Honeypots og Honeynets

Honeypots Honeynets



Denne vejledning forklarer, hvad honeypots og honeynets er, og hvordan de fungerer, herunder et praktisk implementeringseksempel.

En del af sikkerheds -IT -specialisternes arbejde er at lære om angrebstyper eller teknikker, som hackere bruger ved at indsamle oplysninger til senere analyse for at evaluere angrebets forsøgs egenskaber. Nogle gange sker denne indsamling af oplysninger gennem agn eller lokkefugle designet til at registrere den mistænkelige aktivitet hos potentielle angribere, der handler uden at vide, at deres aktivitet bliver overvåget. I IT -sikkerhed kaldes disse lokkemad eller lokkeduer Honeypots .







Hvad er honninggryder og honeynets:

TIL honningkrukke kan være en applikation, der simulerer et mål, der virkelig er en optager af angribernes aktivitet. Flere Honeypots, der simulerer flere tjenester, enheder og applikationer, er denomineret Honeynets .



Honeypots og Honeynets gemmer ikke følsomme oplysninger, men gemmer falske attraktive oplysninger til angribere for at få dem interesseret i Honeypots; Honeynets taler med andre ord om hackerfælder designet til at lære deres angrebsteknikker.



Honeypots giver os to fordele: For det første hjælper de os med at lære angreb for at sikre vores produktionsenhed eller netværk korrekt. For det andet holder vi hackers opmærksomhed ude af sikrede enheder ved at holde honninggryder, der simulerer sårbarheder ved siden af ​​produktionsenheder eller netværk. De vil finde mere attraktive de honninggryder, der simulerer sikkerhedshuller, de kan udnytte.





Honeypot typer:

Produktion honningkrukke:
Denne type honningkrukke er installeret i et produktionsnetværk for at indsamle oplysninger om teknikker, der bruges til at angribe systemer inden for infrastrukturen. Denne type honeypot tilbyder en bred vifte af muligheder, lige fra honninggrytets placering inden for et specifikt netværkssegment for at opdage interne forsøg fra netværks legitime brugere til at få adgang til ikke -tilladte eller forbudte ressourcer til en klon af et websted eller en tjeneste, identisk med original som agn. Det største problem med denne type honningkrukke tillader ondsindet trafik mellem legitime.

Udviklings honningkande:
Denne type honningkrukke er designet til at indsamle flere oplysninger om hackingstendenser, ønskede mål fra angribere og angrebets oprindelse. Disse oplysninger analyseres senere for beslutningsprocessen om implementering af sikkerhedsforanstaltninger.
Den største fordel ved denne type honninggryder er i modsætning til produktionen; honningkrydsudvikling honningkrukke er placeret inden for et uafhængigt netværk dedikeret til forskning; dette sårbare system er adskilt fra produktionsmiljøet og forhindrer et angreb fra selve honningkrukken. Dens største ulempe er antallet af ressourcer, der er nødvendige for at implementere det.



Der er 3 forskellige honningkrukke underkategorier eller klassificeringstyper defineret af det interaktionsniveau, den har med angribere.

Honeypots med lav interaktion:

En Honeypot efterligner en sårbar service, app eller system. Dette er meget let at konfigurere, men begrænset ved indsamling af oplysninger; nogle eksempler på denne type honninggryder er:

  • Honeytrap : det er designet til at observere angreb mod netværkstjenester; i modsætning til andre honeypots, der fokuserer på at fange malware, er denne type honeypot designet til at fange bedrifter.
  • Nephentes : efterligner kendte sårbarheder for at indsamle oplysninger om mulige angreb; den er designet til at efterligne sårbarheder, som orme udnytter for at formere sig, og derefter indfanger Nephentes deres kode til senere analyse.
  • Honning C. : identificerer ondsindede webservere inden for netværket ved at efterligne forskellige klienter og indsamle serversvar, når de besvarer anmodninger.
  • SkatD : er en dæmon, der opretter virtuelle værter i et netværk, der kan konfigureres til at køre vilkårlige tjenester, der simulerer udførelse i forskellige operativsystemer.
  • Glastopf : efterligner tusindvis af sårbarheder designet til at indsamle angrebsoplysninger mod webapplikationer. Det er let at konfigurere, og når indekseret af søgemaskiner; det bliver et attraktivt mål for hackere.

