A biztonsági informatikai szakemberek munkájának része, hogy megismerjék a hackerek által használt támadások típusait vagy technikáit azáltal, hogy információkat gyűjtenek a későbbi elemzéshez, hogy értékeljék a támadási kísérletek jellemzőit. Néha ez az információgyűjtés csaléteken vagy csalikon keresztül történik, amelyek célja a potenciális támadók gyanús tevékenységének regisztrálása, akik anélkül cselekszenek, hogy figyelik tevékenységüket. Az informatikai biztonságban ezeket a csaléteket vagy csalikat ún Honeypots .
Mi a mézes edény és a mézháló:
NAK NEK méztartó lehet egy olyan célpontot szimuláló alkalmazás, amely valóban rögzíti a támadók tevékenységét. Több Honeypots szimulálja a több szolgáltatást, eszközt és alkalmazást Mézeshálók .
A mézes edények és a mézeshálók nem tárolnak érzékeny információkat, hanem hamis, vonzó információkat tárolnak a támadók számára, hogy felkeltsék érdeklődésüket a mézes edények iránt; Más szóval, a mézeshálók hackercsapdákról beszélnek, amelyek célja, hogy megtanulják támadási technikáikat.
A mézes edények két előnnyel járnak: először is segítenek megtanulni a támadásokat a termelőeszközünk vagy a hálózatunk megfelelő védelme érdekében. Másodszor, azáltal, hogy a biztonsági réseket szimuláló mézes edényeket a termelési eszközök vagy hálózatok mellett tartjuk, elkerüljük a hackerek figyelmét a biztonságos eszközökről. Vonzóbbnak találják a mézes edényeket, amelyek biztonsági lyukakat szimulálnak, amelyeket kihasználhatnak.
Honeypot típusok:
Gyártási mézes edények:
Az ilyen típusú mézes edényt egy termelési hálózatba telepítik, hogy információkat gyűjtsenek az infrastruktúrán belüli rendszerek támadására használt technikákról. Ez a fajta mézes edény sokféle lehetőséget kínál, a mézes edény egy adott hálózati szegmensen belüli elhelyezkedésétől kezdve, hogy észlelje a jogos jogosult felhasználók belső kísérleteit a nem engedélyezett vagy tiltott erőforrások elérésére, egy webhely vagy szolgáltatás klónjához hasonlóan eredeti csaliként. Az ilyen típusú mézes edény legnagyobb problémája a rosszindulatú forgalom megengedése a jogosok között.
Fejlesztési mézes edények:
Az ilyen típusú mézes edényt arra tervezték, hogy több információt gyűjtsön a hackelés trendjeiről, a támadók kívánt célpontjairól és a támadások eredetéről. Ezeket az információkat később elemzik a biztonsági intézkedések végrehajtásával kapcsolatos döntéshozatali folyamathoz.
Az ilyen típusú mézes edények fő előnye a termeléssel ellentétben; mézes edények fejlesztése A mézes edények egy független kutatási hálózaton belül találhatók; ez a sérülékeny rendszer el van választva a termelési környezettől, megakadályozva a mézesláda támadását. Fő hátránya a megvalósításhoz szükséges erőforrások száma.
A támadókkal való interakciós szint alapján három különböző mézes edény alkategória vagy osztályozási típus van.
Alacsony kölcsönhatású mézes edények:
A Honeypot egy sebezhető szolgáltatást, alkalmazást vagy rendszert emulál. Ezt nagyon könnyű beállítani, de korlátozott az információgyűjtés során; néhány példa az ilyen típusú mézes edényekre:
- Mézes csapda : a hálózati szolgáltatások elleni támadások megfigyelésére készült; ellentétben más mézes edényekkel, amelyek a rosszindulatú programok elfogására összpontosítanak, ez a fajta mézes edény a támadások rögzítésére szolgál.
- Nephentes : az ismert sebezhetőségeket utánozza, hogy információkat gyűjtsön a lehetséges támadásokról; úgy tervezték, hogy a férgek sebezhetőségét emulálja a szaporításhoz, majd Nephentes rögzíti a kódjukat a későbbi elemzéshez.
- HoneyC : azonosítja a rosszindulatú webszervereket a hálózaton belül azáltal, hogy különböző ügyfeleket emulál, és szerver válaszokat gyűjt, amikor válaszol a kérésekre.
- DrágámD : egy démon, amely virtuális gazdagépeket hoz létre a hálózaton belül, és konfigurálható tetszőleges szolgáltatások futtatására, amelyek szimulálják a végrehajtást különböző operációs rendszerekben.
