Network jail

on Oct 24, 2005 12:15 pm.
เครือข่ายในกรงขัง หรือ เรียกว่า “Network Jail”

เป็นศัพท์ที่เิกิดจากจิตนาการของผู้เขียนเอง ยังไม่ได้ระบุที่ใดมาก่อน ดังนั้นบทความนี้จึงเป็นเพียงแนวความคิด

จุดประสงค์หลักของบทความนี้ เพื่อที่จะเสนอแนวความคิด การกักขังข้อมูลที่ไม่พึ่งประสงค์ ในเครือข่ายสำหรับงานวิจัย

บทความนี้แบ่งเป็น 3 ตอน

ตอนแรกจะกล่าวถึง เทคโนโลยีการสร้าง honeynet ในยุค Gen II

ตอนที่สองจะกล่าวถึง การใช้ sinkhole บน WAN เทคโนโลยี และระบุตัวตนของ IP โดยใช้เทคโนโลยี Backscatters

ตอนที่สามเปิดเผย Network Jail ตามจิตนาการของผู้เขียน

ในบทความนี้จะกล่าวถึง

1. แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

2. เทคโนโลยี Honeynet จาก <Honeynet Project> ในยุค Gen II และเป็นแบบ High-Interaction Honeypots

3. เทคโนโลยี Sinkholes และ Backscatter

4. การประยุกต์รวมเทคโนโลยีเพื่อสร้างเครือข่ายในกรงขัง

ในตอนที่ 1 จะกล่าวถึง หัวข้อที่ 1 และ 2 ตามลำดับ

แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

เราทราบกันดีอยู่ว่าไม่สามารถที่จะหยุดยั้งการบุกรุกที่เกิดขึ้นในเครือข่ายได้ ไม่ว่ากรณีใดๆ สำหรับงานวิจัยแล้วการบุกรุกและพัฒนาอุปกรณ์ด้านความปลอดภัย รวมถึง ซอฟแวร์ที่ใช้เพื่อเสริมความปลอดภัยให้กับองค์กร เป็นสิ่งที่ต้องเรียนรู้กันอยู่ตลอดเวลา การสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ จึงเป็นส่วนหนึ่งของการวิจัยเพื่อที่จะ

– ศึกษาพฤติกรรมการบุกรุกระบบเครือข่าย

– พัฒนาฐานข้อมูลการบุกรุกเพื่อใช้ในการสร้างผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (Firewall /IDS /IPS) และฐานข้อมูลให้บริการโปรแกรมด้านความปลอดภัยไม่ว่าเป็น software Anti-virus/Spyware/Spam

– เพื่อปรับปรุงแนวทางการป้องกันภัยคุกคามใหม่

ใน 3 ข้อนี้เป็นแกนหลักในการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ ที่เรียกว่า Network Jail ขึ้น

เทคโนโลยี Honeynet Gen II

หลักใหญ่ๆ การสร้าง Honeynet มี 3 หัวข้อที่พึ่งสังเกต

1. เรื่อง Data Control คือการควบคุมการเข้าออกข้อมูลสารสนเทศ โดยกำหนด

Interface สำหรับ External Nework , Internal Network และ Remote management โดยผ่านเทคโนโลยี Iptables มาใช้ทำ Bridge (การทำ Bridge ไม่จำเป็นต้องบน iptables อาจใช้ tools บน BSD มาใช้ร่วมได้เช่น ipfw เป็นต้น) ในส่วน Data Control จะใช้ควบคุมพฤติกรรมต่อเนื่องที่เป็นการโจมตี ไม่ว่าเป็นเรื่องของ session limit , Bandwith Rate Limitation รวมถึงการระบุช่วง IP ในการเข้า ออก (Firewall แบบ packet filtering)

ใน Honeynet project การใช้ Data Control จะมี tools หนึ่งที่เรียกว่า Honeywall ซึ่งจากภาพที่นำมาเสนอจะบอกถึงหลักการการขนส่งข้อมูลในแต่ละ interface ที่เกิดขึ้น และบังคับข้อมูลให้ส่งผ่านตามที่ต้องการ

