ИСПОЛЬЗОВАНИЕ DARKNETS В ЦЕЛЯХ БЕЗОПАСНОСТИ СЕТЕЙ



Суман Константин

Молдавский Гос-Университет

Cisco Certified Network Associate




В природе, бдительность и интеллект необходимы для выживания любых существ.

Способность сообщать информацию быстро и однородно, особенно угрозы, является часто различием между развитием и исчезновением.

Выживание также зависит от способности ответить соответственно на обнаруженную угрозу.

Чем быстрее Вы можете идентифицировать местоположение и намерение возможной угрозы, тем быстрее Вы можете выбирать ответ.

Системы Обнаружения Вторжения (Intrusion Detection Systems) (IDSs) действуют как сетевой "радар", но они вообще только приносят пользу определенным сетям.

Поскольку важность и использование Интернета увеличивается, быстрая идентификация угроз на глобальном уровне становится даже более жизненно важной. Предупрежденея угроз заранее приносит пользу всему Интернету, и вот где darknets и сетевые телескопы входят в игру.


Что такое Darknet

Этот термин описывает, и концепцию и фактический инструмент(tool).

Darknet - в основном "темная" сеть, область рутировнного IP-адресного-пространства, где присудствуют несколько или ни одного хоста и сервиса.

Установка и работа Darknet

Darknets не трудно устоновить; для этого выделяется большое IP-адресное-пространство которое не используется для валидных сетей, и рутируется к определенному IP-адресу.

Скажим, после постройки сети фирмы осталось неизпользуемое пространство. Применив немного усилий, сисадмин может определить в этом пространстве сети типа darknet.

Злоумышленник, производяший экономический шпионаж, в первую очередь, при адресации к неизвестной сети, начинает сканировать локальную сеть фирмы.

Конечно-же он, ничего не подозревая, поподает в darknet. На этоом этапе, по дефолту, можно рассматривать любой трафик, входший в darknet из любого источника как враждебный (кроме, конечно, трафик, о котором определенно известно).

Сисадмин фирмы понимает что его сеть под сканированием( в данном случае), то что предвещает атаку. Это позволяет сисадмину приготовиться и не встревожить атакующего, то что может позволить( при определенных обстоятельствах) не только успешно и легко отразить атаку, но и реатаковать, а может и поймать физически приступника.

Darknet, конечно, должен стоять за пределами firewall- а, так как частота сканирования и простых, неопределенных, атак “всего” Интернета довольно велика.

Это решает две проблемы, связанные с традиционными IDSs:

1. Не нужно классифицировать источник данных. В соответствии с дизайном, darknet только мониторизирует трафик и ничего более, так что можно знать наверняка, любые данные, входящие в darknet- враждебны.

2. Не нужно осмотривать данные, чтобы знать, что они враждебны. Никто не исследовал бы пустое место сети, если он или она не искали кое-что.


Зачем нужен Darknet

Он используется для раннего предупреждения Интернет-угроз.

Не рекомендуется использовать в качестве основного инструмента защиты.

Обнаруживая заранее процесс сканирование портов, возможно получить ценную информацию относительно угрозы прежде, чем она распростронится.

Чем больше IP-адресного-пространства, тем, лучше darknet может контролировать потенциальные источники злонамеренного Интернет-трафика.

Если сконфигурировать darknet с общественным Интернет-адресным-пространством, можно использовать это, чтобы контролировать злонамеренную деятельность в самом Интернете. Однако, из-за ограничений общественного Интернет-адресного-пространства, только организации типа Совместной Ассоциации для Анализа Данных Интернета (Cooperative Association for Internet Data Analysis) (CAIDA) и университетов, вовлеченных в исследование Интернета, вобщем основывают darknets на общественном Интернет-адресном-пространстве.

Но все еще есть выбор в частной IP сети. Вы можете использовать darknet для тракиннга внутренней актиности сети на наличие внутренних угроз( сканирований, саботажей, червей и т.д).


Заключение

В то время как darknets отличаются от традиционного IDSs, они используют тот же самый тип обнаружения. Но используя darknet можно уверенно знать что любой входяший трафик- враждебный, потомучто в darknets не сущуствуют предлагаемые сервисы.

Определяя darknet как вспомогательный, дешовый и простой способ защиты, не нужно забывать об его надежности и уникальности.

Достаточно определить IP адреса и порты. После этого, довольно быстро можно идентифицировать червя или эксплоит связанный со враждебным трафиком; можро использовать IDS типа Snort, чтобы брать fingerprint с пакетов данных.

Стоит ли использовать darknets в корпоративной среде, зависит от определения безопасности каждого в отдельности. Darknets не останавливает враждебный трафик в определенном периметре подобно firewall, также они не блокируют вирусы и не фильтруют контент.

Но darknet ‘определенно’ мониторизирует трафик, который вообще “не должен” существовать, по крайней мере, в корпоративных сетях. Darknet обеспечивает незаменимый инструмент для вашего арсенала безопасности.

Конечно, только при одной идее darknet, появляются мысли о множественных варьантах его настройке и использовании, не говоря о том, что каждая сеть требует свой подход.

Перечисление всех этих варьантов не имеет смысл, так как спецалисту не трудно понять потенцтал darknet.