Honeypots dan Honeynets

Honeypots Honeynets



Tutorial ini menerangkan apa itu honeypots dan honeynets dan bagaimana ia berfungsi, termasuk contoh pelaksanaan praktikal.

Sebahagian daripada kerja pakar keselamatan IT adalah mempelajari jenis serangan atau teknik yang digunakan oleh penggodam dengan mengumpulkan maklumat untuk analisis kemudian untuk menilai ciri-ciri cubaan serangan. Kadang kala pengumpulan maklumat ini dilakukan melalui umpan atau umpan yang dirancang untuk mendaftarkan aktiviti mencurigakan penyerang berpotensi yang bertindak tanpa mengetahui aktiviti mereka sedang dipantau. Dalam keselamatan IT, umpan atau umpan ini dipanggil Honeypots .





Apa itu honeypots dan madu:

KE honeypot mungkin aplikasi yang mensimulasikan sasaran yang benar-benar menjadi catatan aktiviti penyerang. Multiple Honeypots yang mensimulasikan banyak perkhidmatan, peranti, dan aplikasi dalam bentuk denominasi Madu kelulut .



Honeypots dan Honeynets tidak menyimpan maklumat sensitif tetapi menyimpan maklumat menarik palsu kepada penyerang agar mereka berminat dengan Honeypots; Honeynets, dengan kata lain, bercakap mengenai perangkap penggodam yang dirancang untuk mempelajari teknik serangan mereka.



Honeypots memberi kita dua faedah: pertama, ia membantu kita mempelajari serangan untuk mengamankan peranti atau rangkaian pengeluaran kita dengan betul. Kedua, dengan menjaga honeypots mensimulasikan kerentanan di sebelah peranti atau rangkaian pengeluaran, kami menjaga perhatian penggodam daripada peranti yang diamankan. Mereka akan lebih menarik honeypots yang mensimulasikan lubang keselamatan yang dapat mereka gunakan.



Jenis Honeypot:

Honeypots Pengeluaran:
Jenis honeypot ini dipasang di rangkaian produksi untuk mengumpulkan maklumat mengenai teknik yang digunakan untuk menyerang sistem dalam infrastruktur. Jenis honeypot ini menawarkan pelbagai kemungkinan, dari lokasi honeypot dalam segmen rangkaian tertentu untuk mengesan percubaan dalaman oleh pengguna sah rangkaian untuk mengakses sumber yang tidak dibenarkan atau dilarang ke klon laman web atau perkhidmatan, yang serupa dengan asli sebagai umpan. Isu terbesar jenis honeypot ini adalah membenarkan lalu lintas berbahaya antara yang sah.

Honeypots pembangunan:
Jenis honeypot ini dirancang untuk mengumpulkan lebih banyak maklumat mengenai trend penggodaman, sasaran yang diinginkan oleh penyerang, dan asal serangan. Maklumat ini kemudian dianalisis untuk proses membuat keputusan mengenai pelaksanaan langkah-langkah keselamatan.
Kelebihan utama jenis honeypots ini adalah, bertentangan dengan pengeluaran; pengembangan honeypots honeypots terletak dalam rangkaian bebas yang dikhaskan untuk penyelidikan; sistem yang rentan ini dipisahkan dari persekitaran pengeluaran yang menghalang serangan dari honeypot itu sendiri. Kelemahan utamanya adalah jumlah sumber yang diperlukan untuk melaksanakannya.



Terdapat 3 subkategori honeypot atau jenis klasifikasi yang ditentukan oleh tahap interaksi yang dimilikinya dengan penyerang.

