Žodis angliškai
Honeypot
Žodis Lietuviškai
Medaus puodynė
Apibrėžimas
Medaus puodynės - tai stebimos kompiuterių sistemos kurios norime, kad būtų ištirtos, užpultos, ar pastatytos į pavojų. Tiksliau, medaus puodynė yra "informacijos sistemos ištekliai, kurių vertė yra nesankcionuotame ar neteisėtame tų išteklių naudojime"
Paaiškinimai
Medaus puodynės vertė yra matuojama informacija, kuri gali būti gauta iš jos. Duomenų kurie įeina ir palieka medaus puodynę kontroliavimas leidžia rinkti informaciją, kuri nėra pasiekiama tinklo įsibrovimo susekimo sistemoms. Pavyzdžiui, galima registruoti interaktyvios sesijos klavišo paspaudimus, net jei tinklo srauto apsaugojimui yra panaudotas kodavimas. Tam, kad tinklo įsibrovimo susekimo sistemos aptiktų kenksmingą elgesį yra reikalingi žinomų atakų aprašymai, o nežinomos kenksmingo turinio atakos dažnai būna nepastebėtos. Kita vertus, medaus puodynės gali aptikti pažeidžiamumą, kuris nėra atrastas. Pavyzdžiui, galima aptikti įsilaužimą, paliekant medaus puodynę veikiančia tinkle, net jei nebuvo pastebėta jokio kenksmingo veiksmo iki tol.
Kadangi medaus puodynė neturi jokios gamybinės vertės, bet kokios pastangos prisijungti prie jos yra traktuojamos kaip įsilaužimas. Todėl, duomenų analizė, surinkta iš medaus puodynių yra tikslesnė nagrinėjant atakas negu duomenys, rinkti su tinklo įsibrovimo susekimo sistemomis. Dauguma duomenų, kurie gaunami iš medaus puodynių gali padėti suprasti atakas.
Medaus puodynės gali veikti bet kokioje operacinėje sistemoje ir valdyti bet kokį paslaugų skaičių. Sukonfigūruotos paslaugos nustato kryptis, kurios bus analizuojamos įsibrovimų radimui ar sistemos tyrimui. Didelės sąveikos medaus puodynė imituoja tikrą sistemą, su kuria įsibrovėlis gali sąveikauti. Priešingai, mažos sąveikos medaus puodynė imituoja tiktai kai kurias paslaugas – pavyzdžiui, tinklo paslaugą[3]. Didelės sąveikos medaus puodynės gali būti pilnai užvaldyta, leisdama įsibrovėliui įgyti pilną prieigą prie sistemos ir panaudoti tai, kad vykdytų tolimesnes tinklo atakas. Priešingai, mažos sąveikos medaus puodynės imituoja tiktai paslaugas, kurios negali būti naudojamos tam, kad gautų pilną prieigą prie medaus puodynės. Mažos sąveika medaus puodynės turi daugiau apribojimų, bet jos yra naudingos tam, kad rinktų informaciją aukštesniame lygmenyje — pavyzdžiui, daugiau sužinoti apie tinklo skanavimą ar kirmino veiklą. Jie gali taip pat būti panaudoti tam, kad analizuotų šiukšlintojus (angl. spammers) ar priemones prieš kirminus. Nė vienas iš šitų dviejų metodų nėra geresnis už kitą; kiekvienas turi unikalius pranašumus ir trūkumus.
Taip pat reiktų atskirti fizines ir virtualias medaus puodynes. Fizinė medaus puodynė yra tikras kompiuteris veikiantis tinkle su savo IP adresu. Virtuali medaus puodynė yra imituota kito kompiuterio, kuris atsako į tinklo srautą, siunčiama į virtualią medaus puodynę.
Kai renkama informaciją apie tinklo atakas ar šnipinėjimus, surinktų duomenų kiekis ir tikslumas priklauso nuo medaus puodynių išdėstymo ir skaičiaus. Pavyzdžiui, tirti HTTP-pagrįstų kirminų veiklą [4]. Šiuos kirminus galima identifikuoti tiktai po to, kai jie užbaigia TCP susijungimą ir pradeda siųsti savo duomenų srautus. Tačiau dauguma susijungimo prašymų neįvyksta, todėl, kad kirminai bando užmegzti ryšį su atsitiktinai pasirinktais IP adresais. Medaus puodynė sukonfigūruota taip, kad funkcionuotų kaip tinklo serveris ar imituodama pažeidžiamas tinklo paslaugas gali sugauti kirmino siunčiamus duomenis. Kuo daugiau medaus puodynių yra išdėstyta tinkle, tuo didesnė tikimybė, kad į vieną iš jų bandys prisijungti kirminas.