Tìm hiểu Honeypot và Honeynet
1
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
MỤC LỤC
MỤC LỤC 1
DANH MỤC HÌNH VẼ 3
LỜI NÓI ĐẦU 5
CHƢƠNG I – TỔNG QUAN VỀ HỆ THỐNG HONEYPOT VÀ HONEYNET. 7
1.1. HONEYPOT 7
1.1.1. Khái niệm Honeypot 7
1.1.2. Phân loại Honeypot: 9
1.2. HONEYNET 11
1.2.1. Khái niệm Honeynet 11
1.2.2. Các chức năng của Honeynet 13
1.2.3. Một số mô hình triển khai Honeynet trên thế giới 14
1.3. Vai trò và ý nghĩa của Honeynet 17
CHƢƠNG II: KẾ HOẠCH TRIỂN KHAI HONEYPOTS 19
2.1. Triển khai Honeypots. 19
2.2. Lôi kéo kẻ tấn công. 19
2.3. Xác định mục tiêu. 20
2.4. Vị trí đặt hệ thống Honeypots. 21
CHƢƠNG III- MÔ HÌNH KIẾN TRÚC HONEYNET 23
3.1. Mô hình kiến trúc vật lý 23
3.1.1. Mô hình kiến trúc Honeynet thế hệ I 23
3.1.2. Mô hình kiến trúc Honeynet II, III 25
3.1.3. Hệ thống Honeynet ảo 26
3.2. Mô hình kiến trúc loggic của Honeynet 28
3.2.1. Module điều khiển dữ liệu (hay kiểm soát dữ liệu) 29
3.2.1.1. Vai trò - nhiệm vụ của Module điều khiển 29
3.2.1.2. Cơ chế kiểm soát dữ liệu 31
3.2.1.3. Kiểm soát dữ liệu trong Honeynet II 33
3.2.2. Module thu nhận dữ liệu 38
3.2.2.1. Vai trò - nhiệm vụ của Module thu nhận dữ liệu 38
Tìm hiểu Honeypot và Honeynet
2
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
3.2.2.2. Cơ chế thu nhận dữ liệu 39
3.2.3. Modul phân tích dữ liệu 45
3.2.3.1. Vai trò 45
3.2.3.2. Cơ chế phân tích dữ liệu 45
Chƣơng IV -TRIỂN KHAI- CÀI ĐẶT- VẬN HÀNH HỆ THỐNG HONEYNET 48
4.1. Mô hình triển khai thực tế 48
4.2. Cài đặt và cấu hình hệ thống Honeynet 49
4.2.1. Cài đặt và cấu hình Honeywall 49
4.2.2. Cài đặt và cấu hình Sebek 53
4.3. Vận hành hệ thống Honeynet và phân tích kỹ thuật tấn công của Hacker 55
4.3.1.Kịch bản tấn công 55
4.3.2.Phân tích kỹ thuật tấn công của hacker 56
4.3.3.Sử dụng Honeynet để phân tích kỹ thuật tấn công của Hacker 56
4.4.Nhận xét về hệ thống honeynet. 58
KẾT LUẬN 59
TÀI LIỆU THAM KHẢO 60
Tìm hiểu Honeypot và Honeynet
3
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
DANH MỤC HÌNH VẼ
Hình 1.1- Các loại hình Honeypot 10
Hình 1.2 - Mô hình kiến trúc honeynet 12
Hình 1.3 - Sơ đồ triển khai dự án Artemis đại học Bắc Kinh, Trung Quốc 14
Hình 1.4 - Sơ đồ triển khai Honeynet của Greek Honeynet Project 15
Hình 1.5 - Sơ đồ triển khai Honeynet của UK Honeynet Project 16
Hình 2. 1- Ví dụ về một sản phẩm Honeynet. 20
Hình 3.1- Mô hình kiến trúc vật lý Honeynet thế hệ I 23
Hình 3.2 – Một số luật Firewall đối với Honeynet 24
Hình 3.3 - Mô hình kiến trúc Honeynet thế hệ II, III 26
Hình 3.4 - Mô hình kiến trúc Honeynet ảo 27
Hình 3.5 - Mô hình kiến trúc logic của Honeynet 28
Hình 3.6 - Mô hình kiểm soát dữ liệu 30
Hình 3.7 – Quá trình lọc và xử lý gói tin của IPtables 34
Hình 3.8 - Sơ đồ kiểm soát dữ liệu 35
Hình 3.9 - Quá trình hoạt động này của Snort_inline 37
Hình 3.10 - Cơ chế làm việc của Snort_inline 38
Hình 3.11 - Sơ đồ thu nhận dữ liệu 40
Hình 3.12 - Nhật ký sử dụng thu nhận dữ liệu trên Honeynet 41
Hình 3.13 - Mô hình hoạt động của Sebek 42
Hình 3.14 - Sebek client thu nhận dữ liệu 44
Hình 3.15 - Sơ đồ kiến trúc Honeywall 46
Hình 3.16 - Giao diện của Walleye 47
Hình 4. 1 - Mô hình triển khai thực tế 48
Hình 4. 2- Màn hình cài đặt Honeywall 49
Hình 4. 3- Màn hình cấu hình Honeywall 50
Tìm hiểu Honeypot và Honeynet
4
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Hình 4. 4- Cấu hình các địa chỉ IP Public cho các Honeypots 51
Hình 4. 5– Cấu hình địa chỉ IP đích cho các gói tin Sebek 51
Hình 4. 6– Hình cấu hình lựa chọn Honeywall xử lý các gói tin Sebek 51
Hình 4. 7 - Cấu hình địa chỉ IP cho Management Interface ( eth2 ) 52
Hình 4. 8 - Cấu hình default gateway cho Managemant Interface 52
Hình 4. 9 - Sau khi cấu hình xong thì Honeywall Resart các dịch vụ 52
Hình 4. 10 - Giao diện quản lý Honeywall 53
Hình 4. 11 - Cấu hình Sebek Client trên Windows 54
Hình 4. 12 – Địa chỉ MAC phải trùng với MAC của eth1 54
Hình 4. 13 - Kịch bản tấn công hệ thống Honeynet 55
Hình 4. 14 –Kết quả việc quét cổng dịch vụ mở của server 56
Hình 4. 15 -Tổng quan luồng dữ liệu vào/ra hệ thổng Honeynet 57
Hình 4. 16 - Chuỗi các gói tin thu nhận trên Walleye 57
Tìm hiểu Honeypot và Honeynet
5
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
LỜI NÓI ĐẦU
Ngày nay, Công nghệ thông tin đang phát triển với tốc độ “vũ bão”, bên cạnh
những mặt tích cực và lợi ích to lớn mà Xã hội thông tin mang lại cho nhân loại thì lại tồn
tại các mặt tiêu cực nhƣ : các nguy cơ tấn công mạng nhằm phá hoại hệ thống mạng,
nguy cơ bị đánh cắp các thông tin “nhạy cảm “ của cá nhân, các tổ chức, doanh nghiệp,
các cơ quan Nhà nƣớc … Để ngăn chặn lại những nguy cơ này, đòi hỏi các Cơ quan, tổ
chức, doanh nghiệp, phải tổ chức xây dựng các Hệ thống an ninh mạng nhằm đảm bảo an
toàn cho Hệ thống mạng của Cơ quan mình.