Honeypots Interaksi Rendah:

Honeypot meniru perkhidmatan, aplikasi, atau sistem yang rentan. Ini sangat mudah disediakan tetapi terhad semasa mengumpulkan maklumat; beberapa contoh jenis honeypots ini adalah:

  • Lebah madu : ia dirancang untuk memerhatikan serangan terhadap perkhidmatan rangkaian; bertentangan dengan honeypot lain, yang fokus pada menangkap malware, honeypot jenis ini direka untuk menangkap eksploitasi.
  • Orang Nefen : mencontohi kelemahan yang diketahui untuk mengumpulkan maklumat mengenai kemungkinan serangan; ia dirancang untuk meniru kerentanan eksploitasi cacing untuk disebarkan, kemudian Nephentes menangkap kod mereka untuk analisis kemudian.
  • MaduC : mengenal pasti pelayan web jahat dalam rangkaian dengan meniru klien yang berbeza dan mengumpulkan respons pelayan ketika membalas permintaan.
  • Sayang : adalah daemon yang membuat host maya dalam rangkaian yang dapat dikonfigurasi untuk menjalankan perkhidmatan sewenang-wenang yang mensimulasikan pelaksanaan dalam OS yang berbeza.
  • Glastopf : meniru ribuan kelemahan yang dirancang untuk mengumpulkan maklumat serangan terhadap aplikasi web. Ia mudah disediakan, dan sekali diindeks oleh mesin pencari; ia menjadi sasaran menarik bagi penggodam.

Honeypots Interaksi Sederhana:

Dalam senario ini, Honeypots tidak dirancang untuk mengumpulkan maklumat sahaja; ia adalah aplikasi yang dirancang untuk berinteraksi dengan penyerang sambil mencatat aktiviti interaksi secara menyeluruh; ia mensimulasikan sasaran yang mampu menawarkan semua jawapan yang diharapkan oleh penyerang; beberapa jenis honeypots adalah:

  • Cowrie: Honeypot ssh dan telnet yang mencatat serangan kekerasan dan interaksi shell penggodam. Ia meniru OS Unix dan berfungsi sebagai proksi untuk mencatat aktiviti penyerang. Selepas bahagian ini, anda boleh mendapatkan arahan untuk pelaksanaan Cowrie.
  • Gajah melekit : ia adalah honeypot PostgreSQL.
  • Hornet : Versi honeypot-wasp yang diperbaiki dengan permintaan kelayakan palsu yang direka untuk laman web dengan halaman log masuk akses awam untuk pentadbir seperti / wp-admin untuk laman WordPress.

Honeypots Interaksi Tinggi:

Dalam senario ini, Honeypots tidak dirancang untuk mengumpulkan maklumat sahaja; ia adalah aplikasi yang dirancang untuk berinteraksi dengan penyerang sambil mencatat aktiviti interaksi secara menyeluruh; ia mensimulasikan sasaran yang mampu menawarkan semua jawapan yang diharapkan oleh penyerang; beberapa jenis honeypots adalah:

  • Luka : berfungsi sebagai HIDS (Sistem Pengesanan Pencerobohan berasaskan Host), yang memungkinkan untuk menangkap maklumat mengenai aktiviti sistem. Ini adalah alat pelayan-klien yang mampu menggunakan honeypots di Linux, Unix, dan Windows yang menangkap dan menghantar maklumat yang dikumpulkan ke pelayan.
  • HoneyBow : dapat disatukan dengan honeypots interaksi rendah untuk meningkatkan pengumpulan maklumat.
  • HI-HAT (Kit Alat Analisis Honeypot Interaksi Tinggi) : menukar fail PHP menjadi honeypots berinteraksi tinggi dengan antara muka web yang tersedia untuk memantau maklumat.
  • Tangkap-HPC : serupa dengan HoneyC, mengenal pasti pelayan yang berniat jahat dengan berinteraksi dengan pelanggan menggunakan mesin maya khusus dan mendaftarkan perubahan yang tidak dibenarkan.

Di bawah ini anda boleh mendapatkan contoh praktikal honeypot interaksi sederhana.

