Medus katli un medus tīkli

Daļa no drošības IT speciālistu darba ir apgūt hakeru izmantoto uzbrukumu veidus vai paņēmienus, vācot informāciju vēlākai analīzei, lai novērtētu uzbrukuma mēģinājumu īpašības. Dažreiz šī informācijas vākšana tiek veikta, izmantojot ēsmu vai mānekļus, kas paredzēti, lai reģistrētu iespējamo uzbrucēju aizdomīgo darbību, kuri rīkojas, nezinot, ka viņu darbība tiek uzraudzīta. IT drošības jomā šīs ēsmas vai mānekļus sauc Medus katli .

Kas ir medus katli un tīkli:

TO medus pods var būt lietojumprogramma, kas imitē mērķi, kas patiešām ir uzbrucēju darbību reģistrētājs. Ir nosaukti vairāki Honeypots, kas simulē vairākus pakalpojumus, ierīces un lietojumprogrammas Medus tīkli .

Honeypots un Honeynets nesaglabā sensitīvu informāciju, bet uzbrucējiem glabā viltotu pievilcīgu informāciju, lai viņus ieinteresētu Honeypots; Citiem vārdiem sakot, medus tīkli runā par hakeru slazdiem, kas paredzēti, lai apgūtu viņu uzbrukuma paņēmienus.

Honeypots dod mums divas priekšrocības: pirmkārt, tie palīdz mums apgūt uzbrukumus, lai pareizi aizsargātu mūsu ražošanas ierīci vai tīklu. Otrkārt, saglabājot medus podus, kas simulē ievainojamības blakus ražošanas ierīcēm vai tīkliem, mēs novēršam hakeru uzmanību no drošām ierīcēm. Viņiem pievilcīgāki būs medus katli, kas imitē drošības caurumus, kurus viņi var izmantot.

Honeypot veidi:

Ražošanas medus katli:
Šāda veida medus pods ir uzstādīts ražošanas tīklā, lai apkopotu informāciju par metodēm, ko izmanto, lai uzbruktu sistēmām infrastruktūrā. Šāda veida medus katls piedāvā plašas iespējas, sākot no medus katla atrašanās vietas noteiktā tīkla segmentā, lai noteiktu tīkla likumīgo lietotāju iekšējos mēģinājumus piekļūt neatļautiem vai aizliegtiem resursiem, līdz vietnes vai pakalpojuma klonam, kas ir identisks oriģināls kā ēsma. Šāda veida medus poda lielākā problēma ir ļaut ļaunprātīgai satiksmei starp likumīgajiem.

Izstrādes medus podi:
Šāda veida medus pods ir paredzēts, lai savāktu vairāk informācijas par uzlaušanas tendencēm, uzbrucēju vēlamajiem mērķiem un uzbrukuma izcelsmi. Šī informācija vēlāk tiek analizēta, lai pieņemtu lēmumu par drošības pasākumu īstenošanu.
Šāda veida medus podu galvenā priekšrocība ir pretēji ražošanai; medus podu izstrādes medus katli atrodas neatkarīgā tīklā, kas veltīts pētniecībai; šī neaizsargātā sistēma ir nodalīta no ražošanas vides, novēršot uzbrukumu no paša medus poda. Tās galvenais trūkums ir resursi, kas nepieciešami tā īstenošanai.

Pastāv 3 dažādas medus podu apakškategorijas vai klasifikācijas veidi, kas definēti pēc mijiedarbības līmeņa ar uzbrucējiem.

Zema mijiedarbības medus katli:

Honeypot atdarina neaizsargātu pakalpojumu, lietotni vai sistēmu. To ir ļoti viegli iestatīt, bet ierobežoti, vācot informāciju; daži šāda veida medus podu piemēri ir:

