Honeypotit ja hunajaverkot

Osa tietoturva -IT -asiantuntijoiden työtä on oppia hakkereiden käyttämistä hyökkäystyypeistä tai tekniikoista keräämällä tietoja myöhempää analyysiä varten hyökkäysyritysten ominaisuuksien arvioimiseksi. Joskus tämä tiedonkeruu tapahtuu syötin tai houkuttimien avulla, joiden tarkoituksena on rekisteröidä mahdollisten hyökkääjien epäilyttävä toiminta, jotka toimivat tietämättä heidän toimintaaan. IT -turvallisuudessa näitä syöttejä tai houkuttimia kutsutaan Hunajaruukut .

Mitä ovat hunajakastikot ja hunajaverkot:

TO hunajapurkki voi olla sovellus, joka simuloi kohdetta, joka todella tallentaa hyökkääjien toimintaa. Useita palveluja, laitteita ja sovelluksia simuloivia Honeypots -nimikkeitä Hunajaverkot .

Honeypots ja Honeynets eivät tallenna arkaluonteisia tietoja, mutta tallentavat väärennettyjä houkuttelevia tietoja hyökkääjille saadakseen heidät kiinnostumaan Honeypotsista; Honeynets, toisin sanoen, puhuvat hakkereiden ansoista, jotka on suunniteltu oppimaan hyökkäystekniikoitaan.

Honeypots tarjoaa meille kaksi etua: ensinnäkin ne auttavat meitä oppimaan hyökkäyksiä tuotantolaitteen tai verkon suojaamiseksi oikein. Toiseksi pitämällä haavoittuvuuksia simuloivia hunajakennoja tuotantolaitteiden tai -verkkojen vieressä pidämme hakkereiden huomion suojattujen laitteiden ulkopuolella. He löytävät houkuttelevampia hunajakastikkeita, jotka simuloivat turva -aukkoja, joita he voivat hyödyntää.

Honeypot -tyypit:

Tuotanto Honeypots:
Tämäntyyppinen hunajapotti asennetaan tuotantoverkkoon keräämään tietoja tekniikoista, joita käytetään hyökkäämään infrastruktuurin järjestelmiin. Tämäntyyppinen hunajapotti tarjoaa laajan valikoiman mahdollisuuksia hunajapannun sijainnista tietyssä verkkosegmentissä, jotta voidaan havaita verkon laillisten käyttäjien sisäiset yritykset käyttää kiellettyjä tai kiellettyjä resursseja verkkosivuston tai palvelun klooniin, joka on identtinen alkuperäinen syöttinä. Suurin ongelma tämän tyyppisessä hunajapotissa on haitallisen liikenteen salliminen laillisten väliltä.

Kehityshunajapotit:
Tämäntyyppinen hunajapotti on suunniteltu keräämään lisätietoja hakkerointitrendeistä, hyökkääjien halutuista kohteista ja hyökkäysten alkuperästä. Näitä tietoja analysoidaan myöhemmin turvallisuustoimenpiteiden toteuttamista koskevaa päätöksentekoprosessia varten.
Tämän tyyppisten hunajakastien tärkein etu on, toisin kuin tuotanto; hunajapullojen kehittäminen hunajaruukut sijaitsevat riippumattomassa verkostossa, joka on omistettu tutkimukselle; tämä haavoittuva järjestelmä on erotettu tuotantoympäristöstä, mikä estää itse hunajapullon hyökkäyksen. Sen suurin haitta on sen toteuttamiseen tarvittavien resurssien määrä.

Hyökkääjien kanssa käytetyllä vuorovaikutustasolla on kolme erilaista hunajapullien alaluokkaa tai luokitustyyppiä.

Matala vuorovaikutus Honeypots:

Honeypot jäljittelee haavoittuvaa palvelua, sovellusta tai järjestelmää. Tämä on erittäin helppo asentaa, mutta rajoitettu tietojen keräämisessä; muutamia esimerkkejä tämän tyyppisistä hunajakastikkeista ovat:

