Использование Honeypot для измерения потенциальной угрозы

В контексте информационной безопасности «горшком меда» (honeypot) или «ловушкой» принято называть систему, созданную Для взлома. Установка такой системы в вашей сети позволит изучить тактику взломщиков и, возможно, откроет для вас несколько новых видов атак. Хорошо, если злоумышленник не подозревает, что залез в «горшок с медом». Он должен вести себя естественно, как в случае проникновения в обычную систему без специального мониторинга. В рамках концепции Honeypot такой мониторинг подразумевает детальное протоколирование всех действий нападающего. Причем функцию слежения может выполнять как сам узел-ловушка, так и любая другая машина в сети. Главное, что эффективность «горшка меда» всегда зависит от количества и качества собранной информации. Важной особенностью узла-ловушки является ограничение ее функциональности в Internet как клиентской машины. Плохо, если хакер превратит вашу ловушку в промежуточную площадку для взлома и вам придется объяснять властям, каким образом система Honeypot способствовала атаке.

Во избежание подобных коллизий ловушку обычно помещают за инверсный межсетевой экран (inverse firewall), причем разрешены только входящие соединения, а исходящие блокируются. Такие меры не бывают излишними, хотя могут заставить хакера насторожиться. Если ваш узел-ловушка, призванный быть инертным, вдруг устанавливает внешнее соединение, — вы знаете, что кто-то попался на удочку. Даже если после этого взломщик догадается об обмане, вы успеете собрать информацию об атаке. Некоторые администраторы позволяют взломщику беспрепятственно продолжать атаку на обычный компьютер (не ловушку), изучая при этом его поведение. Другими словами, они «превращают» свою систему в Honeypot уже после проникновения хакера. Я не рекомендую действовать подобным образом, так как не вижу никакого удовольствия в отслеживании действий хакера без предварительной подготовки. Тем не менее и такая политика имеет