Honeypots och Honeynets

En del av säkerhets -IT -specialisternas arbete är att lära sig mer om vilka typer av attacker eller tekniker som används av hackare genom att samla in information för senare analys för att utvärdera attackförsökets egenskaper. Ibland sker denna insamling av information genom bete eller lockbete som är avsedda att registrera misstänkt aktivitet hos potentiella angripare som agerar utan att veta att deras aktivitet övervakas. Inom IT -säkerhet kallas dessa beten eller lockbete Honeypots .

Vad är honungsgrytor och honungsnät:

TILL honungskruka kan vara en applikation som simulerar ett mål som verkligen är en inspelare av angripares aktivitet. Flera Honeypots som simulerar flera tjänster, enheter och applikationer är denominerade Smekmånad .

Honeypots och Honeynets lagrar inte känslig information utan lagrar falsk attraktiv information till angripare för att få dem intresserade av Honeypots; Honeynets pratar med andra ord om hackarfällor som är utformade för att lära sig deras attacktekniker.

Honeypots ger oss två fördelar: för det första hjälper de oss att lära oss attacker för att säkra vår produktionsenhet eller nätverk korrekt. För det andra, genom att hålla honeypots simulera sårbarheter bredvid produktionsenheter eller nätverk, håller vi hackers uppmärksamhet borta från säkrade enheter. De kommer att hitta mer attraktiva honeypots simulera säkerhetshål de kan utnyttja.

Honeypot typer:

Produktion Honeypots:
Denna typ av honeypot är installerad i ett produktionsnätverk för att samla information om tekniker som används för att attackera system inom infrastrukturen. Denna typ av honeypot erbjuder en mängd olika möjligheter, från honungspottens placering inom ett specifikt nätverkssegment för att upptäcka interna försök från legitima användare av nätverk att få åtkomst till otillåtna eller förbjudna resurser till en klon av en webbplats eller tjänst, identisk med original som bete. Den största frågan om den här typen av honungsgryta är att tillåta skadlig trafik mellan legitima.

Utvecklings honungsgrytor:
Denna typ av honungsgryta är utformad för att samla in mer information om hackingstrender, önskade mål från angripare och attackens ursprung. Denna information analyseras senare för beslutsprocessen om genomförande av säkerhetsåtgärder.
Den största fördelen med denna typ av honungsgrytor är, i motsats till produktionen; utvecklingen av honungskärl honungskärlen ligger inom ett oberoende nätverk för forskning; detta sårbara system är åtskilt från produktionsmiljön och förhindrar ett angrepp från själva honungsgrytan. Dess största nackdel är antalet resurser som krävs för att genomföra den.

Det finns tre olika underkategorier eller klassificeringstyper för honungskärl som definieras av den interaktionsnivå den har med angripare.

Honeypots med låg interaktion:

En Honeypot emulerar en sårbar tjänst, app eller system. Detta är mycket enkelt att konfigurera men begränsat när information samlas in; några exempel på denna typ av honeypots är:

• Honungsfälla : den är utformad för att observera attacker mot nättjänster; i motsats till andra honeypots, som fokuserar på att fånga skadlig kod, är denna typ av honeypot utformad för att fånga bedrifter.
• Nephentes : emulerar kända sårbarheter för att samla in information om möjliga attacker; den är utformad för att efterlikna sårbarheter som maskar utnyttjar för att sprida sig, sedan fångar Nephentes deras kod för senare analys.
• HoneyC : identifierar skadliga webbservrar i nätverket genom att emulera olika klienter och samla in serversvar vid svar på förfrågningar.
• ÄlsklingD : är en demon som skapar virtuella värdar i ett nätverk som kan konfigureras för att köra godtyckliga tjänster som simulerar körning i olika operativsystem.
• Glastopf : emulerar tusentals sårbarheter som är utformade för att samla in attackinformation mot webbapplikationer. Den är enkel att installera och en gång indexerad av sökmotorer; det blir ett attraktivt mål för hackare.

Medelinteraktionshonugrytor:

I det här scenariot är Honeypots inte endast avsedda att samla in information; det är en applikation som är utformad för att interagera med angripare samtidigt som uttömmande registrera interaktionsaktiviteten; det simulerar ett mål som kan erbjuda alla svar angriparen kan förvänta sig; några honungsgrytor av denna typ är:

• Cowrie: En honungsgryta för ssh och telnet som loggar brute force -attacker och hackers skalinteraktion. Det emulerar ett Unix OS och fungerar som en proxy för att logga angriparens aktivitet. Efter det här avsnittet kan du hitta instruktioner för Cowrie -implementering.
• Sticky_elephant : det är en PostgreSQL -honungsgryta.
• Bålgeting : En förbättrad version av honeypot-wasp med falsk autentiseringsuppmaning avsedd för webbplatser med inloggningssida för allmänheten för administratörer som /wp-admin för WordPress-webbplatser.

