбора. Для оценки четырех приманок использовались следующие критерии.

• Эмуляция Windows. Для эмуляции сетевых узлов Windows необходимы как минимум порт вызова удаленных процедур (RPC) 135, порты NetBIOS 137, 138, 139 и 445, а также любые другие порты и службы, задействованные на типичном компьютере Windows. Например, на ложном сервере Exchange должны быть представлены дополнительные порты 25 (SMTP), 110 (POP3), 113 (NNTP, Network News Transfer Protocol — сетевой протокол передачи новостей) и 143 (IMAP). Для эмуляции сервера IIS следует дополнительно открыть порты 20 и 21 (FTP), 25, 80 (HTTP) и 443 (HTTP Secure-HTTPS). Система Windows 2000 Server дополнительно открывает порты 53 (DNS), 68 (DHCP), 88 (Kerberos), 1433 и 1434 (Microsoft SQL Server) и 3389 (Windows 2000 Server Terminal Services). Пользователи приманок должны иметь возможность эмулировать соответствующие службы на этих портах. Например, эмулируемый Web-сервер должен возвращать баннер IIS, а не Apache, а эмулируемый сервер SMTP должен возвращать баннер Exchange, а не sendmail. Исторически большинство приманок плохо эмулировали типовые порты и службы среды Microsoft.
• Простота установки и использования. Одни приманки устанавливаются быстро, а для настройки других требуется несколько часов. Установленная приманка должна быть простой в управлении и одновременно соответствовать требованиям пользователя. Администратору необходимо ответить на вопросы: что предпочтительнее, графический или текстовый интерфейс для мониторинга в реальном времени; нужны ли функции дистанционного управления приманкой; что лучше — эмулированные данные или особый механизм для ввода и обновления данных в приманку; насколько просто восстановить приманку, пораженную взломщиком?
• Сбор данных. Все приманки регистрируют информацию о действиях взломщика в реальном времени с различными уровнями детализации. Лучшие приманки записывают все действия взломщика, в том числе полностью декодируют сетевые пакеты и фиксируют манипуляции с системой. В других приманках столь подробную информацию можно получить только с помощью дополнительного инструментария. Еще один важный фактор — возможность сохранить собранную информацию. В одних продуктах данные записываются только в локальный текстовый журнал, а в других могут быть сохранены во внешней базе данных.
• Предупреждения и отчеты. Ни одна приманка не будет достаточно эффективной без функций предупреждения о несанкционированных действиях в реальном времени. В приманках используются различные механизмы, в том числе широковещательной передачи сообщений, электронной почты и SMS (Short Message Service — служба коротких сообщений). Еще один важный фактор — типы отчетов, генерируемых приманкой.

Honeyd-WIN32

Honeyd-WIN32 — перенесенная на платформу Windows версия Honeyd, популярной в мире UNIX приманки с открытым исходным текстом. Созданная Нильсом Провосом в 2002 г., приманка для UNIX/Linux не требует особого вмешательства со стороны администратора. Honeyd пользуется широкой поддержкой, располагает достаточно полной функциональностью и масштабируемостью. Сообщество разработчиков продуктов умеренно активно. Более подробную информацию об оригинальной версии Honeyd for UNIX/Linux можно получить по адресу http://www.honeyd.org. В 2003 г. Майкл Дэвис подготовил открытую версию Honeyd для Windows. В настоящее время выпущена версия Honeyd 0.8, а Honeyd-WIN32 после выхода версии 0.5 не обновлялась. Несмотря на отсутствие удобного графического интерфейса, бесплатная и функциональная приманка популярна среди администраторов.

В отличие от других приманок, представленных в данном обзоре, Honeyd-WIN32 потенциально может эмулировать сотни операционных систем на уровне набора протоколов IP. В терминах Honeyd-WIN32 набор IP-протоколов операционной системы называется персоной (personality). Эмулируя IP-стек, Honeyd-WIN32 позволяет имитировать пакеты Address Resolution Protocol (ARP), Internet Control Message Protocol (ICMP), TCP и UDP на уровне, недостижимом для конкурентов. Благодаря имитации флагов TCP, параметров Time to Live (TTL), временных меток, сетевой задержки и путей маршрутизации, Honeyd-WIN32 обеспечивает более реалистичные сценарии на сетевом уровне. Такая имитация достигается через подстановку низкоуровневых откликов Honeyd-WIN32 из базы данных типов и версий операционных систем, составленных с помощью Xprobe2 (утилита Федора Ярочкина и Офира Аркина) и инструмента Network Mapper (Nmap) компании Insecure.org, вместо откликов базовой операционной системы. Данная функция важна, поскольку, если, например, хост-компьютер работает с Windows 2000 Server, а приманка эмулирует Windows NT Server 4.0, взломщик может заметить небольшие противоречия в наборе IP-протоколов. Для эмуляции набора IP-протоколов программе Honeyd-WIN32 требуется сетевой IP-адрес, отличный от адреса хост-компьютера. Данное требование существенно осложняет новые варианты установки для большинства пользователей и вынуждает организовывать статические маршруты на хост-узле.

