« poprzedni punkt |
Internetowa pułapka jest zbiorem elementów funkcjonalnych, które posługują się oszustwem w celu odwrócenia uwagi potencjalnego intruza od rzeczywistych, wartościowych zasobów poprzez użycie zasobów fikcyjnych i skierowanie intruza do systemu gromadzenia informacji wiążących się z włamaniami oraz reagowania.
Detektory pułapkowe symulują działanie systemu, który może być przedmiotem ataku. Pełnią więc rolę atrap tzn. prezentują się jako autentyczny cel ataku, który nie został prawidłowo zabezpieczony.
Skuteczna pułapka nie powinna naruszać bezpieczeństwa zasobów rzeczywistych.
Z pułapkami wiąże się pojęcie przynęty. W przypadku pułapki internetowej są to zasoby, którymi powinien zainteresować się intruz. W praktyce przynęty będą budowane z plików, które wyglądają interesująco, sugestywnych katalogów i realistycznych układów sieciowych.
Podstawowa zasada działania pułapki polega na tym, że intruz wchodzi w interakcję ze zbiorem zasobów rzeczywistych, których aktywność jest monitorowana przez system wykrywania włamań. Po uzyskaniu wystarczających dowodów włamania intruz jest kierowany do zasobów fikcyjnych. Działanie wyzwalające pułapkę może być specjalnie oznaczona operacją lub iteracja pewnego zdarzenia, która przekroczy wyznaczoną wartość progową lub dowolny inny symptom włamania.
Z pułapką należałoby związać również drugi wyzwalacz, który można byłoby nazwać uniewinnieniem. Powinien on powodować powrót z zasobów pułapki do zasobów rzeczywistych. Używany byłby w przypadku uzyskania wystarczających świadectw, że intruz jest w rzeczywistości nieszkodliwym użytkownikiem. W tej chwili chyba brak jest implementacji tego typu mechanizmów.
Z modelem pułapki internetowej związane są więc cztery zagadnienia techniczne:
Zwykle pułapki stosuje się w dwóch celach:
To na ile skuteczna będzie pułapka, zależy w znacznej mierze od jego umiejscowienia w sieci. Chroniąc się przed intruzami trzeba mieć na względzie statystyki, wskazujące na to, że zdecydowana większość ataków pochodzi z wnętrza sieci. To właśnie uprawnieni użytkownicy najczęściej próbują złamać zabezpieczenia, skanują sieć lub wykonują inne, niepożądane z punktu widzenia administratora czynności. Pułapka powinna znajdować tak blisko serwerów produkcyjnych jak to tylko możliwe. Zwiększa to prawdopodobieństwo, że włamywacza zainteresuje się atrapą, a nie prawdziwym serwerem.
Jedna z technik rozstawienia pułapek polega na emulowaniu niewykorzystywanych serwisów sieciowych na serwerach produkcyjnych. Nosi ona nazwę tarczy (shield)i wymaga użycia przekierowywania (redirect) portów na bramce do Internetu (zwykle router) lub firewall'u. Dzięki temu można stworzyć wrażenie, że na serwerze produkcyjnym działają serwisy, których w rzeczywistości tam nie ma.
Przykładem tej techniki może być firmowy serwer WWW, który posiada otwarty wyłącznie port 80 (HTTP). Pozostałe porty można w tym przypadku przekierować do pułapki, na którym działać będzie serwer Telnetu (port 23) albo poczty SMTP (port 25). Ponieważ nikt uprawniony nie ma powodu by odwoływać się do tych serwisów można założyć, że każde odwołanie do nich jest próbą naruszenia bezpieczeństwa sieci.
Zastosowanie tej techniki pozwala na wykrywanie naruszeń na serwerach produkcyjnych ale wyłączenie nieużywanych serwisów. Po przyjęciu tego rozwiązania nadal niezbędne jest przeglądanie logów serwisów produkcyjnych (co nigdy nie jest złym pomysłem).
Innym sposobem rozmieszczenia pułapek jest umieszczenie ich bezpośrednio między serwerami produkcyjnymi jako kolejnę maszynę. Tą technikę rozmieszczenia zwykło się nazywać polem minowym (minefield).
