Технологии протоколирования Honeypot в обеспечении безопасности сетевых UNIX-систем

Антон Даниленко

Honeypot – заведомо уязвимая система, настроенная администратором таким образом, чтобы изучать методы атак хакеров на нее, собирать статистические данные или специфическое программное обеспечение, используемое злоумышленниками для вторжения в другие системы перехвата информации. Главным требованием для Honeypot является то, что он должен выглядеть как абсолютно нормальный сервер, скажем, в сети какой-нибудь промышленной корпорации, со всеми стандартными сервисами, минимумом приложений, ориентированных на security, всяческих IDS и прочих тюнинговых решений для слежения за работой пользователей системы и функционирующих под ее управлением служб. При этом основная задача такого сервера – протоколирование любой сетевой и локальной активности. Honeypot, как правило, используется только для этого, на нем не ведется реальной работы, нет пользователей или жизненно важных сервисов. В этой статье я хотел бы рассказать, каким образом можно использовать технологии Honeypot для обнаружения атак, протоколирования локальной активности пользователей на реальных серверах без заведомо известных уязвимых мест. Главная проблема создания такой маниакально-следящей системы безопасности в том, что очень сложно обеспечить ее невидимость, поэтому представленное решение является неким компромиссом, позволяющим существенно повысить уровень защищенности системы и при этом получать максимум информации об атакующих.

За основу мы возьмем операционную систему FreeBSD, одну из наиболее популярных в нашей стране, гибкую в настройке и поддерживающую все необходимое программное обеспечение. Большинство Unix-систем объединяет то, что они имеют единую систему протоколирования Syslog, реализация которой настолько удачна, что ее поддержка реализована также в других системах, например, в Windows, правда, к сожалению, не самой фирмой-разработчиком, а сторонними энтузиастами. В ОС Linux и FreeBSD в качестве протоколирующего сервиса используется syslogd, который имеет ряд недостатков и скудные возможности в конфигурировании, в частности отсутствие возможности пересылать протоколы работы служб через TCP/IP или по почте, возможности шифрования передаваемых сообщений, протоколирование с использованием баз данных (mysql). Все эти функции реализованы в более серьезном бесплатном продукте syslog-ng, который мы и будем использовать. В качестве сопутствующего обеспечения будем использовать stunnel для шифрования передаваемых системами протоколирования данных через SSL.

Данную схему можно реализовать двумя способами. В пределах одной физической машины и в масштабе целой сети. Рассмотрим варианты на рисунках соответственно 1 и 2.

Рисунок 1

Рисунок 2

Как видно из рисунка 1, сервер протокола отделяется от машины с сервисами встроенными функциями операционной системы, а именно jailed-окружением (jail – тюрьма). Надо заметить, что эта технология как в ОС FreeBSD, так, впрочем, и в других системах реализована крайне неполно, а именно: практически нет разделения ресурсов между машинами (загрузка процессора, памяти и пр.). Хотя работа, которая ведется разработчиками FreeBSD 5.0 в этом направлении, внушает некоторый оптимизм, полноценно реализована эта технология только в коммерческих продуктах, таких как Virtuozzo. Обычно обе схемы используются одновременно. Т.е. на серверах-клиентах рисунка 2 реализуется схема, изображенная на рисунке 1. Таким образом система протоколирования получается более защищенной. Итак, приступим к настройке.

Настройка протоколируемого сервера

Шаг 1. Создание jail-машины

Если вы только что установили свежую систему (make world), воспользуйтесь следующим скриптом:

#!/bin/sh

D=/JAIL/jail1 # is do use a special mounted partition

mkdir –p ${D}

cd /usr/src

make hierarchy DESTDIR=$D

make obj

make depend