Menyebarkan Cowrie untuk mengumpulkan data mengenai serangan SSH:

Seperti yang dinyatakan sebelumnya, Cowrie adalah honeypot yang digunakan untuk merakam maklumat mengenai serangan yang mensasarkan perkhidmatan ssh. Cowrie mensimulasikan pelayan ssh yang rentan yang membolehkan mana-mana penyerang mengakses terminal palsu, mensimulasikan serangan yang berjaya semasa merakam aktiviti penyerang.

Untuk Cowrie mensimulasikan pelayan rentan palsu, kita perlu menetapkannya ke port 22. Oleh itu, kita perlu mengubah port ssh kita yang sebenarnya dengan mengedit fail / etc / ssh / sshd_config seperti yang ditunjukkan di bawah.

sudo nano /dan lain-lain/ssh/sshd_config

Edit garis, dan ubah untuk port antara 49152 dan 65535.

Pelabuhan22

Mulakan semula dan periksa bahawa perkhidmatan berjalan dengan betul:

sudomulakan semula systemctlssh
sudostatus systemctlssh

Pasang semua perisian yang diperlukan untuk langkah seterusnya, pada distribusi Linux berasaskan Debian dijalankan:

sudotepatpasang -danpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindpergi

Tambahkan pengguna yang tidak istimewa bernama cowrie dengan menjalankan perintah di bawah.

sudopenambah- dilucutkan kata laluancowrie

Pada edaran Linux berasaskan Debian, pasang authbind dengan menjalankan perintah berikut:

sudotepatpasangpengarang

Jalankan arahan di bawah.

sudo sentuhan /dan lain-lain/pengarang/byport/22

Tukar pemilikan dengan menjalankan perintah di bawah.

sudo chowncowrie: cowrie/dan lain-lain/pengarang/byport/22

Tukar kebenaran:

sudo chmod 770 /dan lain-lain/pengarang/byport/22

Log masuk sebagai cowrie

sudo itucowrie

Pergi ke direktori utama cowrie.

CD~

Muat turun cowrie honeypot menggunakan git seperti gambar di bawah.

klon githttps://github.com/micheloosterhof/cowrie

Pindah ke direktori cowrie.

CDcowrie/

Buat fail konfigurasi baru berdasarkan fail lalai dengan menyalinnya dari fail /etc/cowrie.cfg.daftar ke cowrie.cfg dengan menjalankan perintah yang ditunjukkan di bawah dalam direktori cowrie /

cpdan lain-lain/cowrie.cfg.dist dll/cowrie.cfg

Edit fail yang dibuat:

nanodan lain-lain/cowrie.cfg

Cari garis di bawah.

dengar_endpoints = tcp:2222:antara muka= 0.0.0.0

Edit garis, ganti port 2222 dengan 22 seperti gambar di bawah.

dengar_endpoints = tcp:22:antara muka= 0.0.0.0

Simpan dan keluar dari nano.

Jalankan arahan di bawah untuk membuat persekitaran python:

virtualenv cowrie-env

Aktifkan persekitaran maya.

sumbercowrie-env/saya/aktifkan

Kemas kini pip dengan menjalankan perintah berikut.

pippasang --naik tarafpip

Pasang semua keperluan dengan menjalankan perintah berikut.

pippasang - penambahbaikankeperluan.txt

Jalankan cowrie dengan arahan berikut:

saya/cowrie bermula

Periksa honeypot sedang mendengar dengan berjalan.

netstat -jadi

Sekarang percubaan log masuk ke port 22 akan dilog masuk dalam fail var / log / cowrie / cowrie.log dalam direktori cowrie.

Seperti yang dinyatakan sebelumnya, anda boleh menggunakan Honeypot untuk membuat cengkerang rentan palsu. Cowries menyertakan fail di mana anda dapat menentukan pengguna yang dibenarkan untuk mengakses shell. Ini adalah senarai nama pengguna dan kata laluan di mana penggodam dapat mengakses shell palsu.