Và trong vô số các biện pháp ngăn chặn đó, thì "Honeypot" (tạm gọi là Mắt ong)
và "Honeynet" (tạm gọi là Tổ ong) đƣợc coi là một trong những cạm bẫy hết sức hiệu
quả, đƣợc thiết kế với mục đích này. Đối với các tin tặc thì Hệ thống này quả là những “
Cạm bẫy đáng sợ ”; vì vậy, các Hacker thƣờng xuyên thông báo – cập nhật các hệ thống
Honeynet mới đƣợc triển khai trên thế giới ở các diễn đàn Hacker, nhằm tránh “sa bẫy”
những hệ thống Honeynet này.
Khác với các hệ thống An ninh mạng khác nhƣ: Hệ thống phát hiện xâm nhập và
chống xâm nhập ( IDS - IPS ), Hệ thống Firewall,…, đƣợc thiết kế làm việc thụ động
trong việc phát hiện - ngăn chặn sự tấn công của tin tặc ( Hacker ) vào hệ thống mạng, thì
Honeynet lại đƣợc thiết kế nhằm chủ động lôi kéo Hacker tấn công vào hệ thống giả đƣợc
bố trí bên cạnh hệ thống thật nhằm mục đích:
Thu thập các kỹ thuật – phƣơng pháp tấn công, các công cụ mà Hacker sử dụng,
đặc biệt là các kỹ thuật tấn công mạng mới , các mẫu virus- mã độc mới.
Giúp chúng ta sớm phát hiện ra các lỗ hổng bảo mật tồn tại trên các sản phẩm
công nghệ thông tin đã triển khai - cài đặt trên hệ thống thật. Từ đó, sớm có biện
pháp ứng phó - khắc phục kịp thời. Đồng thời, cũng kiểm tra độ an toàn của hệ
thống mạng, các dịch vụ mạng ( nhƣ : Web, DNS, Mail,…) và độ an toàn - tin
cậy - chất lƣợng của các sản phẩm thƣơng mại công nghệ thông tin khác ( đặc
biệt là các Hệ điều hành nhƣ : Unix, Linux, Window,…).
Tìm hiểu Honeypot và Honeynet
6
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Thu thập các thông tin, dấu vết của Hacker ( nhƣ : địa chỉ IP của máy Hacker sử
dụng tấn công, vị trí địa lý của Hacker, thời gian Hacker tấn công,…). Từ đó,
giúp chuyên gia an ninh mạng truy tìm thủ phạm.
Tuy nhiên, do điều kiện thời gian có hạn nên trong báo chỉ trình bày nội dung
“Nghiên cứu tìm hiểu hệ thống Honeypot và Honeynet”. Chúng em hi vọng thông qua
nội dung trình bày nghiên cứu của em dƣới đây sẽ giúp chúng ta hiểu đƣợc Hệ thống
Honeypot và Honeynet cùng với vai trò - tác dụng to lớn của hệ thống này trong nhiệm
vụ đảm bảo An ninh mạng hiện nay.
Tìm hiểu Honeypot và Honeynet
7
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
CHƢƠNG I – TỔNG QUAN VỀ HỆ THỐNG HONEYPOT VÀ
HONEYNET.
Chƣơng này sẽ trình bày kiến thức tổng quan, cơ bản về Honeynet bao gồm: nguồn
gốc, quá trình phát triển của Honeynet; các khái niệm về Honeypot, Honeynet, phân loại
Honeypot; và chức năng, vai trò, ý nghĩa của Honeynet trong nhiệm vụ đảm bảo an ninh
mạng, cùng với một số mô hình triển khai Honeynet trên thế giới.
1.1. HONEYPOT
1.1.1. Khái niệm Honeypot
Honeypot là một công nghệ mới với tiềm năng khổng lồ cho cộng đồng bảo mật.
Định nghĩa đầu tiên đƣợc đƣa ra đầu tiền bởi một vài biểu tƣợng về bảo mật máy tính, cụ
thể là Cliff Stoll trong cuốn sách “The Cuckoo’s Egg” và trong bài báo của Bill
Cheswick. Từ đó, Honeypot tiếp tục đƣợc phát triển với những công cụ bảo mật mạnh mẽ
mà chúng ta biết cho đến nay.
Thuật ngữ “Honeypot” đƣợc nhắc đến lần đầu tiên vào ngày 4 tháng 8 năm 1999
trong bài báo “To Buil a Honeypot” của tác giả Lance Spitzner – một trong những ngƣời
đứng ra thành lập dự án Honeynet ( Honeynet Project ), giới thiệu về ý tƣởng xây dựng
hệ thống Honeynet nhằm mục đích nghiên cứu các kỹ thuật tấn công của Hacker; từ đó,
có biện pháp ngăn chặn tấn công kịp thời. Và tháng 6 năm 2000, dự án Honeynet đƣợc
thành lập bởi 30 chuyên gia an ninh mạng ở các Công ty bảo mật nhƣ: Foundstone,
Security Focus, Source Fre, …., tình nguyện tham gia nghiên cứu phi lợi nhuận.
