Saugos IT specialistų darbo dalis yra sužinoti apie atakų tipus ar metodus, kuriuos naudoja įsilaužėliai, rinkdami informaciją vėlesnei analizei, kad būtų galima įvertinti atakų charakteristikas. Kartais ši informacija renkama naudojant masalą ar masalą, skirtą užregistruoti įtartiną potencialių užpuolikų, kurie veikia nežinodami, kad jų veikla yra stebima, veiklą. IT saugumo srityje šie masalai ar masalai vadinami Medaus puodai .
Kas yra medaus puodai ir tinkleliai:
Į medaus puodas gali būti programa, imituojanti taikinį, kuris iš tikrųjų yra užpuolikų veiklos registratorius. Keli „Honeypots“ imituoja kelias paslaugas, įrenginius ir programas Medaus tinkleliai .
„Honeypots“ ir „Honeynets“ nesaugo slaptos informacijos, bet saugo suklastotą patrauklią informaciją užpuolikams, kad jie susidomėtų „Honeypots“; Kitaip tariant, „Honeynets“ kalba apie įsilaužėlių spąstus, skirtus išmokti jų puolimo technikos.
„Honeypots“ suteikia mums du privalumus: pirma, jie padeda mums išmokti atakų, kad tinkamai apsaugotume gamybos įrenginį ar tinklą. Antra, laikydami medaus puodus, imituojančius pažeidžiamumą, šalia gamybos įrenginių ar tinklų, neleidžiame įsilaužėlių dėmesio saugiems įrenginiams. Jiems bus patrauklesni medaus puodai, imituojantys saugumo skyles, kurias jie gali išnaudoti.
Honeypot tipai:
Gamybos medaus puodai:
Šio tipo medaus puodas yra įdiegtas gamybos tinkle, siekiant surinkti informaciją apie metodus, naudojamus atakuoti infrastruktūros sistemas. Šio tipo medaus puodai siūlo daugybę galimybių, pradedant medaus puodo buvimu tam tikrame tinklo segmente, siekiant aptikti teisėtų tinklo vartotojų vidinius bandymus pasiekti neleistinus ar draudžiamus išteklius į svetainės ar paslaugos kloną, identišką originalus kaip masalas. Didžiausia tokio tipo medaus puodo problema yra leisti kenkėjiškam srautui tarp teisėtų.
Vystymosi medaus puodai:
Šio tipo medaus puodas skirtas surinkti daugiau informacijos apie įsilaužimo tendencijas, norimus užpuolikų taikinius ir užpuolimo kilmę. Ši informacija vėliau analizuojama sprendimų priėmimo dėl saugumo priemonių įgyvendinimo procesui.
Pagrindinis šio tipo medaus puodų pranašumas yra, priešingai nei gamyba; medaus puodų kūrimo medaus puodai yra nepriklausomame tyrimams skirtame tinkle; ši pažeidžiama sistema yra atskirta nuo gamybos aplinkos, užkertant kelią paties medaus puodo atakai. Pagrindinis jo trūkumas yra ištekliai, reikalingi jam įgyvendinti.
Yra trys skirtingos medaus puodo pakategorės arba klasifikacijos tipai, apibrėžti pagal sąveikos lygį su užpuolikais.
Mažos sąveikos medaus puodai:
„Honeypot“ imituoja pažeidžiamą paslaugą, programą ar sistemą. Tai labai lengva nustatyti, tačiau renkant informaciją yra ribota; keletas šio tipo medaus puodų pavyzdžių:
- Medaus spąstai : skirtas stebėti atakas prieš tinklo paslaugas; priešingai nei kiti medaus puodai, kuriuose daugiausia dėmesio skiriama kenkėjiškų programų fiksavimui, šio tipo medaus puodai yra skirti užfiksuoti išnaudojimus.
- Nephentes : imituoja žinomus pažeidžiamumus, kad surinktų informaciją apie galimas atakas; ji sukurta imituoti pažeidžiamumus, kuriuos kirminai išnaudoja daugindami, tada Nephentes užfiksuoja jų kodą vėlesnei analizei.
- HoneyC : identifikuoja kenkėjiškus žiniatinklio serverius tinkle, mėgdžiodami skirtingus klientus ir rinkdami serverio atsakymus atsakydami į užklausas.
- Medus D. : yra demonas, sukuriantis virtualius kompiuterius tinkle, kurį galima sukonfigūruoti paleisti savavališkas paslaugas, imituojančias vykdymą skirtingose OS.