Höga interaktionshonor:

I det här scenariot är Honeypots inte endast avsedda att samla in information; det är en applikation som är utformad för att interagera med angripare samtidigt som uttömmande registrera interaktionsaktiviteten; det simulerar ett mål som kan erbjuda alla svar angriparen kan förvänta sig; några honungsgrytor av denna typ är:

• Sår : fungerar som ett HIDS (Host-based Intrusion Detection System), som gör det möjligt att fånga information om systemaktivitet. Detta är ett server-klientverktyg som kan distribuera honeypots på Linux, Unix och Windows som fångar och skickar den insamlade informationen till servern.
• HoneyBow : kan integreras med honeypots med låg interaktion för att öka informationsinsamlingen.
• HI-HAT (hög interaktionshonypot-analysverktygssats) : konverterar PHP -filer till honeypots med hög interaktion med ett webbgränssnitt tillgängligt för att övervaka informationen.
• Capture-HPC : liknande HoneyC, identifierar skadliga servrar genom att interagera med klienter som använder en dedikerad virtuell dator och registrera obehöriga ändringar.

Nedan hittar du ett praktiskt exempel på honungspot med medium interaktion.

Distribuera Cowrie för att samla in data om SSH -attacker:

Som sagt tidigare är Cowrie en honungsgryta som används för att spela in information om attacker som riktar sig mot ssh -tjänsten. Cowrie simulerar en sårbar ssh -server som låter alla angripare komma åt en falsk terminal och simulerar en framgångsrik attack medan de spelar in angriparens aktivitet.

För att Cowrie ska kunna simulera en falsk sårbar server måste vi tilldela den till port 22. Därför måste vi ändra vår riktiga ssh -port genom att redigera filen /etc/ssh/sshd_config enligt nedanstående.

Redigera raden och ändra den för en port mellan 49152 och 65535.

Starta om och kontrollera att tjänsten fungerar som den ska:

Installera all nödvändig programvara för nästa steg, på Debian -baserade Linux -distributioner:

Lägg till en oprivilegierad användare som heter cowrie genom att köra kommandot nedan.

På Debian -baserade Linux -distributioner installerar du authbind genom att köra följande kommando:

Kör kommandot nedan.

Ändra ägare genom att köra kommandot nedan.

Ändra behörigheter:

Logga in som cowrie

Gå till cowries hemkatalog.

Ladda ner cowrie honeypot med git som visas nedan.

Flytta till cowrie -katalogen.

Skapa en ny konfigurationsfil baserad på standardfilen genom att kopiera den från filen /etc/cowrie.cfg.dist till cowrie.cfg genom att köra kommandot som visas nedan i cowries katalog/

Redigera den skapade filen:

Hitta raden nedan.

Redigera raden och ersätt port 2222 med 22 enligt nedan.

Spara och avsluta nano.

Kör kommandot nedan för att skapa en python -miljö:

Aktivera en virtuell miljö.

Uppdatera pip genom att köra följande kommando.

Installera alla krav genom att köra följande kommando.

Kör cowrie med följande kommando:

Kontrollera att honungspottan lyssnar genom att springa.

Nu loggas inloggningsförsök till port 22 i filen var/log/cowrie/cowrie.log i cowries katalog.

Som sagt tidigare kan du använda Honeypot för att skapa ett falskt sårbart skal. Cowries innehåller en fil där du kan definiera tillåtna användare att komma åt skalet. Detta är en lista med användarnamn och lösenord genom vilka en hackare kan komma åt det falska skalet.

Listformatet visas i bilden nedan:

Du kan byta namn på cowrie -standardlistan för teständamål genom att köra kommandot nedan från cowries -katalogen. Genom att göra det kommer användare att kunna logga in som root med lösenord rot eller 123456 .

Stoppa och starta om Cowrie genom att köra kommandona nedan:

Testa nu att försöka komma åt via ssh med ett användarnamn och lösenord som ingår i userdb.txt lista.

Som du kan se kommer du åt ett falskt skal. Och all aktivitet som utförs i detta skal kan övervakas från cowrie -loggen, som visas nedan.

Som du kan se genomfördes Cowrie framgångsrikt. Du kan lära dig mer om Cowrie på https://github.com/cowrie/ .

Slutsats:

Honeypots -implementering är inte en vanlig säkerhetsåtgärd, men som du kan se är det ett bra sätt att förstärka nätverkssäkerheten. Implementering av Honeypots är en viktig del av datainsamlingen som syftar till att förbättra säkerheten, göra hackare till samarbetspartners genom att avslöja deras aktivitet, tekniker, referenser och mål. Det är också ett fantastiskt sätt att tillhandahålla hackare falsk information.

Om du är intresserad av Honeypots kan förmodligen IDS (Intrusion Detection Systems) vara intressant för dig; på LinuxHint har vi ett par intressanta självstudier om dem:

• Konfigurera Snort -IDS och skapa regler
• Komma igång med OSSEC (Intrusion Detection System)

Jag hoppas att du fann den här artikeln om Honeypots and Honeynets användbar. Följ Linux Hint för fler Linux -tips och handledning.