Dự án Honeynet đƣợc triển khai ở 8 quốc gia ( Mỹ, Ấn Độ, Hy Lạp,…) với 12 trạm
Honeynet, bao gồm 24 hệ thống Unix và 19 hệ thống Linux, cùng với một số hệ thống
khác nhƣ : Suse 6.3, Suse 7.1,Window,…
Bƣớc đầu tiên để hiểu đƣợc Honeypot thì trƣớc hết phải hiểu Honeypot là cái gì? Nó
không giống nhƣ firewall, hay hệ thống IDS, Honeypot không giải quyết cụ thể một vấn
đề nào đó. Thay vào đó, nó là một công cụ rất linh hoạt trong đó có nhiều hình dạng và
kích cỡ. Nó có thể làm tất cả mọi thứ từ phát hiện các cuộc tấn công mã hóa trong các
Tìm hiểu Honeypot và Honeynet
8
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
mạng IPv6. Sự linh hoạt này cung cấp một sức mạnh thực sự cho Honeypot. Nó cũng là
sự hỗn hợp làm cho kẻ tấn công khó xác định và hiểu.
Honeypot là một hệ thống tài nguyên thông tin đƣợc xây dựng với mục đích giả
dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của
chúng, ngăn không cho chúng tiếp xúc với hệ thống thật. Honeypot có thể đƣợc xem nhƣ
“Mắt ong”; và tất nhiên là Honeypot cũng có phải có “Mật ngọt” – tức là có chứa các Hệ
thống tài nguyên thông tin có giá trị, nhạy cảm, có tính bí mật nhƣ : thông tin về chứng
khoán, thông tin tài khoản ở các ngân hàng, thông tin bí mật an ninh quốc gia…., để làm
“mồi” dụ Hacker chú ý đến tấn công.
Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy
chủ tài nguyên nào nhƣ là Mail Server, Domain Name Server, Web Server…, đƣợc cài
đặt chạy trên bất cứ Hệ điều hành nào nhƣ: Linux ( Red hat, Fedora…), Unix( Solaris),
Window ( Window NT, Window 2000, Window XP, Window 2003, Vista,… )
Honeypot sẽ trực tiếp tƣơng tác với tin tặc và tìm cách khai thác thông tin về tin tặc nhƣ
hình thức tấn công, công cụ tấn công hay cách thức tiến hành tấn thay vì bị tấn công.
- Ƣu điểm của Honeypot: Honeypot là một khái niệm rất đơn giản, trong đó cung
cấp một số đặc điểm mạnh mẽ.
Dữ liệu nhỏ đƣợc đặt giá trị cao: Honeypot thu thập một lƣợng nhỏ thông tin.
Thay vì đăng nhập một GB dữ liệu một ngày, họ chỉ phải đăng nhập một MB
dữ liệu một ngày. Thay vì tạo ra 10.000 cảnh báo mỗi ngày, nó có thể chỉ tạo 10
thông báo mỗi ngày. Hãy nhớ rằng, Honeypot chỉ nắm bắt các hành động xấu,
bất kỳ sự tƣơng tác với Honeypot nhƣ không xác thực hay các hành động độc
hại. Nhƣ vậy, Honeypot đã giảm thiểu đƣợc “tiếng ồn”, có nghĩa là với bộ thu
thập dữ liệu nhỏ, nhƣng thông tin có giá trị cao, nhƣng đó chỉ là những hành
động xấu. Điều này có nghĩa là sẽ dễ dàng hơn nhiều để phân tích các dữ liệu
mà Honeypot thu thập và lấy đƣợc giá trị từ nó.
Công cụ và chiến thuật mới: Honeypots đƣợc thiết kế để nắm bắt tất cả những
gì đƣợc tƣơng tác vào nó, bao gồm các công cụ, chiến thuật không bao giờ thấy
trƣớc.
Tìm hiểu Honeypot và Honeynet
9
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Nguồn lực tối thiểu: Honeypots yêu cầu nguồn lực tối thiểu, nó chỉ nắm bắt các
hoạt động xấu. Điều này có nghĩa là một máy tính 128MB bộ nhớ RAM có thể
dễ dàng xử lý một mạng lớp B.
Mã hóa hay IPv6: Không giống nhƣ hầu hết các công nghệ bảo mật( nhƣ hệ
thống IDS) các Honeypots làm việc tốt trong môi trƣờng mã hóa hay IPv6. Nó
không phân biệt những điều gì tƣơng tác với nó. Nó chỉ nắm bắt các hành động
xấu.
Thông tin: Honeypots có thể thu thập một vài thông tin chi tiết.
Honeypots là công nghệ đơn giản, ít có những sai lầm hoặc cấu hình sai.
- Nhƣợc điểm của Honeypot: Giống nhƣ nhiều công nghệ, các Honeypots cũng có
những yếu điểm. Đó là do chúng không thể thay thế các công nghệ hiện tại, nhƣng
làm việc với các công nghệ hiện có.
Hạn chế View: Honeypots chỉ có thể theo dõi và nắm bắt hoạt động trực tiếp
tƣơng tác với họ. Honeypots sẽ không nắm bắt các cuộc tấn công chống lại các
hệ thống khác, trừ khi kẻ tấn công hoặc đe dọa tƣơng tác với các honeypots.
Rủi ro: Tất cả các công nghệ bảo mật đều có nguy cơ. Tƣờng lửa có nguy cơ bị
xâm nhập, mã hóa có nguy cơ bị phá vỡ, các cảm biến IDS có nguy cơ không
phát hiện các cuộc tấn công. Honeypots cũng không phải là trƣờng hợp khác,
honeypots có nguy cơ đƣợc thực hiện trên của kẻ xấu và đƣợc sử dụng để gây
tổn hại cho các hệ thống khác. Có rất nhiều nguy cơ khác nhau dẫn đến sự khác
nhau của Honeypots.
1.1.2. Phân loại Honeypot:
Honeypot đƣợc chia làm hai loại chính: Tƣơng tác thấp và tƣơng tác cao
Tƣơng tác thấp: Honeypot chỉ cài đặt chƣơng trình (chẳng hạn nhƣ: Honeyd,
BackOfficer Friendly, Specter,) mô phỏng giả các dịch vụ, ứng dụng, và hệ điều
hành. Loại này có mức độ rủi ro thấp, dễ triển khai và bảo dƣỡng nhƣng lại bị
giới hạn về dịch vụ.