Format senarai ditunjukkan dalam gambar di bawah:

Anda boleh menamakan semula senarai lalai cowrie untuk tujuan pengujian dengan menjalankan perintah di bawah dari direktori cowries. Dengan melakukan itu, pengguna akan dapat log masuk sebagai root menggunakan kata laluan akar atau 123456 .

mvdan lain-lain/userdb.contoh dll/penggunadb.txt

Berhenti dan mulakan semula Cowrie dengan menjalankan arahan di bawah:

saya/cowrie berhenti
saya/cowrie bermula

Sekarang uji cuba mengakses melalui ssh menggunakan nama pengguna dan kata laluan yang termasuk dalam penggunadb.txt senarai.

Seperti yang anda lihat, anda akan mengakses cengkerang palsu. Dan semua aktiviti yang dilakukan di cangkang ini dapat dipantau dari cowrie log, seperti yang ditunjukkan di bawah.

Seperti yang anda lihat, Cowrie berjaya dilaksanakan. Anda boleh mengetahui lebih lanjut mengenai Cowrie di https://github.com/cowrie/ .

Kesimpulan:

Pelaksanaan Honeypots bukanlah langkah keselamatan yang biasa, tetapi seperti yang anda lihat, ini adalah cara yang baik untuk mengeraskan keselamatan rangkaian. Menerapkan Honeypots adalah bahagian penting dalam pengumpulan data yang bertujuan untuk meningkatkan keamanan, mengubah penggodam menjadi kolaborator dengan mengungkapkan aktiviti, teknik, tauliah, dan sasaran mereka. Ini juga merupakan kaedah yang hebat untuk memberikan maklumat palsu kepada penggodam.

Sekiranya anda berminat dengan Honeypots, mungkin IDS (Intrusion Detection Systems) mungkin menarik untuk anda; di LinuxHint, kami mempunyai beberapa tutorial menarik mengenai mereka:

  • Konfigurasikan Snort IDS dan buat peraturan
  • Bermula dengan OSSEC (Sistem Pengesanan Pencerobohan)

Saya harap anda dapati artikel ini mengenai Honeypots dan Honeynets berguna. Terus ikuti Petunjuk Linux untuk lebih banyak petua dan tutorial Linux.

Yang Lain

Kategori

Jawatan Popular

Bagaimana untuk Menambah Margin pada Satu Sisi dalam Tailwind?

[Diselesaikan] Bagaimana untuk Membetulkan Ralat Kemas Kini Windows 10 0x80070020?

Bagaimana untuk SSH ke Pelayan Linux dari Windows 10/11

Bagaimana untuk Membangunkan MongoDB dengan JavaScript

PostgreSQL Berikan Semua Keistimewaan pada Skema kepada Pengguna

Kata Kunci Auto dalam C

Cara Membetulkan 'Fail INF yang Anda Pilih Tidak Menyokong Kaedah Pemasangan ini' dalam Windows 10

Butang Tekan dengan ESP32 – Arduino IDE

Cara Mendapatkan Aksara Terakhir Rentetan dalam JavaScript

Tindakan GitHub dalam Ansible

Bagaimana Saya Menukar Nama Prompt Zsh Saya

ANTARA Operator dalam Oracle

Cara Menggunakan Fungsi date_default_timezone_set() dalam PHP

Cara Mencari Ruang Cakera dalam Linux Mint 21

Apakah itu C Operator Keutamaan dan Associativity

Cara Memasang GVim pada Linux Mint 21

Apakah Nombor JavaScript.MAX_SAFE_INTEGER?

Cara Menyediakan Windows 10/11 untuk Memasang VirtualBox, VMware Workstation Pro atau VMware Workstation Player

Bagaimana untuk Menggunakan New-ItemProperty Cmdlet untuk Mencipta Harta Item Baharu dalam PowerShell?

Cara Mengimbas Kod QR pada Komputer Riba