Honeyd

Honeyd — это небольшой демон, создающий виртуальные хосты в сети, которые могут быть настроены для запуска произвольных задач в определённых операционных системах. Honeyd позволяет отдельному хосту получать несколько адресов по локальной сети для сетевой имитации, а также повышает информационную безопасность, предоставляя механизмы для выявления и оценки угроз, сдерживает противников, скрывая реальные системы в середине виртуальных систем.

Honeyd получил своё название благодаря способности быть использованным в качестве приманки Honeypot.

Механизмы действия

Основной целью использования Honeyd является обнаружение неавторизованной деятельности внутри локальной сети организации. Honeyd наблюдает за всеми неиспользуемыми IP-адресами, при этом любая попытка подсоединения к такому IP-адресу рассматривается как неавторизованная или злонамеренная активность. Поэтому, когда происходит попытка подключения к одному из них, Honeyd автоматически определяет принадлежность неиспользуемого IP-адреса, и начинает исследовать взломщика.

Этот подход к обнаружению имеет несколько преимуществ по сравнению с традиционными методами:

1. Honeyd легко устанавливать и обслуживать;
2. Honeyd обнаруживает не только известные атаки, но также неизвестные;
3. Honeyd выдает сигнал тревоги только в случае реальной атаки, вероятность ложного сигнала сведена к минимуму.

Honeyd также предоставляет и такую возможность Honeypot как эмулирование операционной системы на уровне ядра. Вследствие того, что взломщики часто удаленно определяют тип операционной системы, используя такие утилиты, как Nmap или Xprobe, а Honeyd использует базу отпечатков утилиты Nmap, то возможна и подделка ответов любой операционной системы, которую необходимо эмулировать. Эта способность Honeyd используется для исследования попыток взлома систем.

Подсистема виртуализации

Honeyd поддерживает задачи виртуализации, выполняя приложения Unix как подсистем виртуального пространства IP-адресов в уже настроенной ловушке Honeypot. Это позволяет любому сетевому приложению динамически связывать порты, создавать TCP и UDP соединения, используя виртуальный IP-адрес. Подсистемы перехватывают сетевые запросы и перенаправляют их в Honeyd. Дополнительным преимуществом такого подхода является возможность расстановки приманок для создания фонового трафика, например, запрашивание веб-страниц и чтение электронной почты и т. д.

WinHoneyd

WinHoneyd основана на Honeyd версии для Unix / Linux Platform, разработанной Niels Provos. WinHoneyd способна моделировать большие сетевые структуры с различными операционными системами на одном хосте.

Литература

• Галатенко В.А. Стандарты информационной безопасности. — М.: Интернет-университет информационных технологий, 2006. — 264 с.
• Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с.
• Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.

Ссылки

• Developments of the Honeyd Virtual Honeypot (англ.). netVigilance. Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.
• Разумов М. Установка honeypot на примере OpenSource Honeyd  (неопр.). Сетевые решения. Дата обращения: 13 марта 2010.
• WinHoneyd (англ.). Дата обращения: 11 марта 2010. Архивировано 20 апреля 2012 года.