Tìm hiểu Honeypot và Honeynet
10
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Tƣơng tác cao: Honeypot đƣợc cài đặt, chạy các dịch vụ, ứng dụng và hệ điều
hành thực ( Chẳng hạn nhƣ Honeynet ). Loại này có mức độ thông tin thu thập
đƣợc cao nhƣng mức độ rủi ro cao và tốn thời gian để vận hành và bảo dƣỡng.
Hình 1.1- Các loại hình Honeypot
Một số ví dụ về các loại honeypot :
a) BackOfficer Friendly (BOF): là một loại hình Honeypot rất dễ vận hành và cấu
hình và có thể hoạt động trên bất kì phiên bản nào của Windows và Unix nhƣng nhƣợc
điểm của nó là chỉ tƣơng tác đƣợc với một số dịch vụ đơn giản nhƣ FTP, Telnet,
SMTP…
b) Specter: đây cũng là loại hình Honeypot tƣơng tác thấp nhƣng có khả năng tƣơng tác
tốt hơn so BackOfficer, loại Honeypot này có thể giả lập trên 14 cổng ( Port ); và có thể
cảnh báo, quản lý từ xa. Tuy nhiên, cũng giống nhƣ BackOfficer thì Specter có nhƣợc
điểm là bị giới hạn số dịch vụ và không linh hoạt.
c) Honeyd:
* Loại Honeypot này có thể lắng nghe trên tất cả các cổng TCP và UDP, những
dịch vụ mô phỏng đƣợc thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công,
tƣơng tác với kẻ tấn công trong vai trò là một hệ thống nạn nhân.
* Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng đƣợc khoảng 473 hệ
điều hành.
Tìm hiểu Honeypot và Honeynet
11
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
* Honeyd là loại hình Honeypot tƣơng tác thấp có nhiều ƣu điểm tuy nhiên Honeyd
có nhƣợc điểm là không thể cung cấp một hệ điều hành thật để tƣơng tác với tin tặc và
không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hoặc gặp phải nguy hiểm.
1.2. HONEYNET
1.2.1. Khái niệm Honeynet
Một trong các công cụ chính mà nhóm dự án Honeynet sử dụng để thu thập thông tin
là Honeynet. Honeynet khác với các hệ thống Firewall, hệ thống phát hiện và ngăn chặn
xâm nhập, hệ thống mã hóa ở chỗ : các hệ thống tuy đều có khả năng bảo vệ hệ thống
mạng và tài nguyên mạng nhƣng các hệ thống này đều là thực hiện nhiệm vụ “Phòng
thủ”, mang tính thụ động; ngƣợc lại, Honeynet lại là hệ thống chủ động lôi kéo, thu hút
sự chú ý và tấn công của Hacker nhằm thu thập các thông tin của Hacker nhƣ: Kỹ thuật
tấn công của Hacker, công cụ Hacker sử dụng, các loại mã độc mới đƣợc xuất hiện,
Honeynet (tạm gọi là “Tổ ong”) là một hình thức của honeypot tƣơng tác cao. Khác
với các honeypot khác, Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm
việc bình thƣờng ; và Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật nhƣ :
Web, Mail, File server,
Hệ thống Honeynet có thể triển khai xây dựng ở nhiều cơ quan, tổ chức với nhiều
mục đích khác nhau nhƣ: Các cơ quan nhà nƣớc, doanh nghiệp có thể sử dụng Honeynet
nhằm kiểm tra độ an toàn của hệ thống mạng của mình và ngăn chặn kẻ tấn công tấn
công vào hệ thống thật; các cơ quan, tổ chức, doanh nghiệp hoạt động trong lĩnh vực an
ninh mạng có thể sử dụng Honeynet nhằm thu thập các loại mã độc hại mới nhƣ: virus,
worm, spyware, trojan,… , để kịp thời viết chƣơng trình cập nhật diệt mã độc cho sản
phẩm Anti-virus của công ty mình…
Nhiệm vụ quan trọng nhất khi triển khai xây dựng – cài đặt một hệ thống Honeynet
chính là Honeywall. Honeywall là gateway ở giữa honeypot và mạng bên ngoài. Nó hoạt
động ở tầng 2 nhƣ là Bridged.
Tìm hiểu Honeypot và Honeynet
12
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Các luồng dữ liệu khi vào và ra từ honeypot đều phải đi qua Honeywall. Để kiểm soát
các luồng dữ liệu này, cũng nhƣ thu thập các dấu hiệu tấn công, và ngăn chặn tấn công
của các Hacker thì Honeywall sử dụng hai công cụ chính là:
* Một là IDS Snort (hay còn gọi là IDS sensor) gồm có các luật ( Rule ) định nghĩa
các dấu hiệu tấn công, và thực hiện hiện bắt các gói tin ( Packet ).
* Hai là Firewall Iptables gồm có các luật (Rule) định nghĩa sự cho phép (Allow )
hoặc không cho phép ( Deny ) các truy cập từ bên ngoài vào hoặc bên trong hệ thống ra,
và kiểm soát các luồng dữ liệu qua Honeywall.
Dƣới đây là một ví dụ về Honeynet:
Hình 1.2 - Mô hình kiến trúc honeynet
Với mô hình này Honeywall gồm có 3 card mạng là : eth0, eth1, eth2 . Card mạng
eth0 thì kết nối với Production Network, card eth1 thì kết nối với các Honeypot, còn card
thứ 3 kết nối với Router. Khi Hacker từ bên ngoài Internet tấn công vào hệ thống thì các
Honeypot sẽ đóng vai trò là hệ thống thật tƣơng tác với Hacker, và thực hiện thu thập các
thông tin của Hacker nhƣ : địa chỉ IP của máy Hacker sử dụng, Kỹ thuật Hacker tấn
công, các công cụ mà Hacker sử dụng …. Các thông tin này đều sẽ bị ghi lại trên
Honeywall, và đƣợc các chuyên gia an ninh mạng sử dụng để phân tích kỹ thuật tấn công
Tìm hiểu Honeypot và Honeynet
13
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
của Hacker ; qua đó, đánh giá đƣợc mức độ an toàn của hệ thống, và có biện pháp kịp
thời khắc phục các điểm yếu tồn tại trong hệ thống .