• Hunajaloukku : se on suunniteltu tarkkailemaan verkkopalveluja vastaan ​​tehtyjä hyökkäyksiä; Toisin kuin muut hunajakastot, jotka keskittyvät haittaohjelmien sieppaamiseen, tämäntyyppinen hunajapotti on suunniteltu hyödyntämään hyväksikäyttöä.
• Nephentes : jäljittelee tunnettuja haavoittuvuuksia kerätäkseen tietoja mahdollisista hyökkäyksistä; se on suunniteltu jäljittelemään haavoittuvuuksia, joita madot hyödyntävät levittäessään, ja Nephentes kaappaa koodinsa myöhempää analysointia varten.
• Hunaja C. : tunnistaa haitalliset verkkopalvelimet jäljittelemällä erilaisia ​​asiakkaita ja keräämällä palvelinvastauksia, kun ne vastaavat pyyntöihin.
• HunajaD : on demoni, joka luo virtuaalisia isäntiä verkkoon, joka voidaan määrittää suorittamaan mielivaltaisia ​​palveluja, jotka simuloivat suoritusta eri käyttöjärjestelmissä.
• Glastopf : emuloi tuhansia haavoittuvuuksia, jotka on suunniteltu keräämään hyökkäystietoja verkkosovelluksia vastaan. Se on helppo asentaa ja hakukoneet indeksoivat sen kerran; siitä tulee houkutteleva kohde hakkereille.

Keskipitkän vuorovaikutuksen hunajakastikot:

Tässä skenaariossa Honeypots ei ole suunniteltu keräämään vain tietoja; se on sovellus, joka on suunniteltu toimimaan vuorovaikutuksessa hyökkääjien kanssa ja samalla rekisteröimään tyhjentävästi vuorovaikutustapahtuma; se simuloi kohdetta, joka pystyy tarjoamaan kaikki vastaukset, joita hyökkääjä voi odottaa; jotkut tämän tyyppiset hunajapullot ovat:

• Cowrie: SSH- ja telnet -hunajapotti, joka kirjaa raa'an voiman hyökkäyksiä ja hakkereiden kuorien vuorovaikutusta. Se emuloi Unix -käyttöjärjestelmää ja toimii välityspalvelimena kirjaamaan hyökkääjän toimintaa. Tämän osion jälkeen löydät ohjeet Cowrien käyttöönotosta.
• Sticky_elephant : se on PostgreSQL -hunajapotti.
• Hornet : Parannettu versio honeypot-waspista väärennetyillä kirjautumistiedoilla, joka on suunniteltu verkkosivustoille, joilla on julkinen kirjautumissivu ylläpitäjille, kuten /wp-admin WordPress-sivustoille.

Korkean vuorovaikutuksen hunajakastikot:

Tässä skenaariossa Honeypots ei ole suunniteltu keräämään vain tietoja; se on sovellus, joka on suunniteltu toimimaan vuorovaikutuksessa hyökkääjien kanssa ja samalla rekisteröimään tyhjentävästi vuorovaikutustapahtuma; se simuloi kohdetta, joka pystyy tarjoamaan kaikki vastaukset, joita hyökkääjä voi odottaa; jotkut tämän tyyppiset hunajapullot ovat:

• Haavat : toimii HIDS-järjestelmänä (Host-based Intrusion Detection System), jonka avulla voidaan kerätä tietoja järjestelmän toiminnasta. Tämä on palvelin-asiakas-työkalu, joka pystyy käyttämään hunajakenttiä Linuxissa, Unixissa ja Windowsissa, jotka keräävät ja lähettävät kerätyt tiedot palvelimelle.
• HoneyBow : voidaan integroida alhaisen vuorovaikutuksen hunajakastikkeisiin tiedonkeruun lisäämiseksi.
• HI-HAT (High Interaction Honeypot Analysis Toolkit) : muuntaa PHP -tiedostot vuorovaikutteisiksi hunajakennoiksi, joiden tietojen seurantaan on käytettävissä verkkoliitäntä.
• Capture-HPC : samanlainen kuin HoneyC, tunnistaa haitalliset palvelimet vuorovaikutuksessa asiakkaiden kanssa käyttämällä omaa virtuaalikoneensa ja rekisteröimällä luvattomat muutokset.

Alla on käytännöllinen esimerkki keskipitkän vuorovaikutuksen hunajapotista.

Cowrien käyttöönotto SSH -hyökkäyksiä koskevien tietojen keräämiseksi:

Kuten aiemmin mainittiin, Cowrie on hunajapotti, jota käytetään tallentamaan tietoja ssh -palveluun kohdistuvista hyökkäyksistä. Cowrie simuloi haavoittuvaa ssh -palvelinta, jonka avulla kaikki hyökkääjät voivat käyttää väärennettyä päätelaitetta, simuloimalla onnistunutta hyökkäystä samalla, kun tallennetaan hyökkääjän toimintaa.

