Turva -IT -spetsialistide töö osaks on õppida tundma häkkerite rünnakutüüpe või -võtteid, kogudes teavet hilisemaks analüüsiks, et hinnata ründekatsete omadusi. Mõnikord toimub selle teabe kogumine sööda või peibutiste abil, mille eesmärk on registreerida potentsiaalsete ründajate kahtlast tegevust, kes tegutsevad teadmata, et nende tegevust jälgitakse. IT -turvalisuses nimetatakse neid sööta või peibutisi Meepotid .
Mis on meepotid ja meevõrgud:
TO meepott võib olla sihtmärki simuleeriv rakendus, mis on ründajate tegevuse salvestaja. Nimetatud on mitu meepotti, mis simuleerivad mitut teenust, seadet ja rakendust Mesilased .
Meepotid ja kärgvõrgud ei salvesta tundlikku teavet, vaid salvestavad ründajatele võltsitud atraktiivset teavet, et neid meepottide vastu huvi tunda; Teisisõnu, mesivõrgud räägivad häkkerilõksudest, mille eesmärk on õppida nende rünnakutehnikat.
Honeypots annab meile kaks eelist: esiteks aitavad nad meil õppida rünnakuid, et oma tootmisseadet või võrku korralikult kaitsta. Teiseks, hoides haavatavusi simuleerivaid meepotte tootmisseadmete või võrkude kõrval, hoiame häkkerite tähelepanu turvatud seadmete eest eemal. Nad leiavad atraktiivsemaks meepotid, mis simuleerivad turvaauke, mida nad saavad ära kasutada.
Honeypoti tüübid:
Tootmismeed:
Seda tüüpi meepott on paigaldatud tootmisvõrku, et koguda teavet infrastruktuuri süsteemide ründamiseks kasutatud tehnikate kohta. Seda tüüpi meepott pakub laias valikus võimalusi, alates meepoti asukohast konkreetses võrgusegmendis, et tuvastada võrgu õigustatud kasutajate sisemised katsed juurdepääsuks lubamatutele või keelatud ressurssidele veebisaidi või teenuse klooniga, mis on identne originaal söödaks. Seda tüüpi meepoti suurim probleem on pahatahtliku liikluse lubamine seaduslike vahel.
Arengu meepotid:
Seda tüüpi meepott on loodud selleks, et koguda rohkem teavet häkkimistrendide, ründajate soovitud sihtmärkide ja rünnaku päritolu kohta. Seda teavet analüüsitakse hiljem turvameetmete rakendamise otsustamiseks.
Seda tüüpi meepottide peamine eelis on vastupidiselt tootmisele; meepottide arendamise meepotid asuvad sõltumatus võrgustikus, mis on pühendatud uurimistööle; see haavatav süsteem on tootmiskeskkonnast eraldatud, hoides ära meepoti enda rünnaku. Selle peamine puudus on selle rakendamiseks vajalike ressursside arv.
On kolm erinevat meepoti alamkategooriat või klassifikatsioonitüüpi, mis on määratletud ründajatega suhtlemise taseme järgi.
Madala interaktsiooniga meepotid:
Honeypot jäljendab haavatavat teenust, rakendust või süsteemi. Seda on väga lihtne seadistada, kuid teabe kogumisel piiratud; mõned näited seda tüüpi meepottidest on järgmised:
- Meepüünis : selle eesmärk on jälgida võrguteenuste vastu suunatud rünnakuid; vastupidiselt teistele meepottidele, mis keskenduvad pahavara hõivamisele, on seda tüüpi meepott loodud ärakasutamiseks.
- Nephentes : jäljendab teadaolevaid haavatavusi, et koguda teavet võimalike rünnakute kohta; see on loodud imiteerima haavatavusi, mida ussid kasutavad paljundamiseks, seejärel hõivab Nephentes nende koodi hilisemaks analüüsiks.
- MesiC : tuvastab võrgus olevad pahatahtlikud veebiserverid, jäljendades erinevaid kliente ja kogudes päringutele vastates serverite vastuseid.
- KallisD : on deemon, mis loob võrku virtuaalseid hoste, mida saab konfigureerida suvaliste teenuste käitamiseks, simuleerides täitmist erinevates operatsioonisüsteemides.
