Phenquestions
Honeypot môže byť aplikácia simulujúca cieľ, ktorá je skutočne záznamníkom aktivity útočníkov. Viaceré honeypoty simulujúce rôzne služby, zariadenia a aplikácie sa nazývajú Honeynets.
Honeypoty a Honeynety neuchovávajú citlivé informácie, ale ukladajú falošné atraktívne informácie pre útočníkov, aby ich zaujali Honeypoty, Honeynety, inými slovami hovoríme o hackerských pasciach určených na osvojenie si ich útočných techník.
Honeypots nám hlásia dva typy výhod: najskôr nám pomáhajú učiť sa útoky, aby sme neskôr mohli bezpečne zabezpečiť naše produkčné zariadenie alebo sieť. Po druhé, udržovaním honeypotov simulujúcich zraniteľnosť vedľa produkčných zariadení alebo siete udržujeme pozornosť hackerov mimo zabezpečených zariadení, pretože budú hľadať atraktívnejšie honeypoty simulujúce bezpečnostné diery, ktoré môžu zneužiť.
Existujú rôzne typy honeypotov:
Produkčné honeypoty:
Tento typ honeypotov je nainštalovaný v produkčnej sieti na zhromažďovanie informácií o technikách používaných pri útokoch na systémy v rámci infraštruktúry. Tento typ honeypotov ponúka širokú škálu možností, od umiestnenia honeypotu v konkrétnom segmente siete, aby bolo možné odhaliť interné pokusy legitímnych používateľov siete o prístup k nepovoleným alebo zakázaným zdrojom ku klonu webovej stránky alebo služby, totožnej s originál ako návnada. Najväčším problémom tohto typu honeypotov je umožnenie škodlivého prenosu medzi legitímnymi.
Vývojové honeypoty:
Tento typ honeypotov je navrhnutý tak, aby zhromažďoval čo najviac informácií o hackerských trendoch, požadovaných cieľoch útočníkoch a pôvodoch útokov. Tieto informácie sú neskôr analyzované pre rozhodovací proces o implementácii bezpečnostných opatrení.
Hlavnou výhodou tohto typu honeypotov je, že na rozdiel od vývoja výrobných honeypotov sú honeypoty umiestnené v nezávislej sieti určenej na výskum, tento zraniteľný systém je oddelený od produkčného prostredia, ktoré bráni útoku samotného honeypotu. Jeho hlavnou nevýhodou je množstvo zdrojov potrebných na jeho realizáciu.
K dispozícii je 3 podkategória alebo iná klasifikácia honeypotov definovaných interakciou, ktorú má s útočníkmi.
Honeypoty s nízkou interakciou:
Honeypot emuluje zraniteľnú službu, aplikáciu alebo systém. Nastavenie je veľmi jednoduché, ale pri zhromažďovaní informácií obmedzené, niektoré príklady tohto typu honeypotov sú:
Honeytrap: je určený na pozorovanie útokov na sieťové služby, na rozdiel od iných honeypotov, ktoré sa zameriavajú na zachytenie malwarov, je tento typ honeypotov určený na zachytávanie zneužitia.
Nephentes: emuluje známe chyby zabezpečenia za účelom zhromažďovania informácií o možných útokoch, je navrhnutá tak, aby emulovala chyby zabezpečenia, ktoré sa červy využívajú na šírenie, potom Nephentes zachytí svoj kód na neskoršiu analýzu.
HoneyC: identifikuje škodlivé webové servery v rámci siete emulovaním rôznych klientov a zhromažďovaním odpovedí servera pri odpovedaní na požiadavky.
HoneyD: je démon, ktorý vytvára virtuálnych hostiteľov v sieti, ktorú je možné nakonfigurovať na spustenie ľubovoľných služieb simulujúcich vykonávanie v rôznych OS.
Glastopf: emuluje tisíce zraniteľností určených na zhromažďovanie informácií o útokoch na webové aplikácie. Ľahko sa nastavuje a po indexovaní pomocou vyhľadávacích nástrojov sa stane atraktívnym cieľom pre hackerov.
Medzerníky so strednou interakciou:
Tieto typy honeypotov sú menej interaktívne ako predchádzajúce bez toho, aby umožňovali interakciu na úrovni, ktorú umožňujú vysoké honeypoty. Niektoré honeypoty tohto typu sú:
Kippo: je to ssh honeypot používaný na zaznamenávanie útokov hrubou silou proti unixovým systémom a na zaznamenávanie aktivity hackera, ak bol získaný prístup. To bolo prerušené a nahradené Cowrie.
Cowrie: ďalší ssh a telnet honeypot, ktorý zaznamenáva útoky hrubou silou a interakciu hackerov s shellmi. Emuluje operačný systém Unix a funguje ako server proxy na zaznamenávanie aktivity útočníka.
Sticky_elephant: je to honeypot PostgreSQL.
Sršeň: Vylepšená verzia honeypot-wasp s výzvou na falošné poverenia určená pre webové stránky s verejnou prístupovou prihlasovacou stránkou pre správcov, ako je / wp-admin pre weby wordpress.
Honeypoty s vysokou interakciou:
V tomto scenári nie sú Honeypoty určené na zhromažďovanie iba informácií, ide o aplikáciu určenú na interakciu s útočníkmi pri vyčerpávajúcom zaregistrovaní interakčnej aktivity. Simuluje cieľ schopný ponúknuť všetky odpovede, ktoré útočník môže očakávať, niektoré honeypoty tohto typu sú:
Sebek: pracuje ako HIDS (Host-based Intrusion Detection System) umožňujúci zachytávať informácie o činnosti systému. Toto je nástroj server-klient schopný nasadiť honeypoty na Linux, Unix a Windows, ktoré zachytávajú a odosielajú zhromaždené informácie na server.
HoneyBow: môžu byť integrované s honeypotmi s nízkou interakciou na zvýšenie zhromažďovania informácií.
HI-HAT (sada nástrojov na analýzu interakcií s honeypotmi s vysokou interakciou): prevádza php súbory na vysoko interakčné honeypoty pomocou webového rozhrania dostupného na sledovanie informácií.
Capture-HPC: podobne ako HoneyC, identifikuje škodlivé servery tak, že s nimi interaguje ako s klientmi pomocou vyhradeného virtuálneho stroja a registruje neoprávnené zmeny.
Ak vás zaujímajú Honeypoty, pravdepodobne by pre vás mohli byť zaujímavé IDS (Intrusion Detection Systems), na LinuxHint máme o nich niekoľko zaujímavých návodov:
- Nakonfigurujte ID Snort a vytvorte pravidlá
- Začíname s OSSEC (Intrusion Detection System)
Dúfam, že vám bol tento článok o Honeypotoch a honeynetoch užitočný. Pokračujte v sledovaní LinuxHint, kde nájdete ďalšie tipy a aktualizácie o systéme Linux a zabezpečení.