Honeyd-WIN32 отличается чрезвычайной гибкостью. Один экземпляр программы может эмулировать одну или несколько персон операционной системы, тысячи IP-адресов и тысячи портов. Honeyd-WIN32 эмулирует любые разновидности Windows, UNIX, Linux, Sun Solaris компании Sun Microsystems, FreeBSD и IOS Software компании Cisco Systems. Honeyd-WIN32 поддерживает любое число портов UDP и TCP, каждый из которых может быть открыт, закрыт или блокирован (как при использовании брандмауэра). Приманка может даже эмулировать отклик службы. Администратор может создавать службы, возможности которых не ограничиваются простым прослушиванием портов, с помощью откомпилированных программ или сценариев на любом языке, поддерживаемом хост-компьютером. Управляемые сценариями службы гарантируют, что, попав в приманку, взломщик не повредит производственные хост-машины.

Процесс установки Honeyd-WIN32 довольно сложен. Предварительно следует установить WinPcap (бесплатная среда захвата пакетов для Windows, размещенная по адресу http://winpcap.polito.it), чтобы сетевые пакеты поступали в Honeyd-WIN32, прежде чем попасть в базовый набор IP-протоколов. После установки Honeyd-WIN32 необходимо подготовить текстовый файл конфигурации, который сообщает Honeyd-WIN32, какие следует загрузить персоны, задействовать порты и службы, и состояние этих портов и служб. Пользователь может загрузить и установить ранее созданные служебные сценарии, большинство из которых составлены на языке Perl или сценарных языках оболочки UNIX/Linux. Необходимо развернуть среды исполнения сценариев и механизмы для поддержки языков, используемых в выбранных служебных сценариях.

Кроме того, нужно установить IDS (чтобы обнаружить и предупредить о событиях, представляющих угрозу) и анализатор пакетов (для захвата сетевых пакетов). Большинство администраторов Honeyd-WIN32 используют открытую систему Snort (http://www.snort.org) в качестве IDS и бесплатный анализатор пакетов Ethereal (http://www.ethereal.com). Как и при работе со многими открытыми решениями, в процессе установки легко допустить ошибки, которые трудно отыскать, — чтение сообщений журнала событий Windows покажется легкой задачей по сравнению с диагностикой. Положение усугубляется тем, что Honeyd-WIN32 — продукт, перенесенный с другой платформы, и не всегда понятно, свойственна проблема Honeyd в целом или только перенесенной версии.

Помимо сложной процедуры установки, главный недостаток Honeyd-WIN32 заключается в том, что это малоинтерактивная приманка без развитой эмуляции служб Windows. Honeyd-WIN32 отлично работает на сетевом уровне, но недостаточно эффективна на прикладном уровне. Чтобы имитировать компьютер Windows, необходимо определить, какие порты следует задействовать, и составить соответствующие сценарии (или найти готовые). Honeyd-WIN32 — полезный инструмент для сбора данных о действиях взломщика, но он вряд ли долго удержит внимание взломщика, если администратор не дополнит его полноценными имитациями приложений и наборами данных.

Возможности протоколирования в реальном времени ограничены итоговой информацией по пакетам и соединениям, отображаемым на командной консоли (экран 1). Та же информация, иногда более детальная, хранится в текстовом журнале. Каждая управляемая сценариями служба также может иметь отдельный, специализированный журнал для сбора дополнительной информации.

Экран 1. Протоколирование действий Honeyd-Win32 в реальном времени

Honeyd-WIN32 — самая широко распространенная из современных приманок для Windows. Другие поставщики приманок поддерживают ее сценарии и пытались копировать набор функций. К сожалению, и это касается большинства открытых инструментов, для установки и работы с Honeyd-WIN32 требуется масса терпения и усилий, связанных с настройкой текстовых файлов конфигурации. Общая эффективность продукта как полнофункциональной приманки снижается из-за отсутствия сложных управляемых сценариями служб и специальных параметров конфигурирования для Windows.