Jotta Cowrie simuloi väärennettyä haavoittuvaa palvelinta, meidän on määritettävä se porttiin 22. Siksi meidän on muutettava todellinen ssh -porttimme muokkaamalla tiedostoa /etc/ssh/sshd_config kuten alla.

Muokkaa riviä ja vaihda se porttiin 49152 ja 65535.

Käynnistä uudelleen ja tarkista, että palvelu toimii oikein:

Asenna kaikki tarvittavat ohjelmistot seuraaviin vaiheisiin Debian -pohjaisissa Linux -jakeluissa:

Lisää etuoikeutettu käyttäjä nimeltä cowrie suorittamalla alla oleva komento.

Debian -pohjaisissa Linux -jakeluissa asenna authbind suorittamalla seuraava komento:

Suorita alla oleva komento.

Vaihda omistajuutta suorittamalla alla oleva komento.

Muuta käyttöoikeuksia:

Kirjaudu sisään nimellä cowrie

Siirry cowrien kotihakemistoon.

Lataa cowrie -hunajapotti gitin avulla alla olevan kuvan mukaisesti.

Siirry cowrie -hakemistoon.

Luo uusi asetustiedosto oletustiedoston perusteella kopioimalla se tiedostosta /etc/cowrie.cfg.dist osoitteeseen cowrie.cfg suorittamalla alla olevan komennon cowrien hakemistossa/

Muokkaa luotua tiedostoa:

Etsi alla oleva rivi.

Muokkaa riviä ja korvaa portti 2222 22: lla alla olevan kuvan mukaisesti.

Tallenna ja sulje nano.

Luo python -ympäristö suorittamalla alla oleva komento:

Ota käyttöön virtuaalinen ympäristö.

Päivitä pip suorittamalla seuraava komento.

Asenna kaikki vaatimukset suorittamalla seuraava komento.

Suorita cowrie seuraavalla komennolla:

Tarkista hunajapotti kuuntelemalla.

Nyt kirjautumisyritykset porttiin 22 kirjataan cowrie -hakemiston tiedostoon var/log/cowrie/cowrie.log.

Kuten aiemmin mainittiin, voit luoda Honeypotin avulla väärennetyn haavoittuvan kuoren. Cowries sisältää tiedoston, jossa voit määrittää sallitut käyttäjät pääsemään kuoreen. Tämä on luettelo käyttäjänimistä ja salasanoista, joiden kautta hakkeri voi käyttää väärennettyä kuorta.

Luettelomuoto näkyy alla olevassa kuvassa:

Voit nimetä cowrien oletusluettelon uudelleen testausta varten suorittamalla alla olevan komennon cowries -hakemistosta. Käyttäjät voivat kirjautua sisään pääkäyttäjänä salasanalla juuri tai 123456 .

Pysäytä ja käynnistä Cowrie uudelleen suorittamalla alla olevat komennot:

Testaa nyt yrittää päästä ssh: n kautta käyttämällä käyttäjänimeä ja salasanaa userdb.txt lista.

Kuten näette, pääset väärennettyyn kuoreen. Ja kaikkea tämän kuoren toimintaa voidaan seurata cowrie -lokista, kuten alla on esitetty.

Kuten näette, Cowrie toteutettiin onnistuneesti. Voit oppia lisää Cowrista osoitteessa https://github.com/cowrie/ .

Johtopäätös:

Honeypots -käyttöönotto ei ole yleinen turvatoimenpide, mutta kuten huomaat, se on loistava tapa parantaa verkon suojausta. Honeypotsin käyttöönotto on tärkeä osa tiedonkeruuta, jonka tarkoituksena on parantaa turvallisuutta ja tehdä hakkereista yhteistyökumppaneita paljastamalla heidän toimintansa, tekniikkansa, tunnistetietonsa ja tavoitteensa. Se on myös valtava tapa tarjota hakkereille vääriä tietoja.

Jos olet kiinnostunut Honeypotsista, luultavasti IDS (Intrusion Detection Systems) voi olla mielenkiintoinen sinulle; LinuxHintissä meillä on pari mielenkiintoista opetusohjelmaa niistä:

• Määritä Snort IDS ja luo säännöt
• OSSEC (Intrusion Detection System) -järjestelmän käytön aloittaminen

Toivottavasti pidit tätä artikkelia Honeypots ja Honeynets hyödyllisenä. Seuraa Linux -vinkkiä saadaksesi lisää Linux -vinkkejä ja opetusohjelmia.