TÌM HIỂU VÀ TRIỂN KHAI HỆ
THỐNG HONEYPOT
GVHD: Nguyễn Thị Hồng Thảo
SV thực hiện:
Phan Tiến Phương Giao-2033181018
Lục Lê Khả Vi - 2033181008


TỔNG QUAN VỀ HỆ THỐNG HONEYPOT

01

 Honeypot
 Honeynet.
 Vai trò và ý nghĩa của Honeynet

MƠ HÌNH KIẾN TRÚC HONEYNET

02






Honeynet thế hệ I
Honeynet thế hệ II
Honeynet thế hệ III
Hệ thống Honeynet ảo

TỔNG QUAN VỀ HỆ THỐNG IDS/IPS

03






Giới thiệu về IDS/IPS
Một số vấn đề liên quan về IDS/IPS
Ưu điểm, hạn chế của IDS
Ưu điểm, hạn chế của IPS

TRIỂN KHAI HỆ THỐNG HONEYPOT

04






Giới thiệu về kfsensor
Kỹ thuật tấn cơng Ping of Death
Mơ hình triển khai
Cài đặt và cấu hình


CHƯƠNG I: TỔNG QUAN
VỀ HỆ THỐNG HONEYPOT

HoneyPot là gì?
Honeypot là một hệ thống gắn liền với mạng
được thiết lập như một mồi nhử để thu hút những
kẻ tấn công mạng và phát hiện. Cũng giống như
các tổ ong được sử dụng để thu hút ong, một
Honeypot được sử dụng để thu hút tin tặc



Quá trình hình thành của Honeypot
Honeypot 2.0

Honeynet
2003

1998

2000

Honeypot

2016

2012

Honeytoken

Deception
Platform



Cách hoạt động honeypot
 Honeypot trông giống
như một hệ thống máy
tính thực sự, với các
ứng dụng và dữ liệu,
đánh lừa tội phạm
mạng nghĩ rằng đó là
một mục tiêu
 Honeypots trở nên hấp
dẫn đối với những kẻ
tấn công bằng cách
tạo ra các lỗ hổng bảo
mật có chủ ý
 Honeypot khơng được
thiết lập để giải quyết
một vấn đề cụ thể,
chẳng hạn như tường
lửa hoặc chương trình
chống vi-rút

!


Một số ưu điểm của
Honeypot
Là cơng nghệ đơn giản, ít có sai sót và
cấu hình sai
Chỉ tập trung vào lưu lượng độc hại giúp
việc điều tra dễ dàng hơn rất nhiều.

Quan sát hành động và tìm hiểu
hành vi của tin tặc
Thu thập thông tin, phần mềm độc hại
và khai thác sau đó báo về cho người
quản trị.
Tạo hồ sơ của tin tặc đang cố gắng
truy cập vào hệ thống của bạn. Cải
thiện tình trạng bảo mật.


Một số nhược
điểm của
Honeypot

▪Cần có chi phí để bảo trì
và giám sát.

▪Chỉ có thể nắm bắt dữ liệu
khi hacker chủ động tấn cơng
hệ thống

▪Nếu có một cuộc tấn cơng
xảy ra trong một hệ thống
khác,
honeypot sẽ khơng thể xác
định được nó

▪Honeypot có thể được sử
dụng như một hình thức tấn
cơng để tiếp cận các hệ thống

khác và xâm phạm chúng

▪Honeypot có nguy cơ được
thực hiện trên hệ thống của kẻ
xấu và được sử dụng để gây
hại cho hệ thống khác.


PHÂN LOẠI HONEYPOT
TƯƠNG TÁC THẤP
Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành.
Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng
bị giới hạn về dịch vụ.

TƯƠNG TÁC CAO

Mang lại trải nghiệm thực tế hơn cho những kẻ tấn công và
thu thập thêm thông tin về các cuộc tấn công dự định. Mức độ
thông tin thu thập được cao. Honeypot tương tác cao thường
phức tạp và tốn thời gian hơn để thiết kế và quản lý cũng như
bảo dưỡng.