KFSensor

KFSensor — единственная виртуальная приманка в данном обзоре, которая точно воспроизводит поведение сетевого узла Windows. Как и Honeyd-WIN32, KFSensor — приманка с низким уровнем интерактивности. В отличие от Honeyd-WIN32, KFSensor поставляется с 77 заранее настроенными портами (58 портов TCP и 19 портов UDP). Большинство этих портов задействованы в типичных средах Windows, хотя KeyFocus использует и несколько произвольных портов для «троянских коней», которые привлекают хакеров, отыскивающих уязвимые машины. Процедура установки проста — достаточно загрузить программу из сети и запустить. Полезные мастера помогают вводить информацию на каждом этапе. После каждого щелчка мышью становятся доступными дополнительные мастера и документация.

KFSensor обеспечивает простую эмуляцию служб IIS, FTP, Telnet и Exchange. Соединения с IIS приводят к стандартной странице Under construction. В ответ на обращения к порту 25 выдается реалистичный текстовый баннер Exchange, и программа эмуляции службы воспринимает ограниченное число базовых команд SMTP. Нетрудно было бы имитировать и другие широко используемые порты сервера Exchange, в том числе POP3 и IMAP, но по какой-то причине это сделано не было. KFSensor обеспечивает базовую эмуляцию Terminal Services для соединений RDP, Symantec pcAnywhere, Citrix MetaFrame, Virtual Network Computing (VNC), WinGate и других продуктов. С помощью кодов управления и сценариев можно настроить каждый порт и имитируемую службу. В процессе тестирования удаленный клиент pcAnywhere некоторое время вел себя так, как при настоящем хост-соединении, а затем завершил сеанс.

Экран 2. KFSensor?s GUI

KFSensor точно имитирует открытые порты NetBIOS и Windows RPC, в результате приманка дает реалистичный отклик системы Windows. В отличие от других приманок, представленных в данном обзоре, KFSensor — единственная приманка, в которой данная функция реализована в стандартной конфигурации. Благодаря ей KFSensor относится к числу лучших приманок для Windows.

Разработчики KFSensor понимают важность предупреждений и журналов. Графический интерфейс отслеживает опасные события по нескольким различным характеристикам, в том числе портам, времени, взломщику и уровню угрозы. Как показано на экране 2, пользователь может определить степень опасности событий и соответствующим образом настроить журнал и предупреждения. KFSensor может посылать предупреждения по электронной почте (регулярные или краткие сообщения), выдавать формальные предупреждения, записывать их в журнал событий Windows или на отдельный сервер. Администраторы UNIX/Linux обычно готовят отчеты и регистрируют события, имеющие отношение к безопасности, на отдельных серверах. Хотя Windows не располагает подобными собственными службами или инструментарием подготовки отчетов, пробел можно заполнить с помощью нескольких служб формирования журналов на базе Windows, таких как Kiwi Syslog Daemon компании Kiwi Enterprises, которую можно бесплатно загрузить по адресу http://www.kiwisyslog.com. Можно организовать взаимодействие KFSensor с любой внешней программой предупреждений и протоколирования. KFSensor достаточно интеллектуален, чтобы администратор мог задать число секунд перед посылкой дополнительных предупреждений и назначить уровень опасности, при котором будет высылаться предупреждение. Эта функция особенно полезна. Например, благодаря ей удастся избежать генерации сотен разных предупреждений в два часа ночи в результате простого сканирования портов.

Почти все функции KFSensor превосходны, но в продукте есть и ряд слабых мест.

• KFSensor далеко не так гибок и масштабируем, как Honeyd-WIN32. Например, приманка работает на прикладном уровне, поэтому KFSensor не может имитировать набор протоколов IP и не содержит параметров для имитации сетевых маршрутов, системных временных меток, латентности и т. д. (Хотя в действительности большинство взломщиков этих деталей не заметят.). Кроме того, не рекомендуется размещать более 256 портов на одной приманке, тогда как Honeyd-WIN32 поддерживает тысячи портов и IP-адресов.
• Как и другие приманки прикладного уровня, KFSensor откликается только на IP-адрес, назначенный хост-компьютеру. В отличие от него Honeyd-WIN32 может имитировать множество IP-узлов и сетей.
• Хотя KFSensor имитирует больше стандартных служб, чем любая другая приманка в данном обзоре, некоторые стандартные сценарии Honeyd-WIN32 обеспечивают лучшую эмуляцию служб.
• KFSensor не собирает информацию сетевого и пакетного уровня, столь важную для большинства администраторов.
• Компания KeyFocus предоставляет консультации только по электронной почте. Консультацию по телефону получить нельзя, но разработчики быстро отвечают на запросы по электронной почте.