Konfigurację taką uzyskuje się poprzez nadanie systemowi-atrapie kolejnego adresu IP z tej samej puli adresów co serwerom produkcyjnym. Na przykład jeśli ostatni oktet adresów IP serwerów produkcyjnych to .2, .3, .5 to pułapka powinna otrzymać adres zakończony na .4. Można również stworzyć taką konfigurację, w której pułapka będzie pojawiać się wielokrotnie w jednej podsieci za pomocą techniki IP Aliasing (nadawanie kilku adresów IP tej samej maszynie). W tym rozwiązaniu nie jest potrzebne urządzenie sieciowe potrafiące przekierowywać porty.
Celem tej konstrukcji jest złapanie tych włamywaczy, którzy po uzyskaniu dostępu do sieci wewnętrznej zaczną ją skanować w poszukiwaniu celów. Pułapka musi posiadać zwracającą uwagę sygnaturę sieciową, ale nie dość, by wyglądać podejrzanie. Serwisy uruchomione na serwerach produkcyjnych powinny więc działać również na sieciowej atrapie. Cała żmudna konfiguracja na nic jednak się nie zda jeśli intruz nie zainteresuje się pułapką i od razu przejdzie do ataku serwerów produkcyjnych.
Kolejna technika rozmieszczenia pułapek nazwana została Zoo. Są to w całości wirtualne podsieci, które kuszą napastnika słabymi zabezpieczeniami. Nazwa zoo wzięła się stąd, że intruz wpuszczony zostaje do sztucznego środowiska, w którym jest obserwowany. Wirtualna sieć musi zawierać komputery o zróżnicowanych funkcjach dając włamywaczowi sposobność do skorzystania z różnych metod ataku. Sieć taka potrafi pochłonąć całą uwagę włamywacza, podczas gdy administratorzy mogą poznać umiejętności, zaplecze oraz intencje intruza.
Aby skutecznie zainteresować włamywacza pułapka musi posiadać również rzeczywiste dane. Dobrym pomysłem jest umieszczenie stron WWW z oryginalnego serwera, czy pliki o nazwach sugerujących ich poufność.
Jeśli pułapka zdoła przekonać intruza, że jest tym, za kogo się podaje, atakujący może rozpocząć atak z wykorzystaniem dziury nie znanej jeszcze administratorom. Dokładne logi o przebiegu ataku, który i tak skazany jest na niepowodzenie, mogą pozwolić administratorom na zapobieżenie tego ataku na serwerach produkcyjnych. Zalety tej nie posiadają systemy IDS, które muszą znać dokładną sygnaturę ataku na serwis zanim on nastąpi.
Niestety metoda ta ma też swoją wadę. Po nieudanym ataku intruz w najlepszym wypadku domyśli się, że nie atakuje prawdziwego systemu i rozłączy się. W gorszym - próbując zatrzeć ślady swojej działalności może wyrządzić w sieci poważne zniszczenia. Dlatego pułapka musi znać dziury w serwisach, które emuluje, by zwodzić intruza tak długo jak to tylko możliwe nie zdradzając przy tym swojej prawdziwej tożsamości. Z tego też powodu pułapka powinna być w stanie reagować zgodnie z oczekiwaniami intruza na stosowane przez niego exploity.
Nawet w najmniej optymistycznym scenariuszu pułapka może dostarczyć informacji o sposobie, w jaki intruz uzyskał dostęp do sieci, co pozwoli na zamknięcie tej drogi.
Pułapka może być bardzo użyteczna jeśli administrator posiada czas, umiejętności i możliwości nie tylko do monitorowania systemu, ale również analizowania rezultatów jego działania.
Pułapki i systemy IDS dublują się w pewnych obszarach. Jeśli intruz spróbuje skanować sieć w poszukiwaniu pułapek (o ile wie jak je odróżnić od prawdziwych systemów), to jego działalność powinna zostać natychmiast wykryta przez każdy IDS wyczulony na tego typu działania. Z drugiej strony, bez skanowania intruz nie będzie w stanie stwierdzić czy system, do którego się dostał nie jest tylko zbierającą o nim dane atrapą. Trzeba jednak pamiętać, że nawet tak wyrafinowane rozwiązania nie chronią w stu procentach.
Z pułapkami związana jest kwestia prawna, oraz wątpliwość czy tworzenie łatwego celu nie stanowi zaproszenia dla włamywacza. Kwestia prawna dotyczy ścigania intruzów. Nawet posiadając wpisy w logach świadczące o włamaniu trudno jest dowieść poniesionej straty, bowiem włamywacz nie naruszył żadnych tajnych danych firmy. Dobrym argumentem jest jednak pytanie - czy celowo zostawione dziury w pułapce dają intruzom prawo do jego atakowania?
« poprzedni punkt |