Medium interaktions honninggryder:

I dette scenario er Honeypots ikke kun designet til at indsamle oplysninger; det er en applikation designet til at interagere med angribere, mens udtømmende registrerer interaktionsaktiviteten; det simulerer et mål, der er i stand til at tilbyde alle svar, angriberen kan forvente; nogle honninggryder af denne type er:

  • Cowrie: En ssh- og telnethoneypot, der logger brutale kraftangreb og hackere beskytter interaktion. Det efterligner et Unix OS og fungerer som en proxy til at logge angriberens aktivitet. Efter dette afsnit kan du finde instruktioner til Cowrie -implementering.
  • Sticky_elephant : det er en PostgreSQL honningkrukke.
  • Gedehams : En forbedret version af honeypot-wasp med falske legitimationsoplysninger, der er designet til websteder med login-side med offentlig adgang til administratorer såsom /wp-admin til WordPress-websteder.

Honeypots med høj interaktion:

I dette scenario er Honeypots ikke kun designet til at indsamle oplysninger; det er en applikation designet til at interagere med angribere, mens udtømmende registrerer interaktionsaktiviteten; det simulerer et mål, der er i stand til at tilbyde alle svar, angriberen kan forvente; nogle honninggryder af denne type er:

  • Sår : fungerer som et HIDS (Host-based Intrusion Detection System), der gør det muligt at fange oplysninger om systemaktivitet. Dette er et server-klientværktøj, der er i stand til at implementere honeypots på Linux, Unix og Windows, der indsamler og sender de indsamlede oplysninger til serveren.
  • HoneyBow : kan integreres med honninggryde med lav interaktion for at øge informationsindsamlingen.
  • HI-HAT (værktøjskasse til analyse af honningskande med høj interaktion) : konverterer PHP -filer til honeypots med høj interaktion med en webinterface til rådighed til at overvåge oplysningerne.
  • Capture-HPC : ligner HoneyC, identificerer ondsindede servere ved at interagere med klienter ved hjælp af en dedikeret virtuel maskine og registrere uautoriserede ændringer.

Nedenfor kan du finde et praktisk eksempel på honningkande med medium interaktion.

Implementering af Cowrie til at indsamle data om SSH -angreb:

Som sagt tidligere er Cowrie en honningkrukke, der bruges til at registrere oplysninger om angreb rettet mod ssh -tjenesten. Cowrie simulerer en sårbar ssh -server, der giver enhver angriber adgang til en falsk terminal og simulerer et vellykket angreb, mens han registrerer angriberens aktivitet.

For at Cowrie kan simulere en falsk sårbar server, skal vi tildele den til port 22. Således skal vi ændre vores rigtige ssh -port ved at redigere filen /etc/ssh/sshd_config som vist herunder.

sudo nano /etc/ssh/sshd_config

Rediger linjen, og skift den for en port mellem 49152 og 65535.

Havn22

Genstart og kontroller, at tjenesten kører korrekt:

sudosystemctl genstartssh
sudosystemctl statusssh

Installer al nødvendig software til de næste trin, når Debian -baserede Linux -distributioner køres:

sudopassendeinstallere -ogpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind

Tilføj en uprivilegeret bruger kaldet cowrie ved at køre kommandoen herunder.

sudoadduser-deaktiveret-adgangskodecowrie

På Debian -baserede Linux -distributioner skal du installere authbind ved at køre følgende kommando:

sudopassendeinstallereauthbind

Kør kommandoen herunder.

sudo røre ved /etc/authbind/byport/22

Skift ejerskab ved at køre kommandoen herunder.

sudo chowncowrie: cowrie/etc/authbind/byport/22

Skift tilladelser:

sudo chmod 770 /etc/authbind/byport/22

Log ind som cowrie

sudo denscowrie

Gå ind i cowries hjemmebibliotek.

