ИСПОЛЬЗОВАНИЕ DARKNETS В ЦЕЛЯХ БЕЗОПАСНОСТИ СЕТЕЙ
Суман Константин
Молдавский Гос-Университет
Cisco Certified Network Associate
В природе, бдительность и интеллект необходимы для выживания любых существ.
Способность сообщать информацию быстро и однородно, особенно угрозы, является часто различием между развитием и исчезновением.
Выживание также зависит от способности ответить соответственно на обнаруженную угрозу.
Чем быстрее Вы можете идентифицировать местоположение и намерение возможной угрозы, тем быстрее Вы можете выбирать ответ.
Системы Обнаружения Вторжения (Intrusion Detection Systems) (IDSs) действуют как сетевой "радар", но они вообще только приносят пользу определенным сетям.
Поскольку важность и использование Интернета увеличивается, быстрая идентификация угроз на глобальном уровне становится даже более жизненно важной. Предупрежденея угроз заранее приносит пользу всему Интернету, и вот где darknets и сетевые телескопы входят в игру.
Что такое Darknet
Этот термин описывает, и концепцию и фактический инструмент(tool).
Darknet - в основном "темная" сеть, область рутировнного IP-адресного-пространства, где присудствуют несколько или ни одного хоста и сервиса.
Установка и работа Darknet
Darknets не трудно устоновить; для этого выделяется большое IP-адресное-пространство которое не используется для валидных сетей, и рутируется к определенному IP-адресу.
Скажим, после постройки сети фирмы осталось неизпользуемое пространство. Применив немного усилий, сисадмин может определить в этом пространстве сети типа darknet.
Злоумышленник, производяший экономический шпионаж, в первую очередь, при адресации к неизвестной сети, начинает сканировать локальную сеть фирмы.
Конечно-же он, ничего не подозревая, поподает в darknet. На этоом этапе, по дефолту, можно рассматривать любой трафик, входший в darknet из любого источника как враждебный (кроме, конечно, трафик, о котором определенно известно).
Сисадмин фирмы понимает что его сеть под сканированием( в данном случае), то что предвещает атаку. Это позволяет сисадмину приготовиться и не встревожить атакующего, то что может позволить( при определенных обстоятельствах) не только успешно и легко отразить атаку, но и реатаковать, а может и поймать физически приступника.
Darknet, конечно, должен стоять за пределами firewall- а, так как частота сканирования и простых, неопределенных, атак “всего” Интернета довольно велика.
Это решает две проблемы, связанные с традиционными IDSs:
1. Не нужно классифицировать источник данных. В соответствии с дизайном, darknet только мониторизирует трафик и ничего более, так что можно знать наверняка, любые данные, входящие в darknet- враждебны.
2. Не нужно осмотривать данные, чтобы знать, что они враждебны. Никто не исследовал бы пустое место сети, если он или она не искали кое-что.
Зачем нужен Darknet
Он используется для раннего предупреждения Интернет-угроз.
Не рекомендуется использовать в качестве основного инструмента защиты.
Обнаруживая заранее процесс сканирование портов, возможно получить ценную информацию относительно угрозы прежде, чем она распростронится.
Чем больше IP-адресного-пространства, тем, лучше darknet может контролировать потенциальные источники злонамеренного Интернет-трафика.
Если сконфигурировать darknet с общественным Интернет-адресным-пространством, можно использовать это, чтобы контролировать злонамеренную деятельность в самом Интернете. Однако, из-за ограничений общественного Интернет-адресного-пространства, только организации типа Совместной Ассоциации для Анализа Данных Интернета (Cooperative Association for Internet Data Analysis) (CAIDA) и университетов, вовлеченных в исследование Интернета, вобщем основывают darknets на общественном Интернет-адресном-пространстве.
Но все еще есть выбор в частной IP сети. Вы можете использовать darknet для тракиннга внутренней актиности сети на наличие внутренних угроз( сканирований, саботажей, червей и т.д).
Заключение
В то время как darknets отличаются от традиционного IDSs, они используют тот же самый тип обнаружения. Но используя darknet можно уверенно знать что любой входяший трафик- враждебный, потомучто в darknets не сущуствуют предлагаемые сервисы.
Определяя darknet как вспомогательный, дешовый и простой способ защиты, не нужно забывать об его надежности и уникальности.
Достаточно определить IP адреса и порты. После этого, довольно быстро можно идентифицировать червя или эксплоит связанный со враждебным трафиком; можро использовать IDS типа Snort, чтобы брать fingerprint с пакетов данных.
Стоит ли использовать darknets в корпоративной среде, зависит от определения безопасности каждого в отдельности. Darknets не останавливает враждебный трафик в определенном периметре подобно firewall, также они не блокируют вирусы и не фильтруют контент.
Но darknet ‘определенно’ мониторизирует трафик, который вообще “не должен” существовать, по крайней мере, в корпоративных сетях. Darknet обеспечивает незаменимый инструмент для вашего арсенала безопасности.
Конечно, только при одной идее darknet, появляются мысли о множественных варьантах его настройке и использовании, не говоря о том, что каждая сеть требует свой подход.
Перечисление всех этих варьантов не имеет смысл, так как спецалисту не трудно понять потенцтал darknet.