Součástí práce IT specialistů v oblasti zabezpečení je seznámit se s typy útoků nebo technikami používanými hackery shromažďováním informací pro pozdější analýzu k vyhodnocení charakteristik pokusů o útok. Někdy se tento sběr informací provádí pomocí návnady nebo návnad, jejichž cílem je zaregistrovat podezřelou aktivitu potenciálních útočníků, kteří jednají, aniž by věděli, že jejich aktivita je monitorována. V IT bezpečnosti se těmto návnadám nebo návnadám říká Honeypots .
Co jsou honeypots a honeynets:
NA hrnec medu může to být aplikace simulující cíl, která skutečně zaznamenává aktivitu útočníků. Je označeno více Honeypotů simulujících více služeb, zařízení a aplikací Honeynets .
Honeypots a Honeynets neukládají citlivé informace, ale ukládají falešné atraktivní informace útočníkům, aby je zaujaly Honeypoty; Honeynets, jinými slovy, mluví o hackerských pastích, jejichž cílem je naučit se jejich útočné techniky.
Honeypots nám přináší dvě výhody: za prvé nám pomáhají naučit se útoky, abychom správně zajistili naše produkční zařízení nebo síť. Za druhé, udržováním honeypotů simulujících zranitelnosti vedle produkčních zařízení nebo sítí držíme pozornost hackerů mimo zabezpečená zařízení. Zdají se jim atraktivnější honeypoty simulující bezpečnostní díry, které mohou využít.
Druhy Honeypot:
Produkční medovníky:
Tento typ Honeypot je nainstalován v produkční síti ke shromažďování informací o technikách používaných k útokům na systémy v infrastruktuře. Tento typ Honeypot nabízí širokou škálu možností, od umístění Honeypot v rámci konkrétního síťového segmentu za účelem detekce interních pokusů legitimních uživatelů o přístup k nepovoleným nebo zakázaným zdrojům ke klonu webové stránky nebo služby, identického s originál jako návnada. Největší problém tohoto druhu honeypotu je umožnění škodlivého provozu mezi legitimními.
Medovníky pro vývoj:
Tento typ Honeypot je navržen tak, aby shromažďoval více informací o trendech hackování, požadovaných cílech útočníků a původu útoku. Tyto informace jsou později analyzovány pro rozhodovací proces implementace bezpečnostních opatření.
Hlavní výhodou tohoto druhu včel je, na rozdíl od výroby; honeypots development honeypots jsou umístěny v nezávislé síti věnované výzkumu; tento zranitelný systém je oddělen od produkčního prostředí, což brání útoku ze samotného honeypotu. Jeho hlavní nevýhodou je množství zdrojů nezbytných k jeho implementaci.
Podle úrovně interakce, kterou má s útočníky, existují 3 různé podkategorie nebo typy klasifikace honeypotů.
Honeypoty s nízkou interakcí:
Honeypot emuluje zranitelnou službu, aplikaci nebo systém. Nastavení je velmi snadné, ale při shromažďování informací je omezené; několik příkladů tohoto druhu honeypots jsou:
- Honeytrap : je určen k pozorování útoků proti síťovým službám; na rozdíl od jiných Honeypotů, které se zaměřují na zachycování malwaru, je tento typ Honeypot určen k zachycení exploitů.
- Nephentes : emuluje známé zranitelnosti za účelem shromažďování informací o možných útocích; je navržen tak, aby napodoboval zranitelnosti, které červy zneužívají k šíření, pak Nephentes zachytí jejich kód pro pozdější analýzu.
- HoneyC : identifikuje škodlivé webové servery v rámci sítě emulací různých klientů a shromažďováním odpovědí serverů při odpovídání na požadavky.
- Zlato : je démon, který vytváří virtuální hostitele v síti, které lze nakonfigurovat pro spouštění libovolných služeb simulujících provádění v různých operačních systémech.
