O parte din activitatea specialiștilor IT în securitate este de a afla despre tipurile de atacuri sau tehnicile utilizate de hackeri prin colectarea de informații pentru o analiză ulterioară pentru a evalua caracteristicile încercărilor de atac. Uneori, această colectare de informații se face prin momeli sau momeli concepute pentru a înregistra activitatea suspectă a potențialilor atacatori care acționează fără să știe că activitatea lor este monitorizată. În securitatea IT, aceste momeli sau momeli sunt numite Honeypots .
Ce sunt vasele de miere și plasele de miere:
LA borcan cu miere poate fi o aplicație care simulează o țintă care este într-adevăr un înregistrator al activității atacatorilor. Sunt denumite mai multe Honeypots care simulează mai multe servicii, dispozitive și aplicații Plase de miere .
Honeypots și Honeynets nu stochează informații sensibile, ci stochează informații false atractive pentru atacatori pentru a-i interesa pe Honeypots; Honeynets, cu alte cuvinte, vorbesc despre capcane de hackeri concepute pentru a-și învăța tehnicile de atac.
Honeypots ne oferă două avantaje: în primul rând, ne ajută să învățăm atacuri pentru a ne securiza dispozitivul de producție sau rețeaua în mod corespunzător. În al doilea rând, păstrând melodiile care simulează vulnerabilitățile lângă dispozitivele de producție sau rețelele, păstrăm atenția hackerilor în afara dispozitivelor securizate. Vor găsi mai atractive vasele de miere care simulează găurile de securitate pe care le pot exploata.
Tipuri de Honeypot:
Honeypots de producție:
Acest tip de miere este instalat într-o rețea de producție pentru a colecta informații despre tehnicile utilizate pentru a ataca sistemele din cadrul infrastructurii. Acest tip de honeypot oferă o mare varietate de posibilități, de la locația honeypotului într-un anumit segment de rețea, pentru a detecta încercările interne ale utilizatorilor legitimi de rețea de a accesa resurse nepermise sau interzise la o clonă a unui site web sau serviciu, identic cu original ca momeală. Cea mai mare problemă a acestui tip de miere este de a permite traficul rău intenționat între cele legitime.
Crăciun de dezvoltare:
Acest tip de miere este conceput pentru a colecta mai multe informații despre tendințele de hacking, țintele dorite de atacatori și originile atacurilor. Aceste informații sunt analizate ulterior pentru procesul decizional privind implementarea măsurilor de securitate.
Principalul avantaj al acestui tip de vase de miere este, contrar producției; dezvoltarea bazinelor de miere sunt situate într-o rețea independentă dedicată cercetării; acest sistem vulnerabil este separat de mediul de producție, împiedicând un atac din ghiveci. Principalul său dezavantaj este numărul de resurse necesare pentru implementarea acestuia.
Există 3 subcategorii diferite sau tipuri de clasificare definite de nivelul de interacțiune cu atacatorii.
Honeypots cu interacțiune redusă:
Un Honeypot emulează un serviciu, o aplicație sau un sistem vulnerabil. Acest lucru este foarte ușor de configurat, dar este limitat la colectarea informațiilor; câteva exemple ale acestui tip de vase de miere sunt:
- Capcană cu miere : este conceput pentru a observa atacurile împotriva serviciilor de rețea; spre deosebire de alte melodii, care se concentrează pe capturarea malware-ului, acest tip de melodie este conceput pentru a captura exploatări.
- Nephentes : emulează vulnerabilități cunoscute pentru a colecta informații despre posibile atacuri; este conceput pentru a emula vulnerabilitățile exploatării viermilor pentru propagare, apoi Nephentes captează codul lor pentru o analiză ulterioară.
- HoneyC : identifică serverele web rău intenționate din rețea prin emularea diferiților clienți și colectarea răspunsurilor serverului atunci când răspunde la solicitări.
- HoneyD : este un daemon care creează gazde virtuale într-o rețea care poate fi configurat pentru a rula servicii arbitrare simulând execuția în diferite sisteme de operare.
