null

Solaris zones = honeynet

Honeypot - это некоторый ресурс, представляющий собой «ложную цель» для атакующей стороны. Изначально предполагается, что honeypot должен быть взломан. Главная задача honeypot’а – отвлечение внимания атакующей стороны от реальной цели и получение как можно более полной информации об атакующих, а так же методах и ресурсах, используемых при атаке. При всем этом получение описанной информации должно происходить незаметно для атакующей стороны. Обычно honeypot устанавливается на специально предназначенном для этого сервере, не содержащем никакой полезной информации. Естественно при этом, что любой поток информации проходящий через этот сервер является несанкционированным действием атакующей стороны. Благодаря относительной «пустоте» сервера все действия атакующей стороны легко контролируемы и, как правило, постоянно регистрируются с целью дальнейшего изучения. Для большей результативности применения honeypot их объединяют в сети (honeynet).

Существует большое количество реализаций honeynet для различных ОС. Одним из способов организации honeynet является применение технологии виртуализации, встроенной в систему Solaris (Solaris zones). На рисунке проиллюстрирована схема работы honeynet на базе зон Solaris

 

Рассмотрим, как это сделать, на примере TELNET зоны.

  1. Создаём зону

#zonecfg -z httpd_zone
zone1: No such zone configured
Use 'create' to begin configuring a new zone.
zonecfg:httpd_zone> create
zonecfg:httpd_zone> set zonepath=/
zones/1
zonecfg:httpd_zone> set autoboot=true
zonecfg:httpd_zone> add fs
zonecfg:httpd_zone:fs> set dir=/mnt
zonecfg:httpd_zone:fs> set special=/data
zonecfg:httpd_zone:fs> set type=lofs
zonecfg:httpd_zone:fs> add options [nodevices,logging]
zonecfg:httpd_zone:fs> end
zonecfg:httpd_zone> add inherit-pkg-dir
zonecfg:httpd_zone:inherit-pkg-dir> set dir=/opt/sfw
zonecfg:httpd_zone:inherit-pkg-dir> end
zonecfg:httpd_zone> add net
zonecfg:httpd_zone:net> set address=192.168.1.1
zonecfg:httpd_zone:net> set physical=msk0
zonecfg:httpd_zone:net> end
zonecfg:httpd_zone> add device
zonecfg:httpd_zone:device> set match=/dev/pts*
zonecfg:httpd_zone:device> end
zonecfg:httpd_zone> add attr
zonecfg:httpd_zone:attr> set name=comment
zonecfg:httpd_zone:attr> set type=string
zonecfg:httpd_zone:attr> set value=httpd_zone
zonecfg:httpd_zone:attr> end

zonecfg:httpd_zone> verify
zonecfg:httpd_zone> commit
zonecfg:httpd_zone> exit

 

  1. Устанавливаем зону

# zoneadm -z zone1 install

 

  1. Грузим зону

# zoneadm - z zone1 boot

 

  1. Подключаемся к зоне

# zlogin -C -e\@ zone1 (ключ –e задаёт последовательность для выхода из консоли)

  1. Включаем логирование TELNET сессии

Inetadm –m network/telnet:default tcp_trace=TRUE

  1. В глобальной зоне ставим firewall (Например ipfilter) и отслеживаем все запросы на 23 порт зоны TELNET. Также можно написать скрипт, который будет постоянно проверять лог firewalla и слать письма администратору.

Таким образом все запросы, приходящие на эти зоны, будут считаться принадлежащими злоумышленнику.

Аналогичным образом производим настройку остальных зон

 

Назад

О себе

В компании TUNE IT я занимаю должность инженера. В сферу моих профессиональных интересов входят следующие направления:

  • Администрирование UNIX систем (Solaris, Freebsd);
  • Обслуживание серверов и систем хранения данных фирмы Sun Microsystems;
  • Обеспечение безопасности вычислительных систем и сетей;
  • Виртуализация вычислительных инфраструктур.