- Glastopf : több ezer sebezhetőséget emulál, amelyek célja a webes alkalmazások elleni támadási információk gyűjtése. Könnyen beállítható, és a keresőmotorok egyszer indexelik; vonzó célponttá válik a hackerek számára.
Közepes kölcsönhatású mézes edények:
Ebben az esetben a Honeypots nem csak információgyűjtésre szolgál; ez egy olyan alkalmazás, amelynek célja, hogy kölcsönhatásba lépjen a támadókkal, miközben kimerítően regisztrálja az interakciós tevékenységet; olyan célt szimulál, amely képes minden választ megadni a támadó számára; néhány ilyen típusú edény:
- Cowrie: Egy ssh és telnet mézes edény, amely a nyers erő támadásait és a hackerek shell interakcióit rögzíti. Unix operációs rendszert emulál, és proxyként működik a támadó tevékenységének naplózására. E szakasz után utasításokat talál a Cowrie megvalósításához.
- Ragadós_elefánt : ez egy PostgreSQL mézes edény.
- Lódarázs : A honeypot-darázs továbbfejlesztett változata hamis hitelesítő adatokkal, olyan nyilvános bejelentkezési oldallal rendelkező webhelyek számára, amelyek adminisztrátorok, például a /wp-admin WordPress webhelyek számára.
Nagy interakciójú mézes edények:
Ebben az esetben a Honeypots nem csak információgyűjtésre szolgál; ez egy olyan alkalmazás, amelynek célja, hogy kölcsönhatásba lépjen a támadókkal, miközben kimerítően regisztrálja az interakciós tevékenységet; olyan célt szimulál, amely képes minden választ megadni a támadó számára; néhány ilyen típusú edény:
- Sebek : HIDS-ként (Host-based Intrusion Detection System) működik, lehetővé téve a rendszer tevékenységére vonatkozó információk rögzítését. Ez egy szerver-kliens eszköz, amely mézes edények telepítésére képes Linuxon, Unixon és Windowson, amelyek rögzítik és elküldik az összegyűjtött információkat a szervernek.
- HoneyBow : integrálható alacsony interakciójú mézes edényekkel az információgyűjtés növelése érdekében.
- HI-HAT (High Interaction Honeypot Analysis Toolkit) : a PHP fájlokat nagy interakciójú mézes edényekké alakítja az információk figyelésére szolgáló webes felület segítségével.
- Capture-HPC : a HoneyC -hez hasonlóan azonosítja a rosszindulatú szervereket azáltal, hogy dedikált virtuális gép segítségével lép kapcsolatba az ügyfelekkel, és regisztrálja a jogosulatlan módosításokat.
Az alábbiakban egy közepes interakciójú mézes edény gyakorlati példát talál.
A Cowrie telepítése az SSH támadások adatainak gyűjtésére:
Mint korábban említettük, a Cowrie egy mézes edény, amelyet az ssh szolgáltatást célzó támadásokkal kapcsolatos információk rögzítésére használnak. A Cowrie egy sebezhető ssh szervert szimulál, amely lehetővé teszi, hogy minden támadó hozzáférjen egy hamis terminálhoz, és szimulálja a sikeres támadást, miközben rögzíti a támadó tevékenységét.
Ahhoz, hogy Cowrie hamis, sérülékeny kiszolgálót szimuláljon, hozzá kell rendelnünk a 22 -es porthoz. Így meg kell változtatnunk a valódi ssh -portunkat a fájl szerkesztésével /etc/ssh/sshd_config ahogy az alább látható.
sudo nano /stb./ssh/sshd_configSzerkessze a sort, és módosítsa a 49152 és 65535 közötti portra.
Kikötő22
Indítsa újra és ellenőrizze, hogy a szolgáltatás megfelelően működik -e:
sudosystemctl újraindításasshsudosystemctl állapotssh
Telepítse az összes szükséges szoftvert a következő lépésekhez Debian alapú Linux disztribúciókon:
sudotalálótelepítés -éspython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindmegy
Az alábbi parancs futtatásával adhat hozzá egy kiváltságos felhasználót, cowrow -t.
sudofelhasználó hozzáadása-letiltott jelszóporceláncsiga
Debian alapú Linux disztribúciók esetén telepítse az authbind parancsot a következő parancs futtatásával:
sudotalálótelepítésauthbindFuttassa az alábbi parancsot.
sudo érintés /stb./authbind/byport/22Az alábbi parancs futtatásával módosíthatja a tulajdonjogot.
sudo dudáláscowrie: cowrie/stb./authbind/byport/22Engedélyek módosítása:
sudo chmod 770 /stb./authbind/byport/22
Bejelentkezés mint porceláncsiga
sudo annakporceláncsigaLépjen be a cowrie otthoni könyvtárába.