- Glastopf : emulează mii de vulnerabilități concepute pentru a colecta informații de atac împotriva aplicațiilor web. Este ușor de configurat și odată indexat de motoarele de căutare; devine o țintă atractivă pentru hackeri.
Miere de interacțiune medie:
În acest scenariu, Honeypots nu sunt concepute pentru a colecta numai informații; este o aplicație concepută pentru a interacționa cu atacatorii în timp ce înregistrează exhaustiv activitatea de interacțiune; simulează o țintă capabilă să ofere toate răspunsurile pe care atacatorul le poate aștepta; unele ghivece de acest tip sunt:
- Cowrie: un pot de miel ssh și telnet care înregistrează atacurile cu forță brută și interacțiunea cu hackeri. Emulează un sistem de operare Unix și funcționează ca un proxy pentru a înregistra activitatea atacatorului. După această secțiune, puteți găsi instrucțiuni pentru implementarea Cowrie.
- Sticky_elephant : este un honeypot PostgreSQL.
- Viespe : O versiune îmbunătățită a honeypot-wasp cu solicitări de acreditări false concepute pentru site-urile web cu pagină de conectare cu acces public pentru administratori, cum ar fi / wp-admin pentru site-urile WordPress.
Honeypots cu interacțiune ridicată:
În acest scenariu, Honeypots nu sunt concepute pentru a colecta numai informații; este o aplicație concepută pentru a interacționa cu atacatorii în timp ce înregistrează exhaustiv activitatea de interacțiune; simulează o țintă capabilă să ofere toate răspunsurile pe care atacatorul le poate aștepta; unele ghivece de acest tip sunt:
- Rani : funcționează ca un HIDS (Host-based Intrusion Detection System), permițând capturarea informațiilor despre activitatea sistemului. Acesta este un instrument server-client capabil să implementeze melodii pe Linux, Unix și Windows care captează și trimit informațiile colectate către server.
- HoneyBow : poate fi integrat cu melodii cu interacțiune redusă pentru a crește colectarea informațiilor.
- HI-HAT (Trusă de instrumente de analiză Honeypot High Interaction) : convertește fișierele PHP în melodii cu interacțiune ridicată cu o interfață web disponibilă pentru a monitoriza informațiile.
- Capture-HPC : similar cu HoneyC, identifică serverele rău intenționate prin interacțiunea cu clienții folosind o mașină virtuală dedicată și înregistrarea modificărilor neautorizate.
Mai jos puteți găsi un exemplu practic de interacțiune medie.
Implementarea Cowrie pentru a colecta date despre atacurile SSH:
După cum sa spus anterior, Cowrie este un pot de miere folosit pentru a înregistra informații despre atacurile care vizează serviciul ssh. Cowrie simulează un server ssh vulnerabil care permite oricărui atacator să acceseze un terminal fals, simulând un atac reușit în timp ce înregistrează activitatea atacatorului.
Pentru ca Cowrie să simuleze un server vulnerabil fals, trebuie să-l atribuim portului 22. Astfel, trebuie să ne schimbăm portul real ssh editând fișierul / etc / ssh / sshd_config așa cum se arată mai jos.
sudo nano /etc./ssh/sshd_configEditați linia și schimbați-o pentru un port între 49152 și 65535.
Port22 
Reporniți și verificați dacă serviciul funcționează corect:
sudosystemctl repornițisshsudostarea systemctlssh
Instalați toate software-urile necesare pentru pașii următori, pe distribuțiile Linux bazate pe Debian:
sudoaptinstalare -șipython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-authbind minimmerge 
Adăugați un utilizator neprivilegiat numit cowrie executând comanda de mai jos.
sudoAdăugați utilizator--disabled-parolăcowrie 
Pe distribuțiile Linux bazate pe Debian, instalați authbind executând următoarea comandă:
sudoaptinstalareautentificareRulați comanda de mai jos.
sudo atingere /etc./autentificare/byport/22Schimbați proprietatea executând comanda de mai jos.
sudo chowncowrie: cowrie/etc./autentificare/byport/22Modificați permisiunile:
sudo chmod 770 /etc./autentificare/byport/22 
Autentificați-vă ca cowrie
sudo estecowrieAccesați directorul principal al cowrie.
