Classificazione delle reti honeynet

Classificazione delle reti honeynet

In letteratura solitamente si adotta una classificazione che caratterizza l’evoluzione delle reti honeynet parlando in termini di generazioni.

Generazioni delle reti honeynet

Honeynet di prima generazione

Le honeynet di prima generazione (Gen I) furono sviluppate dalla Honeynet Alliance nel 1999, con l’obiettivo di migliorare la tecnologia degli honeypot, già ampiamente utilizzata negli ambienti di ricerca, soprattutto in merito all’emulazione dei servizi.

I principali vantaggi rispetto agli honeypot sono rappresentati dalla maggiore capacità di acquisizione dei dati e dalla possibilità di cattura di attacchi sconosciuti grazie all’impiego di sistemi reali in luogo di software di emulazione ed alla presenza di una infrastruttura di rete che consente la dislocazione di più sensori di rilevamento.

La funzione di data control è svolta da un classico firewall al quale sono applicate delle specifiche regole che in primo luogo cercano di prevenire l’eccessiva connettività in uscita, autorizzando tutte le connessioni in ingresso ma applicando un rigido controllo sulle altre con un blocco in caso di superamento del limite massimo consentito. Lo scopo è di impedire l’utilizzo del sistema compromesso per sferrare attacchi esterni alla honeynet e contemporaneamente rallentare le attività intrusive, favorendo la reazione dei responsabili della sicurezza.

La cattura delle informazioni deve avvenire in modo del tutto trasparente e si ottiene operando su più livelli con tecniche complementari. Il firewall acquisisce i dati sulle connessioni  in  ingresso  e  uscita,  lo  stato  delle  porte,  gli  indirizzi  IP,  data e ora dell’attacco. Il secondo livello, costituito da un IDS, serve ad identificare gli attacchi noti e ad acquisire i pacchetti per una successiva analisi. L’ultimo livello è  rappresentato dagli honeypot stessi, opportunamente equipaggiati per tracciare al  meglio le azioni svolte dagli aggressori. Infatti l’honeywall può controllare il traffico in ingresso e uscita, ma non le azioni svolte sul sistema attaccato, soprattutto in presenza  di connessioni criptate.

Le honeynet di prima generazione risultano efficaci nella identificazione di attacchi automatici o di basso livello. Gli svantaggi principali riguardano i limiti nel data control (operante a livello 3 della pila OSI) che ne permettono agevolmente l’identificazione. Sono poco interessanti per i più smaliziati perché normalmente gli honeypot corrispondono ad installazioni di default di vari sistemi operativi. Si veda la figura seguente.

Classificazione delle reti honeynet - Honeynet di prima generazione
Classificazione delle reti honeynet – Honeynet di prima generazione

Honeynet di seconda e terza generazione

Le honeynet di seconda generazione (Gen II) furono introdotte nel 2001 e quelle di terza (Gen III) nel 2004. Fondamentalmente hanno la medesima architettura sebbene le Gen III forniscano un supporto migliore nella gestione (attraverso una interfaccia web). La principale evoluzione rispetto alla prima generazione riguarda l’introduzione di un unico dispositivo con funzione di data control e data capture separato dagli honeypot stessi, orientando gli sforzi nella direzione di rendere le honeynet più difficili da rilevare e riconoscere, permettendo di monitorare più a lungo l’attività degli intrusi.

Le funzionalità di IDS e firewall sono integrate in un unico dispositivo, l’honeywall gateway, facilitando lo sviluppo e la gestione.

Il Data Control è ottenuto adottando una serie di accorgimenti quali la limitazione del numero di connessioni consentite e l’impiego delle modalità packet-drop e packet- replace nella gestione dei pacchetti. Si utilizza un dispositivo ibrido firewall/IDS per sfruttare le funzionalità del firewall in modo da limitare il numero di connessioni in uscita (per l’Honeypot Project il valore previsto è di 50 connessioni all’ora).

Le modalità packet-drop e packet-replace sono il nucleo principale di questa tipologia di honeynet. L’IDS permette di distinguere il traffico potenzialmente ostile, utilizzando il database delle signature per confrontare e processare tutti i pacchetti in uscita. Attraverso la modalità packet-drop vengono scartati i pacchetti per i quali è stata trovata una corrispondenza nel database, in quanto parte di un tentativo di attacco conosciuto.

Tale compito viene affidato a prodotti come Snort-Inline, in grado di modificare i pacchetti “particolari” per renderli inoffensivi, operando di fatto come un IPS (Intrusion Prevention System). Anche in questo caso, come per le Gen I, tutto il traffico viene filtrato da un nodo che agisce nella duplice veste di sniffer e logger, catturando i pacchetti in transito. La principale differenza è rappresentata dal fatto che questo  sensore (IDS gateway) opera a livello 2 della pila OSI come un bridge, per cui non dispone di un indirizzo IP e ciò lo rende più difficile da rilevare in quanto non svolge funzioni di routing, non viene modificato il TTL (time to live) dei pacchetti ad ogni hop ed infine non è previsto un indirizzo IP.

Il firewall si occupa, come per le Gen I, di registrare i dati relativi a tutte le connessioni in ingresso e uscita affidando all’IDS il compito di catturare tutti i pacchetti in ingresso e uscita per analisi successive. L’ultimo livello rappresenta una novità perché aggiunge ai classici log di sistema, in grado di evidenziare i processi in esecuzione durante l’attacco, la capacità di keystroke attraverso cui è possibile acquisire le sequenze di comandi impartite dagli attacker. La sua utilità si manifesta soprattutto in presenza di connessioni cifrate basate su SSH, dove la funzione di sniffing si rivela inefficace. Si veda la figura seguente.

Classificazione delle reti honeynet - Honeynet di seconda generazione
Classificazione delle reti honeynet – Honeynet di seconda generazione

 

Precedente Rischi derivanti dall'uso delle honeynet Successivo Reti honeynet distribuite

Lascia un commento

*