1.2.2. Các chức năng của Honeynet
a. Điều khiển dữ liệu: chức năng này sẽ thực hiện các công việc sau :
- Khi Hacker sử dụng các mã độc ( nhƣ : virus, trojan, spyware, worm,…) để thâm
nhập vào Hệ thống Honeynet, thì hai công cụ IDS Snort và Firewall Iptable ở trên
Honeywall sẽ thực hiện kiểm soát các hoạt động của các loại mã độc này, cũng nhƣ các
hành vi mà Hacker thực hiện trên hệ thống ; đồng thời đƣa ra các cảnh báo cho ngƣời
quản lý hệ thống biết để kịp thời xử lý.
- Các luồng dữ liệu khi đi vào không bị hạn chế, nhƣng khi đi ra ngoài thì sẽ bị hạn
chế . Chính vì vậy, mà Hacker sẽ rất khó khăn, thậm chí nếu Hệ thống Honeynet đƣợc
Cấu hình tốt thì Hacker sẽ không thể thu thập đƣợc đầy đủ thông tin về hệ thống của ta,
điều này cũng có nghĩa là Hacker sẽ không thể thâm nhập thành công vào hệ thống
mạng.
b. Thu nhận dữ liệu: Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các
hoạt động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc. Và
chính công cụ IDS Snort trên Honeywall thực hiện chức năng này. Dựa trên các luật
( rule) định nghĩa dấu hiệu tấn công mà Snort sẽ cho rằng một hoạt động có đƣợc coi là
hoạt động có tính phá hoại hay không, nếu phải nó sẽ thực hiện ghi lại log và đƣa ra các
cảnh báo. Nhờ vậy, mà toàn bộ quá trình tấn công của Hacker đều sẽ đƣợc ghi lại một
cách chi tiết.
c. Phân tích dữ liệu: Mục đích chính của honeynet chính là thu thập thông tin. Khi đã
có thông tin thì ngƣời dùng cần phải có khả năng để phân tích các thông tin này. Để thực
hiện tốt công việc này, đòi hỏi ngƣời phân tích phải có một kiến thức rất tốt về an ninh
mạng, phải am hiểu về các kỹ thuật tấn công mạng. Vì vậy, thông thƣờng ngƣời thực
hiện phân tích thƣờng là các chuyên gia an ninh mạng.
d. Thu thập dữ liệu: Trong tƣờng hợp hệ thống triển khai nhiều Honeynet thì phải thu
thập dữ liệu từ các honeynet về một nguồn tập trung. Thƣờng thì chỉ có các các tổ chức,
Tìm hiểu Honeypot và Honeynet
14
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
trung tâm an ninh mạng lớn có quy mô toàn cầu thì họ mới triển khai nhiều honeynet,
đặc biệt là các Công ty cung cấp các sản phẩm diệt virus nhƣ: Trend Micro,
Symantec… Còn đa số các tổ chức chỉ có một honeynet.
1.2.3. Một số mô hình triển khai Honeynet trên thế giới
Dƣới đây là một số mô hình triển khai hệ thống Honeynet trên thế giới nhằm nghiên
cứu, thu thập thông tin kỹ thuật tấn công của Hacker trên mạng:
a. Mô hình triển khai Honeynet của Đại học Bắc Kinh-Trung Quốc
Hình 1.3 - Sơ đồ triển khai dự án Artemis đại học Bắc Kinh, Trung Quốc
Hình 1.3 là sơ đồ triển khai Honeynet tại đại học Bắc Kinh, Trung Quốc trong một
dự án có tên là Artemis. Hiện tại, dự án đang triển khai trên nền Honeynet thế hệ thứ III,
mô hình triển khai gồm ba honeypot với các hệ điều hành khác nhau: Red Hat Linux9.0,
Windows XP, Windows 2000 và các honeypot ảo đƣợc giả lập chƣơng trình honeyd. Và
ở mô hình này, Honeywall gồm có 3 card mạng:
Card thứ 1 đƣợc kết nối với 1 Router bên ngoài
Card thứ 2 đƣợc kết nối với các Honeypot bên trong
Tìm hiểu Honeypot và Honeynet
15
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Card thứ 3 thì đƣợc kết nối an toàn với Máy Console
Khi Hacker tấn công vào thì ba Honeypot và Honeypot ảo sẽ tƣơng tác với Hacker,
và tiến hành thu thập các thông tin của Hacker nhƣ: địa chỉ IP của máy Hacker sử dụng,
các tool mà Hacker dùng, cách thức Hacker thâm nhập vào hệ thống……
Toàn bộ quá trình tấn công của Hacker sẽ đƣợc Honeywall ghi lại và đƣa ra các
cảnh báo ( Alert ) cho ngƣời dùng biết.
b. Mô hình triển khai Honeynet trong dự án Honeynet tại Hy Lạp
Hình 1.4 - Sơ đồ triển khai Honeynet của Greek Honeynet Project
Hình 1.4 là sơ đồ triển khai Honeynet trong dự án Honeynet tại Hy Lạp, hệ thống
Honeynet sử dụng Honeywall phiên bản roo-1.0.hw-189, một honeypot với hệ điều hành
Tìm hiểu Honeypot và Honeynet
16
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Red Hat 9.0 (DNS Server) và bốn honeypot ảo giả lập bằng honeyd các hệ điều hành: MS
Windows XP Pro SP1, Linux 2.4.20, Solaris 9 và Cisco 1601R IOS 12.1(5).
Trong mô hình này, Honeywall cũng có ba card mạng, và sơ đồ triển cũng gần
giống với mô hình triển khai của Đại học Bắc Kinh nhƣng chỉ khác ở chỗ giữa máy
Console (Remote Management and Analysis Network ) và bốn máy Honeypot ảo có thêm
một Firewall. Firewall này sẽ đảm bảo bảo vệ an toàn cho máy Consle ngay cả khi
Hacker kiểm soát đƣợc các Honeypot ảo này.
c. Mô hình triển khai Honeynet trong dự án Honeynet tại Anh
Hình 1.5 - Sơ đồ triển khai Honeynet của UK Honeynet Project
Tìm hiểu Honeypot và Honeynet
17
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Cuối cùng, hình 1.5 mô tả sơ đồ triển khai Honeynet của dự án Honeynet tại Anh.