- Glastopf : imituoja tūkstančius pažeidžiamumų, skirtų rinkti informaciją apie atakas prieš žiniatinklio programas. Jį lengva nustatyti ir vieną kartą indeksuoti paieškos sistemos; jis tampa patraukliu taikiniu įsilaužėliams.
Vidutinės sąveikos medaus puodai:
Pagal šį scenarijų „Honeypots“ nėra skirtas tik informacijai rinkti; tai programa, skirta bendrauti su užpuolikais, tuo pačiu išsamiai registruojant sąveikos veiklą; jis imituoja taikinį, galintį pasiūlyti visus atsakymus, kurių užpuolikas gali tikėtis; Kai kurie šio tipo medaus puodai yra:
- Cowrie: „SSH“ ir „Telnet“ medaus puodelis, registruojantis žiaurios jėgos atakas ir įsilaužėlių lukšto sąveiką. Jis imituoja „Unix“ OS ir veikia kaip tarpinis serveris, registruojantis užpuoliko veiklą. Po šio skyriaus rasite „Cowrie“ diegimo instrukcijas.
- Lipnus_dramblys : tai „PostgreSQL“ medaus puodas.
- Širšė : Patobulinta „Honeypot-Wasp“ versija su suklastotais įgaliojimais, sukurta svetainėms su viešo prisijungimo puslapiu administratoriams, pvz., „ /Wp-admin“, skirta „WordPress“ svetainėms.
Didelės sąveikos medaus puodai:
Pagal šį scenarijų „Honeypots“ nėra skirtas tik informacijai rinkti; tai programa, skirta bendrauti su užpuolikais, tuo pačiu išsamiai registruojant sąveikos veiklą; jis imituoja taikinį, galintį pasiūlyti visus atsakymus, kurių užpuolikas gali tikėtis; Kai kurie šio tipo medaus puodai yra:
- Žaizdos : veikia kaip HIDS (priimančioji įsibrovimo aptikimo sistema), leidžianti fiksuoti informaciją apie sistemos veiklą. Tai yra serverio-kliento įrankis, galintis įdiegti „Linux“, „Unix“ ir „Windows“ sistemas, kurios fiksuoja ir siunčia surinktą informaciją į serverį.
- „HoneyBow“ : gali būti integruotas su mažai sąveikaujančiais medaus puodais, siekiant padidinti informacijos rinkimą.
- HI-HAT („High Interaction Honeypot Analysis Toolkit“) : konvertuoja PHP failus į didelės sąveikos medaus puodus su žiniatinklio sąsaja, skirta informacijai stebėti.
- „Capture-HPC“ : panašiai kaip „HoneyC“, atpažįsta kenkėjiškus serverius, bendraudamas su klientais naudodamas tam skirtą virtualią mašiną ir registruodamas neteisėtus pakeitimus.
Žemiau galite rasti vidutinio sąveikos medaus puodo praktinio pavyzdžio.
„Cowrie“ diegimas duomenims apie SSH atakas rinkti:
Kaip minėta anksčiau, „Cowrie“ yra medus, naudojamas įrašyti informaciją apie atakas, nukreiptas į „ssh“ paslaugą. Cowrie imituoja pažeidžiamą ssh serverį, leidžiantį bet kuriam užpuolikui pasiekti netikrą terminalą, imituodamas sėkmingą ataką įrašant užpuoliko veiklą.
Kad Cowrie imituotų suklastotą pažeidžiamą serverį, turime jį priskirti prie 22 prievado. Taigi turime pakeisti savo tikrąjį ssh prievadą, redaguodami failą /etc/ssh/sshd_config kaip parodyta žemiau.
sudo nano /ir kt/ssh/sshd_configRedaguokite eilutę ir pakeiskite ją prievadui nuo 49152 iki 65535.
Uostas22 
Iš naujo paleiskite ir patikrinkite, ar paslauga veikia tinkamai:
sudosystemctl iš naujosshsudosystemctl būsenassh
Įdiekite visą reikalingą programinę įrangą, kad atliktumėte kitus veiksmus, „Debian“ pagrindu veikiančiuose „Linux“ platinimuose:
sudotinkamasdiegti -irpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindeiti 
Pridėkite privilegijuotą vartotoją, vadinamą cowrie, vykdydami toliau pateiktą komandą.
sudopridėtinis-išjungtas slaptažodiscowrie 
„Debian“ pagrindu veikiančiuose „Linux“ platinimuose įdiekite „authbind“ vykdydami šią komandą:
sudotinkamasdiegtiauthbindVykdykite žemiau esančią komandą.
sudo liesti /ir kt/authbind/prievadas/22Pakeiskite nuosavybę vykdydami toliau pateiktą komandą.
sudo šaukimascowrie: cowrie/ir kt/authbind/prievadas/22Keisti leidimus:
sudo chmod 770 /ir kt/authbind/prievadas/22 
Prisijunkite kaip cowrie
sudo joscowrieEikite į Cowrie namų katalogą.
