Honeypots и Honeynets

Част от работата на ИТ специалистите по сигурността е да научат за видовете атаки или техники, използвани от хакерите, като събират информация за по -късен анализ, за ​​да оценят характеристиките на опитите за атака. Понякога това събиране на информация се извършва чрез примамки или примамки, предназначени да регистрират подозрителната дейност на потенциални нападатели, които действат, без да знаят, че тяхната активност се следи. В ИТ сигурността тези примамки или примамки се наричат Медни тенджери .

Какво представляват меда и медовите мрежи:

ДА СЕ гърне за мед може да е приложение, симулиращо мишена, която наистина е регистрираща активността на нападателите. Деноминирани са множество Honeypots, симулиращи множество услуги, устройства и приложения Скъпи .

Honeypots и Honeynets не съхраняват чувствителна информация, но съхраняват фалшива привлекателна информация за нападателите, за да ги заинтересуват от Honeypots; С други думи, Honeynets говорят за хакерски капани, предназначени да научат техните техники за атака.

Honeypots ни дават две предимства: първо, те ни помагат да научим атаки, за да защитим правилно нашето производствено устройство или мрежа. Второ, като запазваме медни джобове, симулиращи уязвимости до производствени устройства или мрежи, държим вниманието на хакерите извън защитените устройства. Те ще намерят по -привлекателни саксии, симулиращи дупки за сигурност, които могат да експлоатират.

Видове меда:

Производствени пюрета:
Този тип меден пот е инсталиран в производствена мрежа за събиране на информация за техники, използвани за атака на системи в инфраструктурата. Този тип меден пот предлага голямо разнообразие от възможности, от местоположението на меда в рамките на определен мрежов сегмент с цел откриване на вътрешни опити на законни потребители на мрежата да получат достъп до недопустими или забранени ресурси до клонинг на уебсайт или услуга, идентичен с оригинален като стръв. Най -големият проблем на този тип меда е разрешаването на злонамерен трафик между законни.

Медни точки за развитие:
Този тип меден пот е предназначен да събира повече информация за хакерските тенденции, желаните цели от нападателите и произхода на атаките. Тази информация по-късно се анализира за процеса на вземане на решения относно прилагането на мерките за сигурност.
Основното предимство на този вид медни съдове е, противно на производството; саксии за разработване на медни съдове се намират в независима мрежа, посветена на научни изследвания; тази уязвима система е отделена от производствената среда, предотвратявайки атака от самата меда. Основният му недостатък е броят на необходимите ресурси за прилагането му.

Има 3 различни подкатегории или типове класификации, определени от нивото на взаимодействие, което има с нападателите.

Медни потове с ниско взаимодействие:

Honeypot емулира уязвима услуга, приложение или система. Това е много лесно за настройка, но ограничено при събиране на информация; някои примери за този тип меда са:

• Медоловка : той е предназначен да наблюдава атаки срещу мрежови услуги; за разлика от други медони, които се фокусират върху улавянето на зловреден софтуер, този тип меда е предназначен за улавяне на подвизи.
• Нефентес : емулира известни уязвимости, за да събира информация за възможни атаки; той е проектиран да подражава на уязвимости, които червеите експлоатират, за да разпространяват, след това Nephentes улавя кода им за по -късен анализ.
• HoneyC : идентифицира злонамерени уеб сървъри в мрежата, като емулира различни клиенти и събира отговорите на сървъра, когато отговаря на заявки.
• HoneyD : е демон, който създава виртуални хостове в мрежа, който може да бъде конфигуриран да изпълнява произволни услуги, симулиращи изпълнение в различни ОС.
• Гластопф : емулира хиляди уязвимости, предназначени да събират информация за атаки срещу уеб приложения. Той е лесен за настройка и веднъж индексиран от търсачките; става привлекателна мишена за хакерите.

Медни потове със средно взаимодействие:

При този сценарий Honeypots не са предназначени да събират само информация; това е приложение, предназначено да взаимодейства с нападателите, като същевременно изчерпателно регистрира взаимодействието; симулира цел, способна да предложи всички отговори, които нападателят може да очаква; някои меда от този тип са:

• Cowrie: Ssh и telnet медпот, който регистрира атаки на груба сила и взаимодействие на хакерски черупки. Той емулира Unix OS и работи като прокси за регистриране на активността на нападателя. След този раздел можете да намерите инструкции за внедряване на Cowrie.
• Sticky_elephant : това е PostgreSQL меда.
• Стършел : Подобрена версия на honeypot-wasp с подкана за фалшиви идентификационни данни, предназначена за уебсайтове с страница за вход с публичен достъп за администратори като /wp-admin за сайтове на WordPress.