CD~

Download cowrie honeypot ved hjælp af git som vist nedenfor.

git klonhttps://github.com/micheloosterhof/cowrie

Gå ind i cowrie -biblioteket.

CDcowrie/

Opret en ny konfigurationsfil baseret på standardfilen ved at kopiere den fra filen /etc/cowrie.cfg.dist til cowrie.cfg ved at køre kommandoen vist nedenfor i cowrie's bibliotek/

cpetc/cowrie.cfg.dist osv/cowrie.cfg

Rediger den oprettede fil:

nanoetc/cowrie.cfg

Find linjen herunder.

listen_endpoints = tcp:2222:grænseflade= 0.0.0.0

Rediger linjen og erstat port 2222 med 22 som vist herunder.

listen_endpoints = tcp:22:grænseflade= 0.0.0.0

Gem og afslut nano.

Kør kommandoen herunder for at oprette et python -miljø:

virtualenv cowrie-env

Aktiver et virtuelt miljø.

kildecowrie-env/er/aktivere

Opdater pip ved at køre følgende kommando.

pipinstallere -opgraderingpip

Installer alle krav ved at køre følgende kommando.

pipinstallere -opgradererkrav.txt

Kør cowrie med følgende kommando:

er/cowrie start

Kontroller, at honninggryden lytter ved at køre.

netstat -så

Nu logges forsøg på port 22 til filen var/log/cowrie/cowrie.log i cowries bibliotek.

Som tidligere sagt kan du bruge Honeypot til at oprette en falsk sårbar skal. Cowries indeholder en fil, hvor du kan definere tilladte brugere at få adgang til skallen. Dette er en liste over brugernavne og adgangskoder, hvorigennem en hacker kan få adgang til den falske skal.

Listeformatet vises på billedet herunder:

Du kan omdøbe cowrie -standardlisten til testformål ved at køre nedenstående kommando fra cowries -biblioteket. Ved at gøre det vil brugerne kunne logge ind som root ved hjælp af adgangskode rod eller 123456 .

mvetc/userdb. prøve osv/userdb.txt

Stop og genstart Cowrie ved at køre kommandoerne herunder:

er/cowrie stop
er/cowrie start

Prøv nu at prøve at få adgang via ssh ved hjælp af et brugernavn og adgangskode, der er inkluderet i userdb.txt liste.

Som du kan se, får du adgang til en falsk skal. Og al aktivitet udført i denne skal kan overvåges fra cowrie -loggen, som vist nedenfor.

Som du kan se, blev Cowrie implementeret med succes. Du kan lære mere om Cowrie på https://github.com/cowrie/ .

Konklusion:

Honeypots -implementering er ikke en almindelig sikkerhedsforanstaltning, men som du kan se, er det en fantastisk måde at skærpe netværkssikkerheden på. Implementering af Honeypots er en vigtig del af dataindsamlingen med det formål at forbedre sikkerheden, gøre hackere til samarbejdspartnere ved at afsløre deres aktivitet, teknikker, legitimationsoplysninger og mål. Det er også en formidabel måde at give hackere falske oplysninger på.

Hvis du er interesseret i Honeypots, kan IDS (Intrusion Detection Systems) sandsynligvis være interessant for dig; på LinuxHint har vi et par interessante selvstudier om dem:

  • Konfigurer Snort IDS og opret regler
  • Kom godt i gang med OSSEC (Intrusion Detection System)

Jeg håber, at du fandt denne artikel om Honeypots and Honeynets nyttig. Fortsæt med at følge Linux -tip for flere Linux -tips og selvstudier.