2. Data Capture จะเกี่ยวกับการตรวจตาเฝ้าระวังภัย ประกอบด้วย

– อ่านค่า log เหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย (Network Intrusion Detection System) จาก Syslog server ต่างๆ ที่เกี่ยวกับการสร้าง Honeynet

– การตรวจค่าความเที่ยงตรงข้อมูล (Host Integrity Monitoring) ไม่ว่าที่เกี่ยวกับ keystrokes, การ uploads files การเปลี่ยนค่าของ files และ การกรอก passwords

เครื่องมือที่ใช้ ใน Honeynet Project ในส่วน Data Capture คือ

1. snort เป็น NIDS และ HIDS

2. Sebek ใช้สำหรับเป็น Keystrokes log

3. Data Analysis จะเกี่ยวกับการวิเคราะห์ข้อมูลระดับ content เพื่อใช้ในการสืบค้นหา และเพื่อวิจัยต่อไป

ใน Honeynet Project มีเครื่องมือที่ใช้ ส่วนใหญ่เป็นเชิงการพิสูจน์หลักฐานทางอิเล็คทรอนิค (Forensics toolkit) ได้แก่

1. Sleuthkit ใช้สำหรับงานวิเคราะห์หลังการเกิดเหตุการณ์ที่ไม่พึ่งประสงค์

2. ACID (Analysis Console for Intrusion Databases ) เป็นตัวแสดงผลการตรวจจับข้อมูลจาก snort ซึ่งพัฒนาจากทีม CERT

ทั้ง 3 ส่วนหลักการของการสร้าง honynet เป็นการบ่งบอกถึงสร้างเครือข่ายเพื่อเป็นหลุมพรางไว้ ให้ผู้บุกรุกและไม่ใช่ผู้บุกรุกระบบเครือข่ายก็ดีได้ติดกับดักไว้

ในส่วนการทำ Low Interaction Honeypots และ High Interaction Honeypots คือการสร้างแบบเสมือนขึ้นบนระบบปฏิบัติการ OS (Operating System)

Low Interaction จะเกิดขึ้นบนเครื่องเดียวที่เรียกว่า honeypots PC หมายถึงหลอกให้เข้าเครื่องนี้เพียงเครื่องเดียวและบันทึกเหตุการณ์ไว้ ในส่วน Low Interaction จะไม่มีเรื่องการทำ Data Control มีเพียง Data Capture และ Data Analysis

High Interaction เกิดจากการพัฒนาเทคโนโลยี สร้างความเสมือนจริงให้เกิดขึ้นกับระบบปฏิบัติการ OS (Operating System) โดยใช้ OS เสมือนเหล่านี้สร้างเป็นเครือข่าย และทำการสร้าง honeynet เกิดขึ้นบนระบบปฏิบัติการ

จากภาพจะเห็นว่า หมายเลข 1 คือการทำ Data Control โดยใช้เครื่องมือ honeywall ทำการกำหนดข้อมูลและส่งไปยังเครื่องเสมือนที่เรียกว่า Honeypot ที่เป็นแบบ Low Interaction และหมายเลขที่ 3 เป็น Honeypots แบบ High Interaction โดยทั้ง 3 ส่วนที่ผสมผสานกัน จะเรียกว่า Honeynet

ภาพเครือข่าย Honeynet ในยุค Gen II จึงเป็นการสมมุติฐานว่าทุกข้อมูลที่เข้าสู่วงเครือข่าย Honeynet จะถูกบันทึกและเก็บเป็นหลักฐานหมด ซึ่งยังไม่ใช่จุดประสงค์ของการทำ Network Jail ที่ผู้เขียนคิดไว้

ในตอนหน้าจะกล่าวถึง การใช้เทคโนโลยี sinkhole และ backcatters และเผยการออกแบบ Network Jail ในบางส่วน

บทความนี้ขอสงวนสิทธิ ในการเผยแพร่ ต้องรับอนุญาตจากทางบริษัท Global Technology Integrated

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Director SRAN Developer Team

24/10/48

ข้อมูลอ้างอิงบทความ

http://www.honeynet.org/papers/gen2/

http://www.honeyd.org/background.php

http://www.nanog.org/mtg-0306/sink.html

http://ebtables.sourceforge.net/

รูปประกอบจาก http://www.honeynet.org.es/papers/vhwall/