Архитектура

Структура сети с внедренной системой имитации:

В состав системы входят следующие основные компоненты:

Консоль администратора

Основной инструмент управления системой. Консоль предназначена для настройки системы и выполнения таких функций, как:

• создание и настройка имитационных систем (сенсоров);
• резервное копирование и восстановление сенсоров;
• настройка правил реагирования.

Сенсор

Представляет собой непосредственно имитационную систему (ловушку). Сенсор — это заранее подготовленная виртуальная машина под управлением VMWare Player 2.5.1 с настроенной ОС Linux Debian 4.0 и установленным имитируемым ПО — Oracle 10g R2 Express Edition в качестве СУБД или Samba 3.4 в качестве файлового сервера. Количество сенсоров ограничено производительностью сервера, на который установлена система Honeypot Manager, а также приобретенной лицензией.

В локальной сети (например, при проверке сканирующими программами, подобными Nmap) сенсор Oracle определяется как обычный сервер Oracle, а файловый сенсор — как Samba файл-сервер на неопределяемой Unix-системе. Вы можете задать для виртуальной машины MAC-адрес, имитирующий принадлежность к различным фирмам-производителям, например Sun или HP. Также на сенсоре Oracle открыт порт для подключения к БД. На файловом сенсоре открыты порты для доступа к сетевым ресурсам. Нарушителю сенсор покажется таким же привлекательным для взлома, как и настоящий сервер.

На сенсорах включен аудит событий. Honeypot Manager обеспечивает сбор данных аудита и сохранение их в собственной БД.

Если действия нарушителя носят необратимый характер, продукт предоставляет возможность восстановления первоначального состояния сенсора из резервной копии.

Подсистема мониторинга

Выполняет следующие функции:

• регистрация фактов НСД, а также информации об активности Honeypot Manager и его компонентов в журнале событий Windows;
• реализация оповещения ответственных лиц о фактах НСД (с указанием информации о компьютере и учетной записи потенциального нарушителя, времени и характере доступа) и событиях, связанных с работоспособностью системы, по электронной почте или протоколу SNMP.

Подсистема сбора данных

Обеспечивает сбор данных аудита с сенсоров и сохранение их в БД Honeypot Manager.

БД и генератор отчетов

База данных продукта устанавливается на локальный компьютер (где установлена Консоль администратора) и содержит всю информацию о работе системы — о событиях, произошедших на сенсорах, срабатывании правил, работе самой системы Honeypot Manager и т. д. Таким образом записи аудита доступны для последующего анализа даже в случае порчи сенсора нарушителем или краха системы. Для хранения данных аудита с сенсоров и данных о срабатывании правил используется СУБД Microsoft SQL Server 2005 с установленным сервером отчетов SQL Server Reporting Services.

Встроенный генератор отчетов предоставляет возможность формировать отчеты о работе системы Honeypot Manager. Отчеты доступны как локально, так и удаленно.

Вспомогательные утилиты

Утилита диагностирования предназначена для проверки настройки правил реагирования и уведомлений и помогает убедиться, что Honeypot Manager правильно настроен и находится в рабочем состоянии.

Утилита перемешивания данных поможет произвести необратимые изменения оригинальных данных в таблицах Oracle во время миграции их с рабочих БД Oracle в БД сенсора.