- Glastopf : jäljendab tuhandeid haavatavusi, mille eesmärk on koguda ründeteavet veebirakenduste vastu. Seda on lihtne seadistada ja otsingumootorid on selle indekseerinud; sellest saab häkkerite jaoks atraktiivne sihtmärk.
Keskmise koostoimega meepotid:
Selle stsenaariumi korral ei ole Honeypots mõeldud ainult teabe kogumiseks; see on rakendus, mis on loodud ründajatega suhtlemiseks, registreerides interaktsioonitegevuse ammendavalt; see simuleerib sihtmärki, mis suudab pakkuda kõiki vastuseid, mida ründaja võib oodata; mõned seda tüüpi meepotid on:
- Cowrie: SSH ja telneti meepott, mis logib toore jõu rünnakuid ja häkkerite kestaga suhtlemist. See jäljendab Unixi operatsioonisüsteemi ja töötab puhverserverina ründaja tegevuse logimiseks. Pärast seda jaotist leiate juhised Cowrie rakendamiseks.
- Kleepuv_elefant : see on PostgreSQL meepott.
- Vapsik : Honeypot-herilase täiustatud versioon võltsitud mandaatviibaga, mis on mõeldud veebisaitidele, millel on avalikult juurdepääsetav sisselogimisleht administraatoritele, näiteks /wp-admin WordPressi saitidele.
Suure interaktsiooniga meepotid:
Selle stsenaariumi korral ei ole Honeypots mõeldud ainult teabe kogumiseks; see on rakendus, mis on loodud ründajatega suhtlemiseks, registreerides interaktsioonitegevuse ammendavalt; see simuleerib sihtmärki, mis suudab pakkuda kõiki vastuseid, mida ründaja võib oodata; mõned seda tüüpi meepotid on:
- Haavad : töötab HIDS-ina (host-based Intrusion Detection System), mis võimaldab jäädvustada teavet süsteemi tegevuse kohta. See on server-kliendi tööriist, mis on võimeline Linuxis, Unixis ja Windowsis juurutama meepotte, mis koguvad ja saadavad kogutud teabe serverisse.
- HoneyBow : saab integreerida madala interaktsiooniga meepottidega, et suurendada teabe kogumist.
- HI-HAT (High Interaction Honeypot Analysis Toolkit) : teisendab PHP -failid suure interaktsiooniga meepotidesse, mille teabe jälgimiseks on saadaval veebiliides.
- Pildista-HPC : sarnane HoneyC -ga tuvastab pahatahtlikud serverid, suheldes klientidega spetsiaalse virtuaalmasina abil ja registreerides volitamata muudatused.
Allpool leiate keskmise interaktsiooniga meepoti praktilise näite.
Cowrie juurutamine SSH -rünnakute kohta andmete kogumiseks:
Nagu varem öeldud, on Cowrie meepott, mida kasutatakse ssh -teenust sihtivate rünnakute kohta teabe salvestamiseks. Cowrie simuleerib haavatavat ssh -serverit, mis võimaldab igal ründajal pääseda juurde võltsterminalile, simuleerides ründaja tegevust salvestades edukat rünnakut.
Selleks, et Cowrie saaks võltsitud haavatavat serverit simuleerida, peame selle määrama pordile 22. Seega peame faili redigeerides muutma oma tegelikku ssh -porti /etc/ssh/sshd_config nagu allpool näidatud.
sudo nano /jne/ssh/sshd_configMuutke rida ja muutke seda pordi vahel vahemikus 49152 kuni 65535.
Sadam22 
Taaskäivitage ja kontrollige, kas teenus töötab korralikult:
sudosystemctl taaskäivitaminesshsudosystemctl olekssh
Installige Debiani põhistes Linuxi distributsioonides järgmisteks sammudeks vajalik tarkvara:
sudoasjakohanepaigaldada -japython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimaalne authbindmine 
Lisage privileegita kasutaja nimega cowrie, käivitades alloleva käsu.
sudoadduser-keelatud paroolcowrie 
Debiani põhistes Linuxi distributsioonides installige authbind, käivitades järgmise käsu:
sudoasjakohanepaigaldadaauthbindKäivitage allolev käsk.
sudo puudutada /jne/authbind/kõrvalport/22Muutke omanikku, käivitades alloleva käsu.
sudo hüüdmacowrie: cowrie/jne/authbind/kõrvalport/22Muuda õigusi:
sudo chmod 770 /jne/authbind/kõrvalport/22 
Logige sisse kui cowrie
sudo sellecowrieMinge cowrie kodukataloogi.