Медни съдове с високо взаимодействие:

При този сценарий Honeypots не са предназначени да събират само информация; това е приложение, предназначено да взаимодейства с нападателите, като същевременно изчерпателно регистрира взаимодействието; симулира цел, способна да предложи всички отговори, които нападателят може да очаква; някои меда от този тип са:

• Рани : работи като HIDS (Host-based Intrusion Detection System), позволяваща улавяне на информация за системната дейност. Това е сървър-клиент инструмент, способен да разгърне медни точки в Linux, Unix и Windows, които улавят и изпращат събраната информация до сървъра.
• HoneyBow : може да се интегрира с ниски нива на взаимодействие, за да се увеличи събирането на информация.
• HI-HAT (инструментариум за анализ на Honeypot с високо взаимодействие) : преобразува PHP файлове в медни точки с високо взаимодействие с наличен уеб интерфейс за наблюдение на информацията.
• Capture-HPC : подобно на HoneyC, идентифицира злонамерени сървъри, като взаимодейства с клиенти, използвайки специална виртуална машина и регистрира неоторизирани промени.

По -долу можете да намерите практичен пример за мед със средно взаимодействие.

Разполагане на Cowrie за събиране на данни за SSH атаки:

Както беше казано по -рано, Cowrie е меден пот, използван за записване на информация за атаки, насочени към услугата ssh. Cowrie симулира уязвим ssh сървър, позволяващ на всеки нападател да получи достъп до фалшив терминал, симулиращ успешна атака, докато записва дейността на нападателя.

За да Cowrie симулира фалшив уязвим сървър, трябва да го назначим на порт 22. По този начин трябва да променим нашия реален ssh порт, като редактираме файла /etc/ssh/sshd_config както е показано по -долу.

Редактирайте реда и го променете за порт между 49152 и 65535.

Рестартирайте и проверете дали услугата работи правилно:

Инсталирайте целия необходим софтуер за следващи стъпки, на Debian базирани дистрибуции на Linux:

Добавете непривилегирован потребител, наречен cowrie, като изпълните командата по -долу.

На дистрибуции на Linux, базирани на Debian, инсталирайте authbind, като изпълните следната команда:

Изпълнете командата по -долу.

Променете собствеността, като изпълните командата по -долу.

Промяна на разрешенията:

Влезте като каури

Отидете в домашната директория на Cowrie.

Изтеглете меден каури с помощта на git, както е показано по -долу.

Преместете се в директорията cowrie.

Създайте нов конфигурационен файл въз основа на този по подразбиране, като го копирате от файла /etc/cowrie.cfg.dist към cowrie.cfg като изпълните командата, показана по -долу в директорията на cowrie/

Редактирайте създадения файл:

Намерете реда по -долу.

Редактирайте реда, като замените порт 2222 с 22, както е показано по -долу.

Запазване и излизане от nano.

Изпълнете командата по -долу, за да създадете среда на python:

Активирайте виртуална среда.

Актуализирайте pip, като изпълните следната команда.

Инсталирайте всички изисквания, като изпълните следната команда.

Стартирайте cowrie със следната команда:

Проверете дали медената кутия слуша, като бягате.

Сега опитите за влизане в порт 22 ще бъдат регистрирани във файла var/log/cowrie/cowrie.log в директорията на cowrie.

Както беше казано по -рано, можете да използвате Honeypot, за да създадете фалшива уязвима обвивка. Cowries включва файл, в който можете да определите разрешен достъп на потребителите до черупката. Това е списък с потребителски имена и пароли, чрез които хакерът има достъп до фалшивата обвивка.

Форматът на списъка е показан на изображението по -долу:

Можете да преименувате списъка по подразбиране на cowrie за целите на тестването, като изпълните командата по -долу от директорията cowries. По този начин потребителите ще могат да влизат като root с парола корен или 123456 .

Спрете и рестартирайте Cowrie, като изпълните командите по -долу:

Сега тествайте опита да получите достъп чрез ssh, като използвате потребителско име и парола, включени в userdb.txt списък.

Както можете да видите, ще получите достъп до фалшива черупка. И цялата дейност, извършена в тази обвивка, може да се следи от дневника на каури, както е показано по -долу.

Както можете да видите, Cowrie е успешно внедрен. Можете да научите повече за Cowrie на https://github.com/cowrie/ .

Заключение:

Изпълнението на Honeypots не е често срещана мярка за сигурност, но както можете да видите, това е чудесен начин за засилване на сигурността на мрежата. Внедряването на Honeypots е важна част от събирането на данни с цел подобряване на сигурността, превръщането на хакерите в сътрудници чрез разкриване на тяхната дейност, техники, идентификационни данни и цели. Това също е страхотен начин за предоставяне на фалшива информация на хакерите.

Ако се интересувате от Honeypots, вероятно IDS (Intrusion Detection Systems) може да са ви интересни; в LinuxHint имаме няколко интересни урока за тях:

• Конфигурирайте Snort IDS и създайте правила
• Първи стъпки с OSSEC (система за откриване на проникване)

Надявам се, че сте намерили тази статия за Honeypots и Honeynets за полезна. Следвайте Linux подсказки за още съвети и уроци за Linux.