• Medus slazds : tas ir paredzēts, lai novērotu uzbrukumus tīkla pakalpojumiem; pretēji citiem medus podiem, kas koncentrējas uz ļaunprātīgas programmatūras uztveršanu, šāda veida medus pods ir paredzēts, lai fiksētu ekspluatāciju.
• Nephentes : atdarina zināmās ievainojamības, lai apkopotu informāciju par iespējamiem uzbrukumiem; tas ir paredzēts, lai atdarinātu ievainojamības, ko tārpi izmanto, lai tos izplatītu, pēc tam Nephentes uztver to kodu vēlākai analīzei.
• MedusC : identificē ļaunprātīgos tīmekļa serverus tīklā, emulējot dažādus klientus un apkopojot servera atbildes, atbildot uz pieprasījumiem.
• Medus : ir dēmons, kas tīklā izveido virtuālos saimniekdatorus, kurus var konfigurēt, lai tie palaistu patvaļīgus pakalpojumus, kas simulē izpildi dažādās OS.
• Glastopf : atdarina tūkstošiem ievainojamību, kas paredzētas informācijas vākšanai par tīmekļa lietojumprogrammām. To ir viegli iestatīt, un meklētājprogrammas to ir indeksējušas; tas kļūst par pievilcīgu mērķi hakeriem.

Vidējas mijiedarbības medus katli:

Šādā gadījumā Honeypots nav paredzēts tikai informācijas vākšanai; tā ir lietojumprogramma, kas paredzēta mijiedarbībai ar uzbrucējiem, vienlaikus izsmeļoši reģistrējot mijiedarbības darbību; tas simulē mērķi, kas spēj piedāvāt visas atbildes, kuras uzbrucējs var sagaidīt; daži šāda veida medus katli ir:

• Cowrie: SSH un telnet medus katls, kas reģistrē brutālu spēku uzbrukumus un hakeru čaumalu mijiedarbību. Tas emulē Unix OS un darbojas kā starpniekserveris, lai reģistrētu uzbrucēja darbību. Pēc šīs sadaļas varat atrast norādījumus par Cowrie ieviešanu.
• Sticky_elephant : tas ir PostgreSQL medus katls.
• Hornet : Uzlabota medus-lapsenes versija ar viltus akreditācijas datu uzvedni, kas paredzēta vietnēm ar publiskas piekļuves pieteikšanās lapu administratoriem, piemēram, /wp-admin WordPress vietnēm.

Augstas mijiedarbības medus katli:

Šādā gadījumā Honeypots nav paredzēts tikai informācijas vākšanai; tā ir lietojumprogramma, kas paredzēta mijiedarbībai ar uzbrucējiem, vienlaikus izsmeļoši reģistrējot mijiedarbības darbību; tas simulē mērķi, kas spēj piedāvāt visas atbildes, kuras uzbrucējs var sagaidīt; daži šāda veida medus katli ir:

• Brūces : darbojas kā HIDS (uz resursdatoriem balstīta ielaušanās noteikšanas sistēma), ļaujot iegūt informāciju par sistēmas darbību. Šis ir servera-klienta rīks, kas spēj izvietot medus podus operētājsistēmās Linux, Unix un Windows, kas uztver un nosūta savākto informāciju uz serveri.
• HoneyBow : var integrēt ar zemas mijiedarbības medus podiem, lai palielinātu informācijas vākšanu.
• HI-HAT (High Interaction Honeypot Analysis Toolkit) : pārvērš PHP failus augstas mijiedarbības medus podos ar pieejamu tīmekļa saskarni, lai uzraudzītu informāciju.
• Uzņemšana-HPC : līdzīgi kā HoneyC, identificē ļaunprātīgus serverus, mijiedarbojoties ar klientiem, izmantojot īpašu virtuālo mašīnu, un reģistrējot neatļautas izmaiņas.

Zemāk ir atrodams praktisks medus mijiedarbības piemērs.

Cowrie izvietošana, lai apkopotu datus par SSH uzbrukumiem:

Kā minēts iepriekš, Cowrie ir medus pods, ko izmanto, lai ierakstītu informāciju par uzbrukumiem, kas vērsti uz ssh pakalpojumu. Kovijs simulē neaizsargātu ssh serveri, ļaujot jebkuram uzbrucējam piekļūt viltus terminālim, simulējot veiksmīgu uzbrukumu, vienlaikus ierakstot uzbrucēja darbību.

Lai Kovijs simulētu viltus neaizsargātu serveri, mums tas jāpiešķir portam 22. Tādējādi mums ir jāmaina reālais ssh ports, rediģējot failu /etc/ssh/sshd_config kā parādīts zemāk.

