Honeypoter og honningnett
En del av sikkerhetsarbeidet IT -spesialister er å lære om hvilke typer angrep eller teknikker som brukes av hackere ved å samle informasjon for senere analyse for å evaluere angrepsforsøkskarakteristikkene. Noen ganger blir denne samlingen av informasjon gjort gjennom agn eller lokkeduer designet for å registrere den mistenkelige aktiviteten til potensielle angripere som handler uten å vite at aktiviteten deres blir overvåket. I IT -sikkerhet kalles disse agnene eller lokkedukene Honeypots.
Hva er honeypoter og honningnett:
EN honningkrukke Kan være et applikasjon som simulerer et mål som virkelig er en opptaker av angripers aktivitet. Flere honeypoter som simulerer flere tjenester, enheter og applikasjoner er denominert Honeynets.
Honeypoter og honeynett lagrer ikke sensitiv informasjon, men lagrer falsk attraktiv informasjon til angripere for å få dem interessert i honeypotene; Honeynets snakker med andre ord om hackerfeller designet for å lære angrepsteknikkene deres.
Honeypots gir oss to fordeler: For det første hjelper de oss å lære angrep for å sikre vår produksjonsenhet eller nettverk riktig. For det andre, ved å holde honeypots simulere sårbarheter ved siden av produksjonsenheter eller nettverk, holder vi hackers oppmerksomhet utenfor sikrede enheter. De vil finne mer attraktive honeypots som simulerer sikkerhetshull de kan utnytte.
Honeypot -typer:
Produksjonshoneypots:
Denne typen honeypot er installert i et produksjonsnettverk for å samle informasjon om teknikker som brukes til å angripe systemer i infrastrukturen. Denne typen honeypot tilbyr et bredt utvalg av muligheter, ut fra honeypots plassering innenfor et spesifikt nettverkssegment for å oppdage interne forsøk fra nettverks legitime brukere for å få tilgang til ikke tillatt eller forbudte ressurser til en klone av et nettsted eller en tjeneste, identisk med original som agn. Den største utgaven av denne typen honeypot er å tillate ondsinnet trafikk mellom legitime.
Utviklingshoneypots:
Denne typen honeypot er designet for å samle mer informasjon om hacking trender, ønskede mål av angripere og angripe opprinnelse. Denne informasjonen blir senere analysert for beslutningsprosessen om implementering av sikkerhetstiltak.
Den største fordelen med denne typen honeypots er i motsetning til produksjonen; Honeypots Development Honeypots er lokalisert i et uavhengig nettverk dedikert til forskning; Dette sårbare systemet er atskilt fra produksjonsmiljøet som forhindrer et angrep fra selve honeypot. Den største ulempen er antallet ressurser som er nødvendige for å implementere den.
Det er tre forskjellige honeypotunderkategorier eller klassifiseringstyper definert av samhandlingsnivået det har med angripere.
Honeypots med lav interaksjon:
En honeypot emulerer en sårbar tjeneste, app eller system. Dette er veldig enkelt å sette opp, men begrenset når du samler inn informasjon; Noen eksempler på denne typen honeypoter er:
- HoneyTrap: den er designet for å observere angrep mot nettverkstjenester; I motsetning til andre honeypoter, som fokuserer på å fange skadelig programvare, er denne typen honeypot designet for å fange utnyttelser.
- Nefentes: emulerer kjente sårbarheter for å samle informasjon om mulige angrep; Den er designet for å etterligne sårbarheter ormer utnyttelse for å forplante seg, deretter fanger nevøte koden for senere analyse.
- Honeyc: Identifiserer ondsinnede webservere i nettverket ved å etterligne forskjellige klienter og samle serversvar når du svarer på forespørsler.
- Honeyd: er en demon som skaper virtuelle verter i et nettverk som kan konfigureres til å kjøre vilkårlige tjenester som simulerer utførelse i forskjellige OS.
- Glastopf: emulerer tusenvis av sårbarheter designet for å samle angrepsinformasjon mot webapplikasjoner. Det er enkelt å sette opp, og en gang indeksert av søkemotorer; det blir et attraktivt mål for hackere.
Medium interaksjon honeypots:
I dette scenariet er ikke honeypoter bare designet for å samle informasjon; Det er en applikasjon designet for å samhandle med angripere mens de uttømmende registrerer samhandlingsaktiviteten; Det simulerer et mål som er i stand til å tilby alle svar angriperen kan forvente; Noen honeypoter av denne typen er:
- Cowrie: En SSH og Telnet Honeypot som logger brute force angrep og hackere skallinteraksjon. Det emulerer et UNIX OS og fungerer som en fullmakt for å logge angriperens aktivitet. Etter denne delen kan du finne instruksjoner for Cowrie Implementation.
- Sticky_elephant: Det er en postgreSql honeypot.
- Hornet: En forbedret versjon av honeypot-wasp med falske legitimasjonsprompting designet for nettsteder med Public Access-påloggingsside for administratorer som /WP-Admin for WordPress-nettsteder.
Honeypots med høyt interaksjon:
I dette scenariet er ikke honeypoter bare designet for å samle informasjon; Det er en applikasjon designet for å samhandle med angripere mens de uttømmende registrerer samhandlingsaktiviteten; Det simulerer et mål som er i stand til å tilby alle svar angriperen kan forvente; Noen honeypoter av denne typen er:
- SEBEK: Fungerer som HIDS (vertsbasert inntrengingsdeteksjonssystem), slik at du fanger opp informasjon om systemaktivitet. Dette er et verktøy for serverklient som er i stand til å distribuere honeypots på Linux, UNIX og Windows som fanger og sender den innsamlede informasjonen til serveren.
- Honeybow: kan integreres med lav interaksjon honeypots for å øke informasjonssamlingen.