CD~Atsisiųskite „cowrie honeypot“ naudodami „git“, kaip parodyta žemiau.
git klonashttps://github.com/micheloosterhof/cowriePereikite į „cowrie“ katalogą.
CDcowrie/ 
Sukurkite naują konfigūracijos failą pagal numatytąjį, nukopijuodami jį iš failo /etc/cowrie.cfg.dist į cowrie.cfg vykdydami žemiau pateiktą komandą cowrie kataloge/
cpir kt/cowrie.cfg.dist ir kt/cowrie.cfg 
Redaguokite sukurtą failą:
nanoir kt/cowrie.cfgRaskite žemiau esančią eilutę.
listen_endpoints = tcp:2222:sąsaja= 0,0,0,0Redaguokite eilutę, pakeisdami 2222 prievadą 22, kaip parodyta žemiau.
listen_endpoints = tcp:22:sąsaja= 0,0,0,0 
Išsaugokite ir išeikite iš „nano“.
Norėdami sukurti „python“ aplinką, paleiskite toliau pateiktą komandą:
virtualenv cowrie-env 
Įgalinti virtualią aplinką.
šaltiniscowrie-env/esu/aktyvuoti 
Atnaujinkite pip vykdydami šią komandą.
pipdiegti --patobulintipip 
Įdiekite visus reikalavimus vykdydami šią komandą.
pipdiegti -aukštesnysisreikalavimus.txt 
Paleiskite „cowrie“ naudodami šią komandą:
esu/karvės pradžia 
Bėgdami patikrinkite, ar medus puodas klauso.
netstat -taigi 
Dabar bandymai prisijungti prie 22 prievado bus įrašyti į failą var/log/cowrie/cowrie.log, esantį cowrie kataloge.
Kaip minėta anksčiau, „Honeypot“ galite naudoti suklastotam pažeidžiamam apvalkalui sukurti. „Cowries“ apima failą, kuriame galite apibrėžti leidžiamus vartotojus prieiti prie apvalkalo. Tai vartotojų vardų ir slaptažodžių, per kuriuos įsilaužėlis gali pasiekti netikrą apvalkalą, sąrašas.
Sąrašo formatas parodytas žemiau esančiame paveikslėlyje:
Bandymų tikslais galite pervardyti numatytąjį „cowrie“ sąrašą, vykdydami žemiau esančią komandą iš „cowries“ katalogo. Tokiu būdu vartotojai galės prisijungti kaip root naudodami slaptažodį šaknis arba 123456 .
mvir kt/userdb.example ir kt/userdb.txt 
Sustabdykite ir paleiskite „Cowrie“ paleisdami toliau nurodytas komandas:
esu/sustotiesu/karvės pradžia
Dabar išbandykite bandymą pasiekti per ssh naudodami vartotojo vardą ir slaptažodį, įtrauktus į userdb.txt sąrašą.
Kaip matote, pateksite į padirbtą apvalkalą. Ir visa veikla, atliekama šiame apvalkale, gali būti stebima iš „cowrie“ žurnalo, kaip parodyta žemiau.
Kaip matote, Cowrie buvo sėkmingai įgyvendinta. Daugiau apie Cowrie galite sužinoti adresu https://github.com/cowrie/ .
Išvada:
„Honeypots“ diegimas nėra įprasta saugumo priemonė, tačiau, kaip matote, tai puikus būdas sustiprinti tinklo saugumą. „Honeypots“ diegimas yra svarbi duomenų rinkimo dalis, kuria siekiama pagerinti saugumą, paverčiant įsilaužėlius bendradarbiais, atskleidžiant jų veiklą, metodus, įgaliojimus ir tikslus. Tai taip pat puikus būdas pateikti įsilaužėliams suklastotą informaciją.
Jei jus domina „Honeypots“, tikriausiai IDS (įsilaužimo aptikimo sistemos) jums gali būti įdomios; „LinuxHint“ turime keletą įdomių vadovėlių apie juos:
- Konfigūruokite „Snort IDS“ ir sukurkite taisykles
- Darbo su OSSEC (įsilaužimo aptikimo sistema) pradžia
Tikiuosi, kad šis straipsnis apie „Honeypots“ ir „Honeynets“ jums buvo naudingas. Toliau sekite „Linux“ patarimą, kad gautumėte daugiau „Linux“ patarimų ir vadovėlių.