CD~Töltse le a cowrie honeypot -ot a git használatával az alábbiak szerint.
git klónhttps://github.com/micheloosterhof/porceláncsigaLépjen a cowrie könyvtárba.
CDporceláncsiga/
Hozzon létre egy új konfigurációs fájlt az alapértelmezett fájl alapján, másolja ki a fájlból /etc/cowrie.cfg.dist - cowrie.cfg az alábbi parancs futtatásával a cowrie könyvtárában/
cpstb./cowrie.cfg.dist stb/cowrie.cfg
A létrehozott fájl szerkesztése:
nanostb./cowrie.cfgKeresse meg az alábbi sort.
listen_endpoints = tcp:2222:felület= 0,0,0,0Szerkessze a sort, cserélje le a 2222 -es portot 22 -re az alábbiak szerint.
listen_endpoints = tcp:22:felület= 0,0,0,0
Mentse és lépjen ki a nano -ból.
Futtassa az alábbi parancsot egy python környezet létrehozásához:
virtualenv cowrie-env
Virtuális környezet engedélyezése.
forráscowrie-env/am/aktiválja
Frissítse a pip parancsot a következő parancs futtatásával.
csipogtelepítés -frissítéscsipog
Telepítse az összes követelményt a következő parancs futtatásával.
csipogtelepítés -felsőfokúkövetelmények.txt
Futtassa a cowrie -t a következő paranccsal:
am/cowrie kezdés
Futással ellenőrizze, hogy a mézes edény hallgat -e.
netstat -így
Most a 22 -es portra történő bejelentkezési kísérletek naplózásra kerülnek a cowrie könyvtárában található var/log/cowrie/cowrie.log fájlban.
Mint korábban említettük, a Honeypot segítségével hamis, sebezhető héjat hozhat létre. A Cowries tartalmaz egy fájlt, amelyben meghatározhatja, hogy a felhasználók hozzáférhetnek -e a héjhoz. Ez a felhasználónevek és jelszavak listája, amelyeken keresztül a hacker hozzáférhet a hamis héjhoz.
A lista formátuma az alábbi képen látható:
A cowrie alapértelmezett listáját tesztelés céljából átnevezheti az alábbi parancs futtatásával a cowries könyvtárból. Ezzel a felhasználók root felhasználóként jelentkezhetnek be jelszóval gyökér vagy 123456 .
mvstb./userdb.example stb/userdb.txt
Állítsa le és indítsa újra a Cowrie -t az alábbi parancsok futtatásával:
am/cowrie stopam/cowrie kezdés
Most próbálja meg elérni az ssh -n keresztül a userdb.txt lista.
Amint látja, hamis héjhoz fér hozzá. És minden, ebben a héjban végzett tevékenység nyomon követhető a cowrie -naplóból, amint az alább látható.
Amint láthatja, a Cowrie -t sikeresen végrehajtották. Bővebben a Cowrie -ról itt olvashat https://github.com/cowrie/ .
Következtetés:
A mézes edények megvalósítása nem egy gyakori biztonsági intézkedés, de mint látható, ez nagyszerű módja a hálózati biztonság megerősítésének. A Honeypots megvalósítása fontos része az adatgyűjtésnek, amelynek célja a biztonság javítása, a hackerek együttműködővé alakítása azáltal, hogy felfedi tevékenységüket, technikáikat, hitelesítő adataikat és céljaikat. Ez egy félelmetes módja annak is, hogy hackerek hamis információkat nyújtsanak a hackereknek.
Ha érdekli a Honeypots, valószínűleg az IDS (Intrusion Detection Systems) lehet érdekes az Ön számára; a LinuxHint -en van néhány érdekes oktatóanyagunk róluk:
- Konfigurálja a Snort IDS -t és hozzon létre szabályokat
- Első lépések az OSSEC (behatolásérzékelő rendszer) használatával
Remélem, hasznosnak találta ezt a Honeypots és Honeynets témájú cikket. Kövesse a Linux tippet, ha további Linux tippeket és oktatóanyagokat szeretne kapni.