Trong mô hình này, họ đã triển khai bốn Honeypot với các hệ điều hành: Red hat 7.3,
Fedora Core 1, Sun Solaris 7, Sun Solaris 9. Mô hình này cũng gần giống với hai mô hình
trên; chỉ khác nhau ở chỗ Máy Console ngoài kết nối tới Honeywall thì còn kết nối với
Router và đƣợc bảo vệ bằng một Firewall đứng giữa.
1.3. Vai trò và ý nghĩa của Honeynet
Qua các phần trên, ta có thể tóm tắt lại các vai trò và ý nghĩa của Honeynet nhƣ sau:
Honeynet giúp khám phá, thu thập các phƣơng pháp - kỹ thuật tấn công của
Hacker, các công cụ Hacker sử dụng, đặc biệt là các kỹ thuật tấn công mới , các mẫu
virus- mã độc mới….Nhờ đó có những phân tích, định hƣớng mục tiêu tấn công, thời
điểm tấn công, kỹ thuật tấn công,… của Hacker. Từ đó, kịp thời đƣa ra các dự báo, cảnh
báo sớm để mọi ngƣời phòng tránh.
Ví dụ gần đây nhất là vụ cảnh báo của các chuyên gia an ninh mạng thế giới về đợt
tấn công của Hacker bằng mã độc sâu (worm) Conficker vào ngày 1/4/2009. Tuy nhiên,
do đƣợc cảnh báo từ trƣớc và sự nỗ lực của các chuyên gia an ninh mạng quốc tế mà đợt
tấn công này đã không diễn ra nhƣ mong đợi của Hacker.
Nhƣ vậy, Honeynet hoạt động nhƣ một hệ thống cảnh báo sớm.
Honeynet là môi trƣờng thử nghiệm có kiểm soát an toàn giúp sớm phát hiện ra các
lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin đã triển khai - cài đặt trên
Hệ thống thật (Đặc biệt là các lỗ hổng Zero – day). Từ đó, sớm có biện pháp ứng phó -
khắc phục kịp thời. Đồng thời, honeynet cũng giúp kiểm tra độ an toàn của hệ thống
mạng, các dịch vụ mạng ( nhƣ : Web, DNS, Mail,…), và kiểm tra độ an toàn - tin cậy -
chất lƣợng của các sản phẩm thƣơng mại công nghệ thông tin khác (đặc biệt là các Hệ
điều hành nhƣ: Unix, Linux, Window,…).
Thu thập các thông tin, dấu vết của Hacker ( nhƣ : địa chỉ IP của máy Hacker sử
dụng tấn công, vị trí địa lý của Hacker, thời gian Hacker tấn công,…). Từ đó, giúp
chuyên gia an ninh mạng truy tìm thủ phạm.
Kết luận: Qua chƣơng này, chúng ta đã có những hiểu biết, kiến thức cơ bản về
Honeynet và Honeypot cùng với vai trò và mục đích của xây dựng – triển khai hệ thống
Tìm hiểu Honeypot và Honeynet
18
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
này, và chúng ta cũng đã biết một số mô hình Honeynet đã đƣợc triển khai trên thế giới .
Ở chƣơng sau, chúng ta sẽ tìm hiểu kỹ hơn về mô hình kiến trúc và nguyên lý hoạt động
của hệ thống này.
Tìm hiểu Honeypot và Honeynet
19
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
CHƢƠNG II: KẾ HOẠCH TRIỂN KHAI HONEYPOTS
2.1. Triển khai Honeypots.
Để triển khai Honeypots cần có một quá trình xử lý kĩ thuật tốt cùng với việc thực hiện
đúng kế hoạch sẽ giúp triển khai thành công hệ thống.
Danh sách dƣới đây đƣa ra các bƣớc để thực hiện:
- Xác nhận Honeypots là đƣợc cho phép tạo dựng trong một môi trƣờng hệ thống đó.
- Xác định mục tiêu Honeypots. Tại sao lại muốn chạy Honeypots?
- Dùng nó để nghiên cứu hay là bảo vệ hệ thống tổ chức máy tính.
- Xác định vai trò của con ngƣời trong việc tạo ra và duy trì một Honeypots. Có
chuyên môn kĩ thuật để triển khai một cách chính xác và duy trì một Honeypots
không? Có phần mềm và phần cứng để triển khai chƣa?thời gian hàng ngày mất để
duy trì và phân tích dữ liệu nhƣ thế nào? Tiếp tục thảo luận, nghiên cứu để theo kịp
những Honeypots mới và khai thác một cách hiệu quả.
- Các loại Honeypots sẽ triển khai là nghiên cứu hoặc sản phẩm, thực hay ảo.
- Xác định cài đặt cấu hình thiết bị mạng cần thiết để tạo ra Honeypots. Kế hoạch và
cấu hình một số thành phần hỗ trợ Honeypots và tool (cảnh báo, đăng nhập, giám
sát, quản lý…).
- Thu thập các thiết lập của việc giám sát, đăng nhập và các tool phân tích hợp pháp.
- Triển khai kế hoạch phục hồi lại. Làm thế nào để phục hồi hệ thống Honeypots
nguyên bản sau khi nó đƣợc khai thác sử dụng dẫn tới việc hƣ hại.
- Triển khai Honeypots và các thành phần hỗ trợ nó, kiểm tra việc triển khai, đánh
giá các công cụ phát hiện xâm nhập, thử nghiệm xem hệ thống Honeypots hoạt
động tốt không.
- Phân tích các kết quả và tìm ra những thiếu sót. Tinh chỉnh các hệ thống
Honeypots dựa trên các bài đã đƣợc học và nghiên cứu. Lặp lại các bƣớc cần thiết.
2.2. Lôi kéo kẻ tấn công.
Nếu để lộ ra Honeypots theo cách mà những địa chỉ IP và các port đƣợc truy xuất tới từ
Internet, thì nó sẽ đƣợc truy cập một cách nhanh chóng. Trung bình hằng ngày các địa chỉ
IP công khai trên Internet đƣợc thăm dò hàng chục lần. Theo số liệu thống kê của nhiều
dự án của Honeypots cho thấy rằng có nhiều hơn một trăm lần thăm dò mỗi ngày và hầu
hết các máy chủ lƣu trữ đều xảy ra tấn công trong vòng một tuần . Các worm từ Internet
sẽ quét nhiều lần trong ngày. Nhiều quản trị của Honeypots đã ghi lại thành công những
tổn hại xảy ra chƣa đến 20 phút.
