Khoa Mạng máy tính & Truyền thông .::. CLB UITnetwork

Trong vô số các biện pháp ngăn chặn tin tặc đột nhập vào hệ thống thì "honeypot" (tạm gọi là Mắt ong) và "honeynet" (tạm gọi là Tổ ong) được coi là một trong những cạm bẫy được thiết kế với mục đích này. Bài viết giới thiệu tổng quát về Honeypot và Honeynet, Đồng thời phân tích ưu nhược điểm của từng loại, mô hình và cách khắc phục.

I. HONEYPOT

1. Khái Niệm:

• Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.
• Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vì bị tấn công.

2. Các Loại Honeypot.

Gồm hai loại chính: Tương tác thấp và tương tác cao

• Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
• Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Các mô hình Honeypot

• BackOfficer Friendly (BOF): Một loại hình Honeypot rất dễ vận hành và cấu hình và có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhưng chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP...

• Specter: Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt.

• Honeyd:

- Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác với kẻ tấn công với vai trò một hệ thống nạn nhân.

- Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau.

- Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473 hệ điều hành.
- Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd có nhược điểm là không thể cung cấp một hệ điều hành thật để tương tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm.

II. HONEYNET

1. Khái Niệm:

• Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường. Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật.
• Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là gateway ở giữa honeypots và mạng bên ngoài. Nó hoạt động ở tầng 2 như là Bridged. Các luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall.
• Honeynet được cấu tạo từ nhiều Honeypot khác nhau.

2. Kiến Trúc Honeynet.

3. Các Chức Năng Của Honeynet

a. Điều Khiển Luồng Dữ Liệu.

- Khi các mã hiểm độc thâm nhập vào honeynet, sẽ bị kiểm soát các hoạt động.
- Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ bị hạn chế.

b. Tiếp Nhận Dữ Liệu.

- Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc.

c. Phân Tích Dữ Liệu

Mục đích chính của honey net chính là thu thập thông tin. Khi đã có thông tin thì người dùng cần phải có khả năng để phân tích các thông tin này. Nếu bạn có khả năng lập trình tốt thì bạn có thể viết một chương trình, phân tích dữ liệu và báo cáo dưới dạng biểu đồ.

d. Tập Trung Dữ Liệu

Tổng kết các nguồn dữ liệu vào một server tập trung để tiện phân tích (Đối với các tổ chức có nhiều Honeynet).

III. MỘT SỐ MÔ HÌNH TRIỂN KHAI HỆ THỐNG HONEYNET

1. Một Số Mô Hình Triển Khai Trên Thế Giới

Dưới đây là một số mô hình triển khai hệ thống Honeynet trên thế giới nhằm nghiên cứu, thu thập thông tin kỹ thuật tấn công của Hacker trên mạng.

Sơ đồ triển khai dự án Artemis đại học Bắc Kinh, Trung Quốc

Hình trên là sơ đồ triển khai Honeynet tại đại học Bắc Kinh, Trung Quốc trong một dự án có tên là Artemis. Hiện tại, dự án đang triển khai trên nền Honeynet thế hệ thứ III, mô hình triển khai gồm ba honeypot với các hệ điều hành khác nhau: RedHat Linux 8.0, Windows XP, Windows 2000 và các honeypot ảo được giả lập chương trình honeyd.

Sơ đồ triển khai Honeynet của Greek Honeynet Project

Hình tiếp là sơ đồ triển khai Honeynet trong dự án Honeynet tại Hy Lạp, hệ thống Honeynet sử dụng Honeywall phiên bản roo-1.0.hw-189, một honeypot: 1 Red Hat 9.0 (DNS Server) và bốn honeypot ảo giả lập bằng honeyd các hệ điều hành: MS Windows XP Pro SP1, Linux 2.4.20, Solaris 9 và Cisco1601R IOS 12.1

Tham khảo thêm tại http://www.honeynet.org.gr/reports/apr2005-sept2005.html

Sơ đồ triển khai Honeynet của UK Honeynet Project

Cuối cùng là hình mô tả sơ đồ triển khai Honeynet của dự án Honeynet tại Anh.

• Giới thiệu về Honeywall: Honeywall là một phiên bản Linux gọn nhẹ được tích hợp các công cụ sẵn có để làm hệ thống Honeynet. Phiên bản mới nhất tại thời điểm viết bài là roo-1.4.hw-20090425114542. Tham khảo tại https://projects.honeynet.org/honeywall/

2. Nhận Xét

• Ưu điểm: Các mô hình trên dễ triển khai, yêu cầu phần cứng của gateway không lớn.

• Nhược điểm : Nếu sử dụng các bộ quét mạnh như Nmap hay Nessus thì dễ dàng nhận diện ra tồn tại của honeywall, đồng thời thấy được các node mạng bên trong honeywall. Nếu bị DDOS Honeywall sẽ bị tê liệt nhanh chóng

• Khắc phục: cấu hình lại Honeywall, để cung cấp thông tin sai về Hệ điều hành của Honeywall. Hoặc thiết kế lại Honeywall để giả lập tất cả các câu trả lời đối với các bộ quét (Scanning). Tuỳ theo tài nguyên sẵn có, và môi trường thực tế mà ta sẽ lựa chọn giải pháp thích hợp.

3. Mô Hình Sẽ Triển Khai

- Honeywall sẽ được làm gateway để quản lý các traffic ra vào mạng, đồng thời sẽ được cài đặt firewall (ở đây là iptables ). Honeywall này sẽ được cài đặt để giả lập tất cả các trả lời từ phía bộ scan ở phía client (Nmap, Nessus) – Nghĩa là Honeywall sẽ trở nên transparent với client, client sẽ không nhận ra sự tồn tại của Honeywall. Đồng thời Honeywall sẽ là nơi quản lý traffic ra vào mạng và chuyển hướng các gói tin đến nơi thích hợp. Và Honeywall sẽ thu thập các thông tin về hacker và phân tích …

- Các Host bên trong sẽ sửa lại banner để khi hacker có vượt qua được Honeywall cũng không thể đoán biết được host đích được cấu hình ra sao.

• Vấn đề đặt ra: Vì traffic ra vào mạng rất lớn nên perfomance của Server cài đặt Honeywall khá cao. Các Honeypot sẽ là các đích ảo cho hacker khi tấn công ở mức cao hơn. Trên đây sẽ để các server bị lỗi hoặc khuyến mãi cho các hacker một vài con virus phá hoại nào đó chẳng hạn.

• Ưu điểm: Độ bảo mật cao hơn, Có thể chịu đựng được DDOS nếu Firewall được cấu hình tốt, Hacker sẽ không thể xác định Host đích chính xác, và không nắm rõ hệ thống sử dụng hệ điều hành nào. Bảo mật từ cao đến thấp (Mô hình pháo đài).

• Nhược điểm: Cấu hình phức tạp, Yêu cầu tài nguyên phần cứng lớn, làm giảm Performent của mạng.

Mời các bạn đón đọc các phần tiếp theo, Mọi ý kiến đóng góp thảo luận xin vui lòng vào http://uitnetwork.com/forum/

(Tổng hợp)
www.UITnetwork.com