Gunstig å sukre snokvarsling med honning

Et honningnett er et overvåket virtuelt nettverk der bare inntrengere ferdes. Job de Haas mener det er et nyttig supplement til vanlig snokvarsling.

Den nederlandske sikkerhetseksperten Job de Haas betegner seg selv som hacker. Han er teknologisjef i selskapet ITSX som tilbyr hackertjenester til organisasjoner som vil få en uavhengig vurdering av hvor godt sikret de er. Han har også deltatt i HoneyNet Project siden starten for tre år siden. Dette er et prosjekt som forsker på inntrengere ved å la dem opptre fritt i avgrensede og overvåkede nettverk, såkalte "honeypot" eller "honningnett". Haas mener honningnetteknologien nå er tilstrekkelig utviklet til at organisasjoner kan bruke den som et verdifullt supplement til vanlig snokvarsling. Han innledet tirsdag på et seminar organisert i Oslo av sikkerhetsselskapet mnemonic.

– Et honningnett er en sikkerhetsressurs der verdien ligger nettopp i at den angripes, undersøkes eller blir forsøkt kompromittert av uvedkommende. Det kan være noe så enkelt som en port som ikke har noen annen oppgave enn å avdekke angrepsforsøk. Det kan også være noe så komplisert som et virtuelt nettverk med tusener av IP-adresser og utvalgte tjenester som inntrengere kan forsøke seg på, mens du ubemerket overvåker og registrerer alt de gjør. Poenget er at det ikke finnes noe legitimt å gjøre i et honningnett, slik at alle du finner der, må betraktes som fiendtlig innstilt.

Haas mener honningnett kan deles i to grupper, avhengig av om de har få eller mange interaktive tilbud til inntrengere.

– Et honningnett med lav interaktivitet er lett å avsløre, slik at det er begrenset hvor mye du kan lære om inntrengeren. Et honningnett med høy interaktivitet er en langt større utfordring for inntrengeren, og gir deg langt flere opplysninger. På den andre siden øker risikoen for at hackeren greier å lure deg, og det er slett ikke sikkert du har bruk for å vite så mye mer enn det et enklere honningnett kan tilby.

Oppgaven til en snokvarsler er vanskelig, fordi det gjelder å avsløre en inntrenger i et produksjonsmiljø der det foregår svært mye annet. I et honningnett kan inntrengere observeres uten forstyrrende momenter, og man kan avdekke mønstre som siden kan tilføres snokvarsleren. Når du kjenner sporene, vet hva du skal lete etter i produksjonsmiljøet.

– Andre generasjons honningnett kan også brukes til å sinke pågående angrep, fordi tallet på mål kan økes langt utover det nettets fysiske størrelse skulle tilsi. Det er mulig å la en enkel PC simulere et nettverk med tusenvis av potensielle angrepsmål. Det er videre mulig å trekke virtuelle noder ut av honningnettet for å analysere hva som egentlig er på ferde.

En av de beste kildene til nærmere informasjon om honningnett, foruten nettstedet til HoneyNet Project, er nettstedet Tracking Hackers. Under valget "Honeypots Solutions" finnes en oversikt over både kommersielle og gratis løsninger.

Haas nevner spesielt åpen kildekodehonningen Honeyd (uttales "hannidii" med vekt på "dii") som HoneyNet-medlemmet Niels Provos fra University of Michigan har vedlikeholdt siden 2002.

– Honeyd innførte honningnetteknologien en rekke nye konsepter, sier Haas. – Programmet kan emulere flere lag med tjenester og operativsystem, og kan brukes til å overvåke millioner av ubrukte IP-adresser fra én enkelt PC. Det lager virtuelle systemer som inntrengeren vil oppfatte som reelle systemer.

Nettstedet tilbyr et eget verktøy, Honeyd Linux Toolkit, som brukes i tilknytning til Honeyd.

Et annet gratisverktøy på Tracking Hackers er Bait-n-Switch, en teknologi som ikke er et honningnett, men som brukes til å omdirigere all ikke-autorisert eller ikke-produksjonsrelatert trafikk til et honningnett.

På den kommersielle siden nevner Haas produktet NetBait fra det amerikanske selskapet Netlogiclab, som det også finnes lenke til fra Tracking Hackers.

– NetBait kan leveres både som produkt og som tjeneste. Det virker etter samme prinsipp som Honeyd, det vil si at inntrengeren tror han befinner seg i et stort nettverk med mange tjenester. Nettverket overvåkes av Netlogiclab.

Til toppen