HONEYNET- Ứng dụng và hiệu quả thực tế
Giới thiệu về Honeypot
Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng, đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý, ngăn không cho chúng tiếp xúc với hệ thống thật. Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như Mail Server, Domain Name Server, Web Server... Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành tấn công. Honeypot gồm hai loại chính:
Honeypot tương tác thấp: Loại này mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành, mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ. Các Honeypot tương tác thấp bao gồm:
- BackOfficer Friendly (BOF): Là một loại hình Honeypot rất dễ vận hành và cấu hình của nó có thể hoạt động trên bất kỳ phiên bản nào của Windows và Unix, nhưng nhược điểm của nó là chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP.
- Specter: Đây cũng là loại hình Honeypot tương tác thấp nhưng có khả năng tương tác tốt hơn so với BackOfficer, loại Honeypot này có thể giả lập trên 14 cổng (Port); và có thể cảnh báo, quản lý từ xa. Tuy nhiên, cũng giống như BackOfficer thì Specter có nhược điểm là bị giới hạn số dịch vụ và không linh hoạt.
- Honeyd: Loại Honeypot này có thể “lắng nghe” trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác với kẻ tấn công trong vai trò là một hệ thống nạn nhân. Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473 hệ điều hành. Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm, tuy nhiên nó có nhược điểm là không thể cung cấp một hệ điều hành thật để tương tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hoặc gặp phải nguy hiểm. Honeypot tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng. Honeynet là hình thức honeypot tương tác cao.
Xây dựng Honeynet
Mục đích xây dựng Honeynet
Khác với các hệ thống an ninh mạng khác như hệ thống phát hiện xâm nhập và chống xâm nhập (IDS - IPS), hệ thống Firewall,... được thiết kế làm việc thụ động trong việc phát hiện, ngăn chặn sự tấn công của tin tặc thì Honeynet lại được thiết kế nhằm chủ động lôi kéo hacker tấn công vào hệ thống giả được bố trí bên cạnh hệ thống thật nhằm mục đích:
- Thu thập các kỹ thuật, phương pháp tấn công, các công cụ mà hacker sử dụng, đặc biệt là các kỹ thuật tấn công mạng mới, các mẫu virus, mã độc mới.
- Giúp sớm phát hiện ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin đã triển khai cài đặt trên hệ thống thật. Từ đó, sớm có biện pháp ứng phó, khắc phục kịp thời. Đồng thời, cũng kiểm tra độ an toàn của hệ thống mạng, các dịch vụ mạng (Web, DNS, Mail,...) và độ an toàn, tin cậy, chất lượng của các sản phẩm công nghệ thông tin khác (đặc biệt là các Hệ điều hành như: Unix, Linux, Window,...).
- Thu thập các thông tin, dấu vết của hacker (như: địa chỉ IP của máy hacker sử dụng tấn công, vị trí địa lý của hacker, thời gian hacker tấn công,...). Từ đó, giúp chuyên gia an ninh mạng truy tìm thủ phạm.
Các chức năng của Honeynet (GenII)
Khác với các Honeypot, Honeynet là một hệ thống “thật”, hoàn toàn giống một mạng làm việc bình thường, Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật. Điều quan trọng nhất khi xây dựng một Honeynet chính là Honeywall. Honeywall là gateway ở giữa Honeypot và mạng bên ngoài. Nó hoạt động ở tầng 2 như là Bridged. Các luồng dữ liệu khi vào/ra từ Honeypot đều phải đi qua Honeywall. Mô hình kiến trúc của Honeynet như Hình 1.
Các chức năng của Honeynet bao gồm:
Điều khiển dữ liệu:
- Khi các mã hiểm độc thâm nhập vào Honeynet sẽ bị kiểm soát các hoạt động.
- Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ bị hạn chế.
Thu nhận dữ liệu:
Khi dữ liệu đi vào thì Honeynet sẽ xem xét và ghi lại tất cả các hoạt động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc.
Phân tích dữ liệu:
Mục đích chính của Honeynet chính là thu thập thông tin. Khi đã có thông tin thì người dùng cần phải có khả năng để phân tích các thông tin này.
Hình 1: Mô hình kiến trúc của Honeynet
Thu thập dữ liệu:
Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Điều này chỉ áp dụng cho các tổ chức có nhiều Honeynet, còn đa số các tổ chức chỉ có một Honeynet.
Ứng dụng thực tế của Honeynet
Hiện nay trên thế giới đã có rất nhiều tổ chức, cơ quan, đặc biệt là các công ty, tổ chức an ninh mạng đã tiến hành triển khai Hệ thống Honeynet như: Symantec, Trend Micro, Snort.... Ở Việt Nam, Trung tâm an ninh mạng Bkis cũng đã triển khai hệ thống này và nó có
tác dụng hữu hiệu trong việc giúp các chuyên gia an ninh mạng nghiên cứu và sớm phát hiện ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin; Các kỹ thuật tấn công mạng mới, các mẫu virus- mã độc mới; giúp truy tìm dấu vết - tung tích các tin tặc; kiểm tra độ an toàn của hệ thống mạng và qua đó góp phần bảo vệ hệ thống mạng ngăn chặn sự xâm nhập trái phép của các tin tặc.
Một số mô hình triển khai hệ thống Honeynet.
Sơ đồ triển khai Honeynet tại đại học Bắc Kinh, Trung Quốc trong một dự án có tên là Artemis được mô tả trong Hình 2.
Hình 2: Mô hình triển khai Honeynet tại Trung Quốc
Hiện tại, dự án đang triển khai trên nền Honeynet thế hệ thứ III, mô hình triển khai gồm ba Honeypot với các hệ điều hành khác nhau: RedHat Linux 8.0, Windows XP, Windows 2000 và các Honeypot ảo được giả lập chương trình Honeyd.
Hình 3: Mô hình triển khai Honeynet tại Hy Lạp
Hình 3 là sơ đồ triển khai Honeynet trong dự án Honeynet tại Hy Lạp, hệ thống Honeynet sử dụng Honeywall phiên bản roo-1.0.hw-189, một Honeypot: 1 Red Hat 9.0 (DNS Server) và bốn Honeypot ảo giả lập bằng honeyd các hệ điều hành: MS Windows XP Pro SP1, Linux 2.4.20, Solaris 9 và Cisco1601R IOS 12.1.
Sơ đồ triển khai Honeynet của Honeynet Project ở Anh như mô tả ở Hình 4.
Hình 4: Mô hình triển khai Honeynet của Anh
Cài đặt và cấu hình hệ thống Honeynet.
Như vậy, cùng với việc áp dụng các hệ thống an ninh mạng thông dụng như hệ thống phát hiện xâm nhập (IDS - IPS), hệ thống Firewall... thì nghiên cứu và triển khai các hệ thống Honeynet, Honeypot nhằm chủ động lôi kéo sự tấn công của hacker để nắm bắt các kỹ thuật tấn công và phát hiện lỗ hổng bảo mật trong hệ thống CNTT là một biện pháp truy tìm thủ phạm và đưa ra các giải pháp phòng chống tội phạm an ninh mạng của các tổ chức hoạt động trong lĩnh vực an toàn thông tin.