Một số loại honeypot khác:
Malware Honeypot: bắt chước các ứng dụng phần mềm và API để
mời các cuộc tấn công phần mềm độc hại
Database Honeypot : Chúng tạo ra cơ sở dữ liệu mồi nhử để đánh lừa
kẻ tấn công bằng cách sử dụng các phương pháp đôi khi bị tường lửa
bỏ sót, chẳng hạn như đưa vào ngơn ngữ truy vấn có cấu trúc (SQL)
Client Honeypot: Những honeypots này thường hoạt động như máy

chủ, lắng nghe các kết nối đến
Email Honeypot: là một danh sách các địa chỉ email được các nhà
cung cấp dịch vụ email sử dụng để phát hiện những kẻ gửi thư rác
Spider Honeypot:Những honeypot này được sử dụng để bẫy những
trình thu thập thơng tin web bằng cách tạo các trang web giả mạo và
các liên kết mà chỉ những trình thu thập thơng tin mới có thể truy cập
được


HONEYNET

▪Honeynet là hình thức honeypot tương
tác cao. Khác với các honeypots,
Honeynet là một hệ thống thật, hoàn toàn
giống một mạng làm việc bình thường.
Honeynet cung cấp các hệ thống, ứng
dụng, các dịch vụ thật.
▪ Quan trọng nhất khi xây dựng một honeynet
chính là honeywall. Honeywall là gateway ở
giữa honeypots và mạng bên ngồi. Nó hoạt
động ở tầng 2 như là Bridged. Các luồng dữ
liệu khi vào và ra từ honeypots đều phải đi qua
honeywall.


CÁC CHỨC NĂNG CỦA HONEYNET
Điều khiển dữ liệu

.


Phân tích dữ liệu

Thu nhận dữ liệu

CHỨC
NĂNG

Thu thập dữ liệu


VAI TRỊ & Ý NGHĨA HONEYNET
▪Vai trị
‣ Honeynet là mơi trường thử nghiệm có
kiểm sốt an tồn giúp sớm phát hiện ra các lỗ
hổng bảo mật tồn tại trên các sản phẩm công
nghệ thông tin đã triển khai - cài đặt trên hệ
thống thật
‣ Honeynet cũng giúp kiểm tra độ an toàn
của hệ thống mạng, các dịch vụ mạng ( như:
Web, DNS, Mail,…), và kiểm tra độ an toàn - tin
cậy - chất lượng của các sản phẩm thương mại
công nghệ thông tin khác (như: các Hệ điều
hành như: Unix, Linux, Window,…)

▪Ý nghĩa
‣ Thu thập các thông tin, dấu vết của Hacker


MỘT SỐ MƠ HÌNH TRIỂN KHAI HONEYNET
 Mơ hình triển khai Honeynet của Đại học Bắc Kinh - Trung Quốc


 Mơ hình triển khai Honeynet trong dự án Honeynet tại Hy
Lạp


MỘT SỐ MƠ HÌNH TRIỂN KHAI HONEYNET
 Mơ hình triển khai Honeynet của UK Honeynet Project


Chương II
MƠ HÌNH KIẾN TRÚC HONEYNET


HONEYNET THẾ HỆ I
I. Kiến trúc
Kiến trúc của loại Honeynet này bao gồm máy
(được gọi là tường lửa) chịu trách nhiệm về dữ
liệu kiểm soát và một hệ thống phát hiện xâm
nhập thành phần khác (IDS)
Tường lửa có 3 giao diện mạng :
+ Một giao diện được sử dụng để kết nối với Internet
+ Một mạng khác để kết nối với Honeynet
+ Mạng cuối để liên hệ với máy chủ nhật ký

 Vì thế, cấu hình của tường lửa là yếu tố
chính của bảo vệ thế hệ Honeynet này


HONEYNET THẾ HỆ I
II. Điều khiển dữ liệu

Quá trình này có hai mục tiêu
Đầu tiên là hiển thị một kịch bản đủ thực và an toàn cho
những kẻ xâm nhập.
Thứ hai là làm cho một môi trường đảm bảo rằng thiệt
hại gây ra không thể vượt qua môi trường của Honeynet.
Việc kiểm sốt dữ liệu được chia thành hai loại:
• Chặn kết nối: ngăn kết nối quá mức từ Honeynet.
• Giới hạn kết nối: có mục đích giảm thiểu ngập lụt cho
các kết nối đi và giới hạn băng thông.