Цена одного экземпляра KFSensor составляет 990 долл. Это самая дорогостоящая программа-приманка в данном обзоре. KFSensor оптимально подойдет тем, кому требуется приманка на базе Windows с богатой функциональностью, простая в установке и эксплуатации.

SPECTER

SPECTER располагает множеством уникальных возможностей, но уступает конкурентам в гибкости и детальности эмуляции Windows. Процедуры установки и настройки конфигурации SPECTER очень просты, хотя одной из причин здесь являются ограничения функциональности и возможностей настройки.

Уникальная особенность графического интерфейса SPECTER заключается в том, что его авторы попытались собрать на одном экране почти все возможные параметры конфигурации (экран 3). На мой взгляд, графический интерфейс перегружен и на тестах края диалогового окна оказывались обрезанными при работе с разрешением 800x600. Кроме того, в большинстве окон конфигурации нет кнопок Close и Minimize, привычных для приложений Windows. Как файл оперативной подсказки, так и справочная информация на Web-узле SPECTER оставляют желать лучшего.

Экран 3. SPECTER?s GUI

SPECTER эмулирует 14 операционных систем (такие версии Windows, как XP, Windows 2000, NT и Windows 98, но не Windows 2003) и многие порты, привлекающие внимание взломщиков. Однако SPECTER эмулирует лишь 11 легитимных (т. е. безвредных) сетевых служб: DNS, Finger, FTP, POP3, IMAP4, HTTP, Secure Shell (SSH), SMTP, Sun RPC, Telnet и типовую ловушку (generic trap). Три из них (Finger, SSH и Sun RPC) имеются далеко не на всех машинах Windows. SPECTER также эмулирует три потенциально опасных порта, используемые «троянскими конями»: NetBus, SubSeven и Back Orifice 2000 (BO2K).

Пользователь может только активизировать или отключать порты и службы; их нельзя настраивать, добавлять порты или сценарии, а также расширять влияние приманки, выводя его за жестко заданные рамки. Кроме того, SPECTER не отображает на экране и не заносит в журнал попытки взломщиков обратиться к любым портам на хост-машине. Это существенный недостаток продукта, который в противном случае мог считаться одной из лучших приманок. Требуется везение, чтобы заметить взломщика, привлеченного такой приманкой.

К достоинствам продукта относится то, что эмуляция баннеров SMTP, FTP, HTTP и POP возвращает специфическую информацию о версии Windows. Каждую имитируемую версию операционной системы можно настроить, используя соответствующий символ. Применяется пять символов: Open (операционная система ведет себя как плохо защищенная система), Secure (операционная система ведет себя как хорошо защищенная система), Failing (ведет себя как машина с разнообразными аппаратными и программными неполадками), Strange (поведение операционной системы непредсказуемо) и Aggressive (сеанс продолжается достаточное время для сбора информации о взломщике, затем система открывает свое истинное лицо, чтобы отпугнуть хакера). Хотелось бы иметь возможность настроить режим безопасности для всех эмулируемых служб каждой операционной системы.

Все недостатки SPECTER, связанные с отсутствием гибкости или непривычными решениями, компенсируются уникальной функцией, которую хотелось бы видеть во всех остальных приманках. Одна из подобных функций — возможность сбора информации о взломщике с помощью таких интеллектуальных модулей, как finger, traceroute и portscan. Данная функция позволяет сэкономить время при анализе последствий атаки, хотя использование этих модулей может насторожить взломщика. Такой режим был бы полезен и в других приманках.