- Hei-hat (Honeypot Analysis Toolkit High Interaction Honeypot Analyse): Konverterer PHP -filer til Honeypots med høy interaksjon med et nettgrensesnitt tilgjengelig for å overvåke informasjonen.
- Capture-HPC: I likhet med Honeyc, identifiserer ondsinnede servere ved å samhandle med klienter ved hjelp av en dedikert virtuell maskin og registrere uautoriserte endringer.
Nedenfor kan du finne et middels interaksjon honeypot praktisk eksempel.
Distribusjon av Cowrie for å samle inn data om SSH -angrep:
Som tidligere sagt, Cowrie er en honeypot som brukes til å registrere informasjon om angrep som er målrettet mot SSH -tjenesten. Cowrie simulerer en sårbar SSH -server som lar en angriper få tilgang til en falsk terminal, og simulere et vellykket angrep mens han registrerer angriperens aktivitet.
For at Cowrie skal simulere en falsk sårbar server, må vi tilordne den til port 22. Dermed må vi endre vår virkelige SSH -port ved å redigere filen /etc/ssh/sshd_config som vist under.
sudo nano/etc/ssh/sshd_config
Rediger linjen, og endre den for en port mellom 49152 og 65535.
Port 22
Start på nytt og sjekk at tjenesten kjører ordentlig:
sudo SystemCTL Restart SSH
sudo systemctl status ssh
Installer all nødvendig programvare for neste trinn, på Debian -baserte Linux -distribusjoner Kjør:
sudo apt install -y python-virtualenv libsl-dev libffi-dev build-essensiell libpython3-dev python3-minimal authibind git
Legg til en uprivilegert bruker som heter Cowrie ved å kjøre kommandoen nedenfor.
sudo adduser--deabled-password cowrie
På Debian -baserte Linux -distribusjoner installer AuthBind ved å kjøre følgende kommando:
sudo apt install authebind
Kjør kommandoen nedenfor.
sudo touch/etc/autorbind/byport/22
Endre eierskap ved å kjøre kommandoen nedenfor.
sudo chown cowrie: cowrie/etc/authibind/byport/22
Endre tillatelser:
sudo chmod 770/etc/autorbind/byport/22
Logg inn som Cowrie
Sudo Su Cowrie
Gå inn i Cowries hjemmekatalog.
CD ~
Last ned Cowrie Honeypot ved hjelp av git som vist nedenfor.
git klon https: // github.com/micheloosterhof/cowrie
Flytt inn i Cowrie -katalogen.
CD Cowrie/
Opprett en ny konfigurasjonsfil basert på standard en ved å kopiere den fra filen /etc/cowrie.CFG.Dist til Cowrie.CFG ved å kjøre kommandoen vist nedenfor i Cowries katalog/
CP etc/cowrie.CFG.dist etc/cowrie.CFG
Rediger den opprettede filen:
nano etc/cowrie.CFG
Finn linjen nedenfor.
listen_endpoints = tcp: 2222: grensesnitt = 0.0.0.0
Rediger linjen, og erstatt port 2222 med 22 som vist nedenfor.
listen_endpoints = tcp: 22: grensesnitt = 0.0.0.0
Lagre og gå ut Nano.
Kjør kommandoen nedenfor for å lage et Python -miljø:
Virtualenv Cowrie-Env
Aktiver et virtuelt miljø.
Kilde Cowrie-env/bin/aktiverer
Oppdater Pip ved å kjøre følgende kommando.
Pip Install -Upgrade Pip
Installer alle krav ved å kjøre følgende kommando.
Pip Install -Upgrader -kravene.tekst
Kjør Cowrie med følgende kommando:
bin/cowrie start
Sjekk honeypoten lytter ved å løpe.
Netstat -Tan
Nå vil påloggingsforsøk på port 22 bli logget i filen var/log/cowrie/cowrie.Logg inn i Cowries katalog.
Som tidligere sagt, kan du bruke honeypot til å lage et falskt sårbart skall. Cowries inkluderer en fil der du kan definere “tillatte brukere” for å få tilgang til skallet. Dette er en liste over brukernavn og passord som en hacker kan få tilgang til det falske skallet.
Listeformatet vises på bildet nedenfor:
Du kan gi nytt navn. Ved å gjøre det, vil brukere kunne logge seg på som root ved hjelp av passord rot eller 123456.
MV etc/userdb.Eksempel etc/userdb.tekst
Stopp og start Cowrie på nytt ved å kjøre kommandoene nedenfor:
bin/cowrie stopp
bin/cowrie start
Test nå å prøve å få tilgang til via SSH ved å bruke et brukernavn og passord inkludert i UserDB.tekst liste.
Som du ser, vil du få tilgang til et falskt skall. Og all aktivitet utført i dette skallet kan overvåkes fra Cowrie -loggen, som vist nedenfor.
Som du kan se, ble Cowrie implementert. Du kan lære mer om Cowrie på https: // github.com/cowrie/.
Konklusjon:
Honeypots implementering er ikke et vanlig sikkerhetstiltak, men som du kan se, er det en fin måte å herde nettverkssikkerhet. Implementering av honeypots er en viktig del av datainnsamlingen som tar sikte på. Det er også en formidabel måte å gi hackere falsk informasjon.
Hvis du er interessert i honeypoter, kan sannsynligvis ID -er (inntrengingsdeteksjonssystemer) være interessant for deg; Hos Linuxhint har vi et par interessante opplæringsprogrammer om dem:
- Konfigurer snort ID -er og opprett regler
- Komme i gang med OSSEC (inntrengingsdeteksjonssystem)
Jeg håper du fant denne artikkelen om honeypoter og honningnett nyttige. Fortsett å følge Linux -hint for flere Linux -tips og opplæringsprogrammer.