Rediģējiet rindu un mainiet to portam starp 49152 un 65535.

Restartējiet un pārbaudiet, vai pakalpojums darbojas pareizi:

Instalējiet visu nepieciešamo programmatūru nākamajām darbībām, izmantojot Linux izplatīšanu, kuras pamatā ir Debian:

Pievienojiet priviliģētu lietotāju, ko sauc par cowrie, izpildot zemāk esošo komandu.

Debian balstītos Linux izplatījumos instalējiet authbind, palaižot šādu komandu:

Palaidiet zemāk esošo komandu.

Mainiet īpašumtiesības, izpildot zemāk esošo komandu.

Mainīt atļaujas:

Piesakieties kā kovijs

Dodieties uz Kerijas mājas direktoriju.

Lejupielādējiet cowrie honeypot, izmantojot git, kā parādīts zemāk.

Pārvietojieties uz cowrie direktoriju.

Izveidojiet jaunu konfigurācijas failu, pamatojoties uz noklusējuma failu, nokopējot to no faila /etc/cowrie.cfg.dist uz cowrie.cfg izpildot zemāk redzamo komandu kovija direktorijā/

Rediģējiet izveidoto failu:

Atrodiet zemāk esošo rindiņu.

Rediģējiet līniju, nomainot portu 2222 ar 22, kā parādīts zemāk.

Saglabājiet un iziet no nano.

Palaidiet tālāk norādīto komandu, lai izveidotu python vidi:

Iespējot virtuālo vidi.

Atjauniniet pip, izpildot šādu komandu.

Instalējiet visas prasības, izpildot šo komandu.

Palaidiet cowrie ar šādu komandu:

Pārbaudiet, vai medus katls klausās, skrienot.

Tagad pieteikšanās mēģinājumi 22. portā tiks reģistrēti failā var/log/cowrie/cowrie.log cowrie direktorijā.

Kā minēts iepriekš, jūs varat izmantot Honeypot, lai izveidotu viltotu neaizsargātu apvalku. Cowries ietver failu, kurā varat definēt atļauto lietotāju piekļuvi apvalkam. Šis ir lietotājvārdu un paroļu saraksts, ar kuru palīdzību hakeris var piekļūt viltotajam apvalkam.

Saraksta formāts ir parādīts attēlā zemāk:

Jūs varat pārdēvēt cowrie noklusējuma sarakstu testēšanas nolūkos, izpildot zemāk esošo komandu no cowries direktorija. To darot, lietotāji varēs pieteikties kā root, izmantojot paroli sakne vai 123456 .

Pārtrauciet un restartējiet Cowrie, izpildot tālāk norādītās komandas.

Tagad pārbaudiet mēģinājumu piekļūt, izmantojot ssh, izmantojot lietotājvārdu un paroli, kas iekļauta userdb.txt sarakstu.

Kā redzat, jūs piekļūsit viltus apvalkam. Un visas darbības, kas veiktas šajā apvalkā, var uzraudzīt no gurķu žurnāla, kā parādīts zemāk.

Kā redzat, Cowrie tika veiksmīgi īstenots. Jūs varat uzzināt vairāk par Cowrie vietnē https://github.com/cowrie/ .

Secinājums:

Honeypots ieviešana nav izplatīts drošības pasākums, taču, kā redzat, tas ir lielisks veids, kā uzlabot tīkla drošību. Honeypots ieviešana ir svarīga datu vākšanas sastāvdaļa, kuras mērķis ir uzlabot drošību, pārvēršot hakerus par līdzstrādniekiem, atklājot viņu darbību, paņēmienus, akreditācijas datus un mērķus. Tas ir arī milzīgs veids, kā hakeriem sniegt viltotu informāciju.

Ja jūs interesē Honeypots, iespējams, ka IDS (ielaušanās noteikšanas sistēmas) jums var būt interesantas; vietnē LinuxHint mums ir pāris interesantas apmācības par tām:

• Konfigurējiet Snort IDS un izveidojiet kārtulas
• Darba sākšana ar OSSEC (ielaušanās noteikšanas sistēma)

Es ceru, ka jums šis raksts par Honeypots un Honeynets bija noderīgs. Turpiniet sekot Linux padomam, lai iegūtu vairāk Linux padomu un pamācību.