- Glastopf : emuluje tisíce zranitelností určených ke shromažďování informací o útoku proti webovým aplikacím. Je snadné jej nastavit a jednou indexovat vyhledávači; stává se atraktivním cílem hackerů.
Medové interakce Honeypots:
V tomto scénáři nejsou Honeypots určeny pouze ke shromažďování informací; je to aplikace navržená pro interakci s útočníky a vyčerpávající registraci interakční aktivity; simuluje cíl schopný nabídnout všechny odpovědi, které může útočník očekávat; některé honeypots tohoto typu jsou:
- Cowrie: Honeypot ssh a telnet, který zaznamenává útoky hrubou silou a interakci hackerů. Emuluje operační systém Unix a funguje jako proxy pro zaznamenávání aktivity útočníka. Po této části najdete pokyny pro implementaci Cowrie.
- Lepkavý slon : je to honeypot PostgreSQL.
- Sršeň : Vylepšená verze výzvy honeypot-wasp s falešnými pověřeními navržená pro webové stránky s přihlašovací stránkou pro veřejný přístup pro správce, jako je /wp-admin pro weby WordPress.
Honeypoty s vysokou interakcí:
V tomto scénáři nejsou Honeypots určeny pouze ke shromažďování informací; je to aplikace navržená pro interakci s útočníky a vyčerpávající registraci interakční aktivity; simuluje cíl schopný nabídnout všechny odpovědi, které může útočník očekávat; některé honeypots tohoto typu jsou:
- Rány : funguje jako HIDS (Host-based Intrusion Detection System), který umožňuje zachytit informace o činnosti systému. Jedná se o nástroj server-klient schopný nasadit honeypoty na Linux, Unix a Windows, které zachycují a odesílají shromážděné informace na server.
- HoneyBow : lze integrovat s nízkými interakcemi honeypots pro zvýšení shromažďování informací.
- HI-HAT (High Interaction Honeypot Analysis Toolkit) : převádí soubory PHP na vysoce interakční honeypoty s webovým rozhraním dostupným pro sledování informací.
- Capture-HPC : podobně jako HoneyC, identifikuje škodlivé servery interakcí s klienty pomocí vyhrazeného virtuálního počítače a registrací neoprávněných změn.
Níže najdete příklad praktické interakce honeypotu se střední interakcí.
Nasazení Cowrie ke shromažďování údajů o útocích SSH:
Jak již bylo řečeno, Cowrie je honeypot, který slouží k zaznamenávání informací o útocích zaměřených na službu ssh. Cowrie simuluje zranitelný server ssh, který umožňuje každému útočníkovi přístup k falešnému terminálu, simuluje úspěšný útok a zaznamenává aktivitu útočníka.
Aby Cowrie simulovala falešný zranitelný server, musíme jej přiřadit k portu 22. Proto musíme změnit náš skutečný port ssh úpravou souboru /etc/ssh/sshd_config Jak je ukázáno níže.
sudo nano /atd/ssh/sshd_configUpravte řádek a změňte jej na port mezi 49152 a 65535.
Přístav22 
Restartujte a zkontrolujte, zda služba funguje správně:
sudorestart systémusshsudosystémový stavssh
Nainstalujte veškerý potřebný software pro další kroky na spuštěných distribucích Linuxu založených na Debianu:
sudovýstižnýNainstalujte -apython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindjít 
Přidejte neprivilegovaného uživatele s názvem cowrie spuštěním níže uvedeného příkazu.
sudopřidat uživatele--disabled-heslocowrie 
Na distribucích Linuxu založených na Debianu nainstalujte authbind spuštěním následujícího příkazu:
sudovýstižnýNainstalujteautorizovatSpusťte níže uvedený příkaz.
sudo dotek /atd/autorizovat/byport/22Změňte vlastnictví spuštěním níže uvedeného příkazu.
sudo žrádlocowrie: cowrie/atd/autorizovat/byport/22Změnit oprávnění:
sudo chmod 770 /atd/autorizovat/byport/22 
Přihlaste se jako cowrie
sudo svécowriePřejděte do domovského adresáře cowrie.