Вместе со SPECTER поставляются образцы примеров данных, с помощью которых можно придать приманке более реалистичный вид и привлечь взломщиков. Например, в SPECTER имеются ложные файлы паролей различных уровней сложности. Вместо того чтобы выслать файл паролей по запросу взломщика, приманка может переслать предупредительное текстовое сообщение. SPECTER генерирует программы, которые взломщик может загрузить. В результате на компьютере взломщика остаются скрытые отметки. Предполагается, что правоохранительные органы смогут представить эти метки как доказательства в суде. Правда, до настоящего времени ни одна правоохранительная организация не воспользовалась этой возможностью, поэтому ее эффективность остается неизвестной. Пока неизвестна и юридическая ответственность администратора, использующего приманку. Более подробно об этом рассказано во врезке «Юридические тонкости».

SPECTER имеет множество интересных особенностей. Например, клиент дистанционного администрирования почти так же функционален, как и локальный клиент, кнопка оперативного обновления позволяет обнаружить новые версии программы, предусмотрено несколько методов предупреждения и протоколирования, а механизм анализа журналов обеспечивает поиск важных зарегистрированных событий.

Я наблюдал за SPECTER в течение года. Продукт мог бы стать одним из лучших на рынке приманок для Windows, но выглядит устаревшим, как будто разработчик не уделяет ему достаточного внимания. Главный недостаток — слабая эмуляция портов и параметров настройки. Начальная цена — 599 долл. за облегченную и 899 долл. за полную версию.

VMware Workstation

Продукт не предназначен специально для использования в качестве приманки, но администраторы часто строят на основе VMware Workstation реалистичные приманки и даже сети приманок (honeynet). На экране 4 показан графический интерфейс VMware Workstation. VMware Workstation работает с одной или несколькими операционными системами, каждая из которых запускается в сеансе виртуальной машины. Каждый сеанс работает с реальными программами и выглядит как производственный ресурс. В качестве базовой операционной системы могут использоваться Windows (Windows 2003, XP, Windows 2000 и NT) и Linux.

Экран 4. VMware Workstation?s GUI

VMware Workstation удобно задействовать в качестве приманки благодаря расширенным возможностям продукта.

• Любой претерпевший изменения сеанс можно вернуть в исходное состояние, перезапустив его одним щелчком мыши. Например, если взломщик загрузил вредоносные программы, то администратор может удалить все последствия действий взломщика, быстро перезапустив сеанс.
• Любой измененный сеанс можно сохранить в текущем состоянии и впоследствии восстановить для анализа.
• Сеансы можно объединить, дав взломщику возможность исследовать связанные приманки в моделируемой среде, не опасаясь, что взломщик доберется до производственных ресурсов.
• Хост-система — идеальное место для установки анализаторов пакетов и исследовательских программ для мониторинга каждого виртуального сеанса.

В отличие от других приманок, представленных в данном обзоре, приманки VMware Workstation — не виртуальные, а реальные машины, работающие с реальными операционными системами. Это значит, что приманки довольно точно отвечают на запросы из стека IP в прикладной уровень. Кроме того, если сеанс организован на реальной приманке, то восстановить ее после нападения взломщика не составляет труда. Однако у реальных приманок, организованных при помощи VMware Workstation, есть ряд недостатков.

• Помимо стоимости программы (299 долл. за электронный дистрибутив), необходимо оплатить лицензию для сеанса каждой операционной системы. Поэтому одновременный запуск нескольких приманок может быть связан со значительными затратами.
• Поскольку программное обеспечение приманки реальное, начальная установка (с организацией механизмов мониторинга и управления данными) всех сеансов может занять несколько дней.
• VMware Workstation не располагает встроенными функциями отслеживания, предупреждения и протоколирования. Чтобы дополнить приманку программами с этими функциями, их необходимо инициировать извне, так как после нападения на реальную приманку все программы на ней следует считать ненадежными.
• Несмотря на легитимность программных сеансов VMware Workstation, их можно идентифицировать с помощью нескольких приемов. В результате взломщик, которому известны отличительные особенности сеанса данного типа, может без труда распознать приманку.

* Каждый сеанс содержит полностью рабочий экземпляр легитимной операционной системы, поэтому трудно контролировать действия взломщиков, проникших в приманку. Если в конфигурации приманки допущены ошибки, взломщик может использовать операционную систему приманки как отправную точку для атаки на другие внешние и внутренние объекты.

В целом рынок приманок еще не достиг зрелости и повторяет путь, пройденный брандмауэрами и системами обнаружения несанкционированного доступа (IDS). Некоторые приманки UNIX располагают функциями корпоративного уровня (например, скрытый контроль данных, тайный мониторинг на базе ядра), но таких возможностей нет ни в одной приманке Windows. Однако, как это часто случается, дружественный пользователю графический интерфейс лучших приманок для Windows остается непревзойденным.