Tìm hiểu Honeypot và Honeynet
20
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Chính vì những nguyên nhân đó một số quản trị viên của Honeypots đã nhanh chóng và
tích cực đăng vùng Honeypots của họ tới danh sách mail và website của hacker. Những
quản trị viên đăng các vị trí Honeypots của họ để khám phá một số tội phạm nghiêm
trọng. Thu thập các thông tin, chứng cớ về cách hành vi xâm nhập trái phép. Việc tạo ra
Honeypots không bao giờ nên quảng bá sự hiện diện hay mời gọi các hacker vì nó sẽ
đánh bại các mục đích chính của Honeypots.
2.3. Xác định mục tiêu.
Để thiết kế hệ thống Honeypots cần xác định các mục tiêu, muốn chọn nơi nào để đặt
Honeypots. Có rất nhiều câu hỏi cần đƣợc trả lời trƣớc khi bắt đầu, bao gồm cả những
điều sau đây:
- Lý do muốn tạo ra hệ thống Honeypots.
- Môi trƣờng OS là gì để giả lập Honeypots?
- Giả lập những loại server hoặc service gì?
- Muốn theo dõi các mối đe dọa từ bên trong, bên ngoài, hay cả hai?
Để có câu trả lời cho những câu hỏi này về cơ bản là cần xác định là sẽ nghiên cứu hay
tạo ra các sản phẩm Honeypots và làm nhƣ thế nào? Cấu hình nó ra sao?
Sản phẩm Honeypots nên mô phỏng theo các ứng dụng, dịch vụ và máy chủ đã tồn tại.
Nếu làm đúng với các tƣơng tác cao, nó sẽ gây khó khăn cho tin tặc trong việc nhận biết
và tƣơng tác với Honeypots.
Hình 2. 1- Ví dụ về một sản phẩm Honeynet.
Tìm hiểu Honeypot và Honeynet
21
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Ví dụ, giả sử hệ thống mạng bao gồm máy chủ chạy HĐH Windows Server 2003 chạy
IIS 6.0, Windows 2000 Server chạy Microsoft SQL Server 2000, Windows NT 4.0
Server và một Windows 2000 Server chạy IIS 6.0. Sản phẩm Honeypots sẽ cố gắng để
mô phỏng giống nhƣ những cái máy chủ dịch vụ ở trên.
2.4. Vị trí đặt hệ thống Honeypots.
Có 3 vùng chính để đặt Honeypots:
External Placement (Đặt ở vùng ngoài).
Internal Placement (Đặt ở vùng trong)
DMZ Placement(Đặt ở vùng DMZ)
Mỗi vùng để đặt Honeypots đều có những ƣu điểm và nhƣợc điểm tùy theo mục đích của
việc tạo ra Honeypots để làm gì.
Đặt ở vùng ngoài: Là vùng nằm ngoài Internet với vị trí này thì sẽ không có bức tƣờng
lửa nào đứng trƣớc Honeypots, các Honeypots và mạng lƣới Honeypots sẽ chia sẻ cùng
một địa chỉ IP subnet công cộng.
Đặt ở vùng trong: vị trí Honeypots nằm bên trong mạng và bức tƣờng lửa ở giữa ngăn
cách nó với thế giới Internet. Vị trí này là cách tốt nhất để tạo ra một hệ thống cảnh báo
sớm cho biết bất kì sự khai thác từ bên ngoài vào và bảo vệ mạng nội bộ, bắt các đe dọa
xảy ra cùng một lúc. Một ví dụ cho thấy khi mà worm Blaster tấn công, nhiều công ty đã
triển khai Firewall và cấu hình khóa port 135 ngăn chặn an toàn từ các worm nhƣng
worm có thể lén đi qua firewall trên đƣờng links và từ những máy tính laptop, thiết bị di
động. Sau khi đã qua bức tƣờng lửa, các worm có thể lây nhiễm các máy tính nội bộ chƣa
đƣợc vá lỗi hệ điều hành và lỗi bảo mật.
Đặt ở vùng DMZ: DMZ là một vùng nằm riêng lẻ so với LAN nhằm mục đích đặt những
server public nhƣ web server, mail server, ftp server.
Việc đặt một Honeypots trên vùng DMZ thƣờng là lựa chọn tốt nhất của các công ty, nó
có thể đƣợc đặt dọc theo các máy server trong vùng DMZ và cung cấp cảnh báo sớm mối
đe dọa cho vị trí đó. Một router đặt giữa firewall của DMZ đƣợc thêm vào nhƣ là một lớp
điều khiển dữ liệu. DMZ có thể có các địa chỉ IP công cộng và riêng tƣ. Các vị trí của
Honeypots trong DMZ là một vị trí lý tƣởng cho việc thiết lập, nhƣng hầu hết các vị trí
đặt mô hình đó là phức tạp. Ngoài ra, vì nó nằm trên DMZ, không phải là việc tốt nhất
cho việc cảnh báo sớm cho một cuộc tấn công làm hƣ hại mạng nội bộ.
Tìm hiểu Honeypot và Honeynet
22
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
So sánh giữa các vị trí đặt Honeypots.
Vị trí
Ƣu điểm
Nhƣợc điểm
Vùng ngoài
Dễ xây dựng, triển khai
Số lƣợng thiết bị cần thiết ít
Điều khiển dữ liệu kém
Rủi ro cao nhất cho các sản
phẩm mạng Honeypots.
Vùng trong
Tốt cho việc giám sát nhân
viên bên trong.
Hệ thống cảnh báo sớm để bảo
vệ backup
Cài đặt phức tạp hơn nhiều
Cần phải quyết định cho phép
các port chuyển hƣớng trực
tiếp.
DMZ
Có thể điều khiển dữ liệu tốt
Cài đặt phức tạp
Hệ thống cảnh báo không
đƣợc mạnh.