CD~Stáhněte si cowrie honeypot pomocí gitu, jak je uvedeno níže.
git klonhttps://github.com/micheloosterhof/cowriePřesunout se do adresáře cowrie.
CDcowrie/ 
Vytvořte nový konfigurační soubor na základě výchozího zkopírováním ze souboru /etc/cowrie.cfg.dist na cowrie.cfg spuštěním níže uvedeného příkazu v adresáři cowrie/
cpatd/cowrie.cfg.dist atd/cowrie.cfg 
Upravte vytvořený soubor:
nanoatd/cowrie.cfgNajděte řádek níže.
listen_endpoints = tcp:2222:rozhraní= 0,0,0,0Upravte řádek a vyměňte port 2222 za 22, jak je znázorněno níže.
listen_endpoints = tcp:22:rozhraní= 0,0,0,0 
Uložte a ukončete nano.
Spuštěním níže uvedeného příkazu vytvoříte prostředí pythonu:
virtualenv cowrie-env 
Povolte virtuální prostředí.
zdrojcowrie-env/dopoledne/aktivovat 
Aktualizujte pip spuštěním následujícího příkazu.
pipNainstalujte --vylepšitpip 
Nainstalujte všechny požadavky spuštěním následujícího příkazu.
pipNainstalujte -upgraderrequirements.txt 
Spusťte cowrie následujícím příkazem:
dopoledne/začátek cowrie 
Běháním zkontrolujte, zda honeypot poslouchá.
netstat -tak 
Nyní budou pokusy o přihlášení na port 22 zaznamenány do souboru var/log/cowrie/cowrie.log v adresáři cowrie.
Jak již bylo řečeno, můžete použít Honeypot k vytvoření falešného zranitelného shellu. Cowries obsahují soubor, ve kterém můžete definovat povolený přístup uživatelů k shellu. Toto je seznam uživatelských jmen a hesel, přes která má hacker přístup k falešnému shellu.
Formát seznamu je uveden na následujícím obrázku:
Výchozí seznam cowrie můžete pro účely testování přejmenovat spuštěním níže uvedeného příkazu z adresáře cowries. Díky tomu se uživatelé budou moci přihlásit jako root pomocí hesla vykořenit nebo 123456 .
mvatd/userdb.example atd/userdb.txt 
Zastavte a restartujte Cowrie spuštěním níže uvedených příkazů:
dopoledne/cowrie stopdopoledne/začátek cowrie
Nyní vyzkoušejte pokus o přístup pomocí ssh pomocí uživatelského jména a hesla obsaženého v souboru userdb.txt seznam.
Jak vidíte, dostanete se k falešnému shellu. A veškerou aktivitu prováděnou v této skořápce lze sledovat z protokolu cowrie, jak je uvedeno níže.
Jak vidíte, Cowrie byla úspěšně implementována. Více o Cowrie se můžete dozvědět na https://github.com/cowrie/ .
Závěr:
Implementace Honeypots není běžné bezpečnostní opatření, ale jak vidíte, je to skvělý způsob, jak posílit zabezpečení sítě. Implementace Honeypots je důležitou součástí sběru dat, jehož cílem je zlepšit zabezpečení, proměnit hackery ve spolupracovníky odhalením jejich činnosti, technik, přihlašovacích údajů a cílů. Je to také impozantní způsob, jak hackerům poskytovat falešné informace.
Pokud vás zajímají Honeypoty, pravděpodobně pro vás může být zajímavé IDS (Intrusion Detection Systems); v LinuxHint o nich máme pár zajímavých návodů:
- Nakonfigurujte Snort IDS a vytvořte pravidla
- Začínáme s OSSEC (Intrusion Detection System)
Doufám, že jste našli tento článek o Honeypots a Honeynets užitečný. Sledujte i nadále Linux Hint a získejte další tipy a návody pro Linux.