Для предприятий, которые могут потратить на приманку 990 долл., оптимальным вариантом будет KFSensor. KFSensor — единственная программная приманка, ориентированная в основном на платформу Windows; разработчики активно и часто модернизируют продукт. Благодаря дружественному и привычному графическому интерфейсу пользователям Windows проще развернуть приманку и настроить ее многочисленные функции. Кроме того, KFSensor — единственная приманка со встроенными функциями NetBIOS и Windows RPC.

Honeyd-WIN32 — мощная, бесплатная, гибкая и масштабируемая приманка. Благодаря возможности эмулировать набор протоколов IP и службы Windows этот продукт — один из лучших на рынке. Однако из-за сложной процедуры установки, отсутствия графического интерфейса, обновлений и эмуляции NetBIOS Honeyd-WIN32 можно признать оптимальным вариантом только по цене.

SPECTER — очень перспективный продукт со множеством уникальных функций. Его существенный недостаток — жесткое ограничение числа служб (14) и невозможность четкой настройки на конкретное применение. Превратится ли SPECTER со временем в ведущий продукт на рынке приманок, зависит от того, будут ли приложены достаточные усилия для его совершенствования. В настоящее время я не могу рекомендовать эту приманку и отдаю предпочтение более гибким конкурентам.

VMware Workstation — отличный выбор для администраторов, которые нуждаются в приманке с высоким уровнем эмуляции. Продукт обеспечивает очень реалистичную приманку для взломщиков, но расширенная функциональность затрудняет контроль над их действиями. Это идеальная виртуальная среда для размещения утилит мониторинга. Виртуальные сеансы можно перезапустить одним щелчком мыши.

Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O?Reilly & Associates). Его адрес: roger@rogeragrimes.com

Honeyd-WIN32 0.5

http://www.securityprofiling.com/honeyd/honeyd.shtml

Цена: бесплатно.

Краткая характеристика

Достоинства. Распространяется бесплатно. Отличная эффективность на сетевом уровне. Высокая гибкость при настройке на конкретное применение.

Недостатки. Сложность настройки. Продукт давно не обновлялся. Пока не реализована сложная эмуляция служб Windows.

KFSensor

Компания KeyFocus — http://www.keyfocus.net

Цена: от 990 долл. за один экземпляр до 5465 долл. за 10 экземпляров.

Краткая характеристика

Достоинства. Отличный графический интерфейс.

Прекрасная эмуляция Windows для малоинтерактивной приманки.

Недостатки. Самый дорогостоящий продукт в данном обзоре. Нет функций захвата пакетов.

SPECTER 7.0

Network Security Software — http://www.specter.com

Цена: 899 долл. за полную версию (одна лицензия); 399 долл. за каждую полную лицензию; расширенный период модернизации и обслуживания — 99 долл. (1 год).

Краткая характеристика

Достоинства. Уникальные функции, отсутствующие в других приманках.

Недостатки. Слабые возможности настройки на конкретное применение. Обслуживает только 14 служб или портов. Нечастое обновление продукта.

Юридические тонкости

При организации и обслуживании приманки в производственной среде следует помнить о праве на конфиденциальность (хакера) и ответственности администратора, если взломщик использует организованную им приманку для нападения. Большинство специалистов, в том числе юристы, изучавшие ситуацию, считают, что администратор приманки не будет нести серьезной ответственности или вообще освобожден от нее. Но не упомянуть об этом обстоятельстве нельзя, так как в американских судах пока не было прецедентов. Поэтому, размещая приманку или другой инструмент мониторинга в производственной среде, желательно получить юридическую консультацию. Чтобы более подробно ознакомиться с юридическими проблемами применения приманок, следует обратиться по адресу http://www.honeypots.net/honeypots/links и выполнить поиск по ключевому слову legal.

VMware Workstation 4.0

VMware — http://www.vmware.com

Цена: 299 долл. за электронный дистрибутив или 329 долл. за пакетный дистрибутив.

Краткая характеристика

Достоинства Имитирует целостную производственную систему.

Простота восстановления после поражения.

Недостатки

Может быть легко идентифицирована как виртуальная система. Необходимость дополнительных лицензий операционной системы для функционирования.Необходимость специальных мер, чтобы предотвратить использование продукта как платформы для дальнейшей атаки.