CD~Laadige alla cowrie honeypot git abil, nagu allpool näidatud.
git kloonhttps://github.com/micheloosterhof/cowrieLiikuge cowrie kataloogi.
CDcowrie/ 
Looge vaikeseadete põhjal uus konfiguratsioonifail, kopeerides selle failist /etc/cowrie.cfg.dist saidile cowrie.cfg käivitades allpool näidatud käsu cowrie kataloogis/
cpjne/cowrie.cfg.dist jne/cowrie.cfg 
Muutke loodud faili:
nanojne/cowrie.cfgLeidke allpool olev rida.
listen_endpoints = tcp:2222:liides= 0,0,0,0Muutke rida, asendades pordi 2222 22 -ga, nagu allpool näidatud.
listen_endpoints = tcp:22:liides= 0,0,0,0 
Salvestage ja väljuge nanost.
Pythoni keskkonna loomiseks käivitage järgmine käsk:
virtualenv cowrie-env 
Luba virtuaalne keskkond.
allikascowrie-env/olen/aktiveerida 
Värskendage pip, käivitades järgmise käsu.
pippaigaldada -uuendadapip 
Installige kõik nõuded, käivitades järgmise käsu.
pippaigaldada -kõrgharidusnõuded.txt 
Käivitage cowrie järgmise käsuga:
olen/cowrie algus 
Jooksmisega kontrollige, kas meepott kuulab.
netstat -nii 
Nüüd logitakse sisselogimiskatsed porti 22 sisse cowrie kataloogi faili var/log/cowrie/cowrie.log.
Nagu varem öeldud, saate Honeypoti abil luua võltsitud haavatava kesta. Cowries sisaldab faili, milles saate määrata kasutajatele juurdepääsu kestale. See on kasutajanimede ja paroolide loend, mille kaudu häkker pääseb võltskestale juurde.
Loendi vorming on näidatud alloleval pildil:
Saate testimise eesmärgil cowrie vaikenimekirja ümber nimetada, käivitades cowries kataloogist allpool oleva käsu. Seda tehes saavad kasutajad parooliga sisse logida rootina juur või 123456 .
mvjne/userdb.example jne/userdb.txt 
Peatage ja taaskäivitage Cowrie, käivitades järgmised käsud:
olen/cowrie peatusolen/cowrie algus
Nüüd proovige ssh kaudu juurde pääseda, kasutades kasutajanime ja parooli userdb.txt nimekirja.
Nagu näete, pääsete juurde võltsitud kestale. Ja kõiki selles kestas tehtud tegevusi saab jälgida cowrie logist, nagu allpool näidatud.
Nagu näete, rakendati Cowrie edukalt. Lisateavet Cowrie kohta leiate aadressilt https://github.com/cowrie/ .
Järeldus:
Honeypotide rakendamine ei ole tavaline turvameede, kuid nagu näete, on see suurepärane võimalus võrgu turvalisuse tugevdamiseks. Honeypotide rakendamine on oluline osa andmete kogumisest, mille eesmärk on parandada turvalisust, muutes häkkerid kaasautoriteks, paljastades nende tegevuse, tehnikad, volikirjad ja eesmärgid. See on ka hämmastav viis häkkeritele võltsitud teabe edastamiseks.
Kui olete Honeypotidest huvitatud, võib tõenäoliselt teile huvi pakkuda IDS (Intrusion Detection Systems); LinuxHintis on meil nende kohta paar huvitavat õpetust:
- Seadistage Snort IDS ja looge reeglid
- OSSEC (sissetungimise tuvastamise süsteem) kasutamise alustamine
Loodan, et leidsite selle artikli Honeypots ja Honeynets kasulikuks. Järgige Linuxi näpunäiteid, et saada rohkem Linuxi näpunäiteid ja õpetusi.