Honeypotid ja Honeynets

Osa turva-IT-spetsialistide tööst on õppida tundma rünnakutüüpe või häkkerite kasutatavaid tehnikaid, kogudes ka teavet hilisemaks analüüsiks, et hinnata rünnakukatsete omadusi. Mõnikord toimub see teabe kogumine söödana või peibutusmasinatega, mis on mõeldud potentsiaalsete ründajate kahtlase tegevuse registreerimiseks, kes tegutsevad nende tegevusest teadmata. IT-turvalisuses nimetatakse neid sööta või peibutusmasinaid Honeypotideks.

Meepott võib olla sihtmärki jäljendav rakendus, mis on tegelikult ründajate tegevuse salvestaja. Mitmed seotud teenuseid, seadmeid ja rakendusi simuleerivad kärgpallid on nimeks Honeynets.

Honeypotid ja Honeynetid ei salvesta tundlikku teavet, vaid hoiavad ründajatele võltsitavat teavet, et tekitada neis huvi Honeypotide, Honeynetsi vastu ehk teisisõnu räägime häkkerilõksudest, mis on mõeldud nende rünnakutehnika õppimiseks.

Honeypotid teatavad meile kahte tüüpi eelistest: kõigepealt aitavad need meil õppida rünnakuid, et hiljem oma tootmisseadet või võrku korralikult turvata. Teiseks, hoides haavatavusi simuleerivaid kärjeid tootmisseadmete või võrgu kõrval, hoiame häkkerite tähelepanu turvatud seadmetest eemal, kuna neile tundub atraktiivsem kärgpott, mis simuleerib turvaauke, mida nad saavad kasutada.

Honeypotid on erinevat tüüpi:

Tootmispotid:

Seda tüüpi kärgpallid on installitud tootmisvõrku, et koguda teavet infrastruktuuris olevate süsteemide ründamiseks kasutatavate tehnikate kohta.  Seda tüüpi kärgstruktuurid pakuvad paljusid erinevaid võimalusi, alates kärjepaiga asukohast konkreetses võrgusegmendis, et tuvastada seaduslike võrgu kasutajate sisemisi katseid juurdepääsuks lubamatu või keelatud ressurssidele veebisaidi või teenuse kloonile, mis on identne originaal söödana. Seda tüüpi kärgede suurim probleem on pahatahtliku liikluse lubamine legitiimse vahel.

Arengupotid:

Seda tüüpi kärgpottide eesmärk on koguda võimalikult palju teavet häkkimistrendide, ründajate soovitud sihtmärkide ja rünnakute päritolu kohta. Seda teavet analüüsitakse hiljem turvameetmete rakendamise otsustusprotsessi jaoks.

Seda tüüpi meepottide peamine eelis on see, et vastupidiselt tootmise kärgede arendamisele asuvad meepotid teadusuuringutele pühendatud sõltumatu võrgu sees, see haavatav süsteem on eraldatud tootmiskeskkonnast, mis takistab meepoti enda rünnakut. Selle peamine puudus on selle rakendamiseks vajalike ressursside hulk.

Mesipottidel on 3 alamkategooriat või erinev klassifikatsioon vastavalt ründajatega toimuvale suhtlusele.

Madala interaktsiooniga kärgpallid:

Honeypot jäljendab haavatavat teenust, rakendust või süsteemi.  Seda on väga lihtne seadistada, kuid teabe kogumisel on see piiratud. Mõned näited seda tüüpi kärgpottidest on:

Mesipüüdja: see on mõeldud võrguteenuste vastu suunatud rünnakute vaatlemiseks, vastupidiselt teistele kärbestele, mis keskenduvad pahavarade püüdmisele, seda tüüpi kärjed on mõeldud ekspluateerimiste püüdmiseks.

Nephentes: jäljendab teadaolevaid haavatavusi, et võimalike rünnakute kohta teavet koguda, see on loodud selleks, et jäljendada usside levitamiseks kasutatavaid haavatavusi, seejärel Nephentes hõivab nende koodi hilisemaks analüüsiks.

HoneyC: tuvastab võrgusisesed pahatahtlikud veebiserverid, emuleerides erinevaid kliente ja kogudes päringutele vastamisel serveri vastuseid.

HoneyD: on deemon, mis loob võrgus virtuaalsed hostid, mida saab konfigureerida käitama suvalisi teenuseid, mis simuleerivad käivitamist erinevates operatsioonisüsteemides.

Glastopf: jäljendab tuhandeid haavatavusi, mis on mõeldud veebirakenduste vastu suunatud rünnakuteabe kogumiseks. Seda on lihtne seadistada ja kui otsingumootorid on selle indekseerinud, muutub see häkkerite jaoks atraktiivseks sihtmärgiks.

Keskmise interaktsiooni kärjed:

Seda tüüpi kärgpallid on vähem interaktiivsed kui eelmised, lubamata kõrgetel kärgedel lubatud koostoimet. Mõned seda tüüpi kärged on:

Kippo: see on ssh kärgpott, mida kasutatakse toorjõudude rünnakute registreerimiseks unix-süsteemide vastu ja häkkerite tegevuse registreerimiseks, kui juurdepääs on saavutatud. See katkestati ja asendati Cowrie'ga.

Cowrie: teine ​​ssh ja telneti kärg, mis registreerib toore jõu rünnakuid ja häkkerid kestavad vastastikku. See jäljendab Unixi operatsioonisüsteemi ja töötab puhverserverina ründaja tegevuse logimisel.

Sticky_elephant: see on PostgreSQL meepott.

Vapsik: Võltsmandaatidega viinamarjakasvaja täiustatud versioon, mis on loodud veebisaitidele, millel on avalik juurdepääs sisselogimislehele administraatoritele, näiteks WordPress-saitide / wp-admin.

Suure interaktsiooniga kärgpallid:

Selle stsenaariumi korral ei ole Honeypots mõeldud ainult teabe kogumiseks, see on rakendus, mis on mõeldud ründajatega suhtlemiseks, registreerides samas interaktsioonitegevuse ammendavalt. See simuleerib sihtmärki, mis suudab pakkuda kõiki vastuseid, mida ründaja võib eeldada. Mõned seda tüüpi kärged on:

Sebek: töötab HIDS-is (Host-based Intrusion Detection System), mis võimaldab hõivata teavet süsteemi tegevuse kohta. See on server-klient tööriist, mis on võimeline juurutama Linuxi, Unixi ja Windowsiga kärpiseid, mis hõivavad ja saadavad kogutud teabe serverisse.

MesiVibu: teabe kogumise suurendamiseks saab integreerida vähese interaktsiooniga kärgedega.

HI-HAT (kõrge interaktsiooniga meepoti analüüsi tööriistakomplekt): teisendab php-failid suure interaktsiooniga kärgedeks, kus teabe jälgimiseks on saadaval veebiliides.

Capture-HPC: sarnaneb HoneyC-ga, tuvastab pahatahtlikud serverid, suheldes nendega spetsiaalse virtuaalmasina abil klientidena ja registreerides volitamata muudatused.

Kui olete huvitatud Honeypotidest, võib IDS (sissetungimise tuvastamise süsteem) teile tõenäoliselt huvitav olla, LinuxHintis on nende kohta paar huvitavat õpetust:

• Konfigureerige Snort IDS ja looge reeglid
• OSSECiga (sissetungimise tuvastamise süsteem) alustamine

Loodan, et leidsite selle artikli Honeypots ja Honeynets kohta kasulikuks. Järgige LinuxHinti, et saada rohkem näpunäiteid ja värskendusi Linuxi ja turvalisuse kohta.