HONEYNET THẾ HỆ I
III. Thu thập dữ liệu

Thu thập dữ liệu là một chức năng cho phép thu thập
và lưu trữ bằng chứng về hoạt động của mạng lưới và
của những cỗ máy can thiệp vào các cuộc tấn công
mà chúng để lộ ra.
Nếu khơng có khóa, các cơng cụ thu thập dữ liệu trên
mạng sẽ không thể xem kênh nếu các dịch vụ đáng tin
cậy như Secure Shell (SSH), một ứng dụng khách
được mã hóa hoặc một Secure Sockets Layer (SSL)
được cài đặt trên máy của nạn nhân.


HONEYNET THẾ HỆ II
I. Kiến trúc
Honeypot thế hệ II được phát triển vì Thế hệ I dễ dàng để
phát hiện
Cải thiện phương thức hoạt động để giữ những kẻ tấn cơng

trong Honeynet để thời gian dài hơn và nó cho phép nhiều
thông tin hơn về hoạt động cần đạt được.
Cổng Honeynet (honeywall) là quan trọng nhất trong thành
phần của kiến trúc, nó có 3 giao diện mạng: mạng sản xuất,
Honeynet và giao diện quản lý.

 Honeywall là sự kết chức năng của hai hệ thống tường
lửa Firewall và hệ thống phát hiện xâm nhập IDS của
mơ hình kiến trúc Honeynet I.


HONEYNET THẾ HỆ II
II. Điều khiển dữ liệu
Tất cả lưu lượng truy cập đến Honeynet đều đi qua honeywall,
cho phép can thiệp vào tường lửa và trên IDS hoặc hệ thống
ngăn chặn xâm nhập (IPS) các thành phần cho dữ liệu truyền
qua Internet.
Lớp điều khiển đầu tiên bao gồm việc xử lý kết nối gửi đi
thơng qua tường lửa; nó cho phép kết nối để đi đến một
ngưỡng cửa xác định, không giống như Honeynet thế hệ I, chỉ
cho phép các giá trị thấp, khiến nơi trú của những kẻ tấn cơng
ngắn lại.
Lớp kiểm sốt dữ liệu thứ hai bao gồm IDS/IPS


HONEYNET THẾ HỆ II
III.Thu thập dữ liệu

Honeynet thế hệ II áp dụng các chiến thuật tương tự
như Honeynets thế hệ I nhưng cải tiến các phương

pháp và công cụ, bộ sưu tập thông tin được thực hiện
ở lớp 3.
Những cải tiến là tường lửa, IDS / IPS và Honeypots.
Thu thập dữ liệu được thực hiện cho IDS thường trú
và tường lửa.


HONEYNET THẾ HỆ III
I. Kiến trúc
Honeywall thế hệ III có các công cụ như Hflowd,
pcap_api và Walleye hỗ trợ mối tương quan của dữ
liệu thu được. Walleye là một giao diện Web cho
phép quản trị hệ thống và cung cấp giao diện cho
Hflowd và pcap api để thực hiện phân tích dữ liệu
và cung cấp khả năng báo cáo tự động


HONEYNET THẾ HỆ III
II. Điều khiển dữ liệu
Mục tiêu là xác minh những gì kẻ tấn cơng có thể làm khi vào
và ra khỏi Honeynet. Honeywall là rất linh hoạt và bao gồm
khả năng giới hạn và các kết nối đi bằng cách sử dụng
IPTables và có thể thực hiện NAT
Các cơng cụ để kiểm sốt dữ liệu:
• layer 2 bridge (honeywall)
• Iptables (giới hạn gói hoặc lưu lượng mạng điều khiển)
• Snort Inline (thao tác gói mạng)


HONEYNET THẾ HỆ III

III. Thu thập dữ liệu

Thế hệ III của Honeynet đã cải thiện phân tích của dữ liệu so
với các kiến trúc trước đó.
Cách dễ nhất để thực hiện phân tích và kiểm tra lưu lượng
mạng và dữ liệu được thu thập trong Honeynet là tìm kiếm
các kết nối theo ngày, giờ, địa chỉ IP hoặc các cổng được hiển
thị trong giao diện GUI Walleye
Các công cụ để thu thập dữ liệu:
• Iptables (nhật ký iptables)
• Snort (cảnh báo IDS)
• pOf (nhận dạng thụ động SO)
• Sebek (Thu thập dữ liệu nâng cao)
• Tcpdump (thu thập lưu lượng mạng)