CD~Descărcați cowrie honeypot folosind git așa cum se arată mai jos.
git clonahttps://github.com/micheloosterhof/cowrieMutați în directorul cowrie.
CDcowrie/ 
Creați un fișier de configurare nou bazat pe cel implicit, copiându-l din fișier /etc/cowrie.cfg.dist la cowrie.cfg executând comanda prezentată mai jos în directorul cowrie /
cpetc./cowrie.cfg.dist etc./cowrie.cfg 
Editați fișierul creat:
nanoetc./cowrie.cfgGăsiți linia de mai jos.
listen_endpoints = tcp:2222:interfață= 0.0.0.0Editați linia, înlocuind portul 2222 cu 22 așa cum se arată mai jos.
listen_endpoints = tcp:22:interfață= 0.0.0.0 
Salvați și ieșiți din nano.
Rulați comanda de mai jos pentru a crea un mediu python:
virtualenv cowrie-env 
Activați un mediu virtual.
sursăcowrie-env/a.m/Activati 
Actualizați pip executând următoarea comandă.
pipinstalare --modernizarepip 
Instalați toate cerințele executând următoarea comandă.
pipinstalare --upgradatorrequirements.txt 
Rulați cowrie cu următoarea comandă:
a.m/cowrie start 
Verificați dacă melcul ascultă alergând.
netstat -asa de 
Acum, încercările de conectare la portul 22 vor fi înregistrate în fișierul var / log / cowrie / cowrie.log din directorul cowrie.
După cum sa spus anterior, puteți utiliza Honeypot pentru a crea un shell vulnerabil fals. Cowries includ un fișier în care puteți defini utilizatorilor permiși să acceseze shell-ul. Aceasta este o listă de nume de utilizator și parole prin care un hacker poate accesa shell-ul fals.
Formatul listei este afișat în imaginea de mai jos:
Puteți redenumi lista implicită cowrie în scopuri de testare executând comanda de mai jos din directorul cowries. Procedând astfel, utilizatorii se vor putea autentifica ca root folosind parola rădăcină sau 123456 .
mvetc./userdb.example etc./userdb.txt 
Opriți și reporniți Cowrie executând comenzile de mai jos:
a.m/oprire cowriea.m/cowrie start
Acum testați încercarea de a accesa prin ssh folosind un nume de utilizator și o parolă incluse în userdb.txt listă.
După cum puteți vedea, veți accesa un shell fals. Și toată activitatea desfășurată în acest shell poate fi monitorizată din jurnalul cowrie, așa cum se arată mai jos.
După cum puteți vedea, Cowrie a fost implementat cu succes. Puteți afla mai multe despre Cowrie la https://github.com/cowrie/ .
Concluzie:
Implementarea Honeypots nu este o măsură comună de securitate, dar, după cum puteți vedea, este o modalitate excelentă de a întări securitatea rețelei. Implementarea Honeypots este o parte importantă a colectării datelor care vizează îmbunătățirea securității, transformând hackerii în colaboratori prin dezvăluirea activității, tehnicilor, acreditărilor și obiectivelor lor. Este, de asemenea, o modalitate formidabilă de a oferi hackerilor informații false.
Dacă sunteți interesat de Honeypots, probabil IDS (Intrusion Detection Systems) poate fi interesant pentru dvs.; la LinuxHint, avem câteva tutoriale interesante despre ele:
- Configurați Snort IDS și creați reguli
- Noțiuni introductive despre OSSEC (Intrusion Detection System)
Sper că ați găsit util acest articol despre Honeypots și Honeynets. Continuați să urmăriți Linux Hint pentru mai multe sfaturi și tutoriale Linux.