Cần phải quyết định cho phép
các port chuyển hƣớng trực
tiếp
Tìm hiểu Honeypot và Honeynet
23
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
CHƢƠNG III- MÔ HÌNH KIẾN TRÚC HONEYNET
Ở hai chƣơng trƣớc, chúng ta đã hiểu đƣợc cơ bản về Honeynet và Honeypot. Ở
chƣơng này, báo cáo sẽ tiếp tục trình bày về quá trình phát triển mô hình kiến trúc vật lý
của Honeynet. Và báo cáo cũng trình bày mô hình logic của Honeynet để giúp chúng ta
hiểu đƣợc quá trình hoạt động của Honeynet, thông qua ba Module của mô hình logic là:
Module điều khiển dữ liệu
Module thu nhận dữ liệu
Module phân tích dữ liệu
3.1. Mô hình kiến trúc vật lý
3.1.1. Mô hình kiến trúc Honeynet thế hệ I
Mô hình Honeynet thế hệ I gồm một mạng riêng biệt đƣợc tạo ra đặt đằng sau một
thiết bị điều khiển truy nhập mạng, thƣờng là tƣờng lửa (Firewall); và bất kỳ luồng dữ
liệu vào ra Honeynet đều phải đi qua tƣờng lửa. Honeynet đƣợc bố trí trên một mạng
riêng biệt với vùng mạng sản xuất để giảm nguy cơ mất an toàn cho hệ thống.
Hình 3.1- Mô hình kiến trúc vật lý Honeynet thế hệ I
Tìm hiểu Honeypot và Honeynet
24
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
Ở mô hình Honeynet thế hệ I này thì hệ thống tƣờng lửa (Firewall) và Hệ thống
phát hiện xâm nhập ( Instruction Detection System – IDS) là hai hệ thống độc lập nhau.
Đây chính là sự khác biệt giữa Honeynet I với Honeynet II và Honeynet III. Ở mô hình
Honeynet II và III thì hai hệ thống Firewall và IDS đƣợc kết hợp thành một hệ thống
Gateway duy nhất là Honeywall.
Trong hệ thống Honeynet, Firewall giữ vai trò kiếm soát các luồng dữ liệu ra vào hệ
thống, nhằm chỉ cho Hacker tấn công vào Honeynet và ngăn chặn không cho Hacker tấn
công vào vùng mạng sản xuất hay không cho Hacker biến Honeynet làm công cụ để tấn
công các Hệ thống mạng bên ngoài. Firewall thực hiện đƣợc nhiệm vụ này là dựa vào các
luật (Rule) định nghĩa sự cho phép (Allow) hoặc không cho phép (Deny ) các truy cập từ
bên ngoài vào hoặc bên trong hệ thống ra. Dƣới đây là hình minh họa một số luật của
Firewall (Check Point) đối với Honeynet:
Hình 3.2 – Một số luật Firewall đối với Honeynet
Bên cạnh Firewall, Honeynet còn bố trí hệ thống phát hiện xâm nhập IDS-Snort.
Snort có nhiệm vụ kịp thời phát hiện và ngăn chặn các kỹ thuật tấn công đã đƣợc biết,
đã đƣợc định nghĩa trong tập luật (Rule) của Snort (Các luật của Snort định nghĩa các
dấu hiệu, các mẫu tấn công mạng). Snort thực hiện thanh tra nội dung các gói tin, và so
sánh nội dung các gói tin này với tập luật. Khi Snort phát hiện thấy các gói tin có nội
Tìm hiểu Honeypot và Honeynet
25
Học Viện Kỹ Thuật Mật Mã – Khoa An Toàn Thông Tin
dung gây nguy hiểm cho hệ thống mạng thì Snort sẽ chặn các gói tin này lại để ngăn
chặn tấn công của Hacker vào hệ thống và đƣa ra cảnh báo cho ngƣời quản trị biết.
Dƣới đây là một ví dụ về cảnh báo của Snort khi phát hiện thấy sự tấn công của sâu Red
Code lan truyền trên mạng qua dịch vụ web:
[**] [1:1256:2] WEB-IIS CodeRed v2 root.exe access [**]
[Classification: Web Application Attack] [Priority: 1]
12/21-22:07:24.686743 216.80.148.118:2094 -> 10.1.1.106:80
TCP TTL:111 TOS:0x0 ID:17545 IpLen:20 DgmLen:112 DF
***AP*** Seq: 0xE34143C1 Ack: 0x68B5B8F Win: 0x2238 TcpLen: 20
[**] [1:1002:2] WEB-IIS cmd.exe access [**]
[Classification: Web Application Attack] [Priority: 1]
12/21-22:08:50.889673 216.80.148.118:1864 -> 10.1.1.106:80
TCP TTL:111 TOS:0x0 ID:24785 IpLen:20 DgmLen:120 DF
***AP*** Seq: 0xEEE40D32 Ack: 0x8169FC4 Win: 0x2238 TcpLen: 20
3.1.2. Mô hình kiến trúc Honeynet II, III
Honeynet thế hệ II đƣợc phát triển vào năm 2002 và Honeynet thế hệ III đƣợc đƣa ra
vào cuối năm 2004. Về cơ bản, Honeynet II và Honeynet III có cùng một kiến trúc. Điểm
khác biệt chính là Honeynet III cải tiến việc triển khai và quản lý.
Một thay đổi cơ bản trong kiến trúc của Honeynet II và Honeynet III so với
Honeynet I là sử dụng một thiết bị đơn lẻ điều khiển việc kiểm soát dữ liệu và thu nhận
dữ liệu đƣợc gọi là Honeywall (Honeynet Sensor).
Honeywall là sự kết chức năng của hai hệ thống tƣờng lửa Firewall và hệ thống phát
hiện xâm nhập IDS của mô hình kiến trúc Honeynet I. Nhờ vậy chúng ta dễ dàng triển
khai và quản lý hơn.
Sự thay đổi trong Honeywall chủ yếu ở module kiểm soát dữ liệu. Honeywall làm
việc ở tầng hai (trong mô hình OSI) nhƣ là một thiết bị Bridge. Nhờ sự thay đổi này mà
Honeynet II, Honeynet III đã khiến cho kẻ tấn công khó phát hiện ra là chúng đang tƣơng
tác với Hệ thống “bẫy” Honeynet vì hai đầu card mạng của eth0 (kết nối với mạng bên