Honeypots in Honeynets

Del dela varnostnih IT-strokovnjakov je spoznavanje vrst napadov ali tehnik, ki jih uporabljajo hekerji, z zbiranjem informacij za kasnejšo analizo, da se ocenijo značilnosti poskusov napada. Včasih se to zbiranje informacij izvaja z vabo ali z vabami, namenjenimi registriranju sumljivih dejavnosti potencialnih napadalcev, ki delujejo, ne da bi vedeli, da se njihova dejavnost spremlja. V IT varnosti se te vabe ali vabe imenujejo Honeypots.

Honeypot je lahko aplikacija, ki simulira tarčo, ki v resnici beleži aktivnost napadalcev. Več Honeypotov, ki simulirajo več povezanih storitev, naprav in aplikacij, so denominirane Honeynets.

Honeypots in Honeynets ne shranjujejo občutljivih informacij, temveč hranijo lažne privlačne informacije napadalcem, da bi jih zanimali Honeypots, Honeynets, z drugimi besedami, govorimo o hekerskih pastah, namenjenih učenju njihovih napadalnih tehnik.

Honeypots nam poročajo o dveh vrstah prednosti: najprej nam pomagajo pri učenju napadov, da kasneje pravilno zaščitimo svojo produkcijsko napravo ali omrežje. Drugič, s tem, da lončke, ki simulirajo ranljivosti, ob proizvodnih napravah ali omrežju, hekerjem preprečimo, da bi bili zaščiteni, saj bodo privlačnejši medi, ki simulirajo varnostne luknje, ki jih lahko izkoristijo.

Obstajajo različne vrste Honeypots:

Proizvodnja Honeypots:

Ta vrsta lončkov je nameščena v proizvodni mreži za zbiranje informacij o tehnikah, ki se uporabljajo za napade na sisteme v infrastrukturi.  Ta vrsta Honeypots ponuja široko paleto možnosti, od lokacije čepljike znotraj določenega omrežnega segmenta, da bi zaznala notranje poskuse zakonitih uporabnikov omrežja, da dostopajo do nedovoljenih ali prepovedanih virov do klona spletnega mesta ali storitve, ki je enak original kot vaba. Največja težava te vrste čevljev je omogočanje zlonamernega prometa med zakonitimi.

Razvojne vrečke:

Ta vrsta lukenj je namenjena zbiranju čim več informacij o trendih vdiranja, želenih tarčah napadalcev in izvoru napadov. Te informacije se pozneje analizirajo za postopek odločanja o izvajanju varnostnih ukrepov.

Glavna prednost te vrste čepljev je, da so v nasprotju s proizvodnimi lonci medeni lonci znotraj neodvisne mreže, namenjene raziskovanju, ta ranljivi sistem je ločen od proizvodnega okolja in preprečuje napad samega čeblja. Njegova glavna pomanjkljivost je količina virov, ki je potrebna za njegovo izvajanje.

Obstaja 3 podkategorija ali drugačna klasifikacija lončkov, ki jo določa interakcija z napadalci.

Honeypots z nizko interakcijo:

Honeypot posnema ranljivo storitev, aplikacijo ali sistem.  To je zelo enostavno nastaviti, vendar je pri zbiranju informacij omejeno, nekaj primerov tovrstnih čevljev je:

Medena past: namenjen je opazovanju napadov na omrežne storitve, v nasprotju z drugimi medeninami, ki se osredotočajo na zajemanje zlonamernih programov;.

Nephentes: posnema znane ranljivosti za zbiranje informacij o možnih napadih; zasnovan je za posnemanje ranljivosti, ki jih črvi širijo, nato pa Nephentes zajame njihovo kodo za poznejšo analizo.

HoneyC: identificira zlonamerne spletne strežnike znotraj omrežja tako, da posnema različne odjemalce in zbira odgovore strežnikov, ko odgovarja na zahteve.

HoneyD: je demon, ki znotraj omrežja ustvari navidezne gostitelje, ki jih je mogoče konfigurirati za izvajanje poljubnih storitev, ki simulirajo izvajanje v različnih OS.

Glastopf: posnema tisoče ranljivosti, namenjenih zbiranju informacij o napadih na spletne aplikacije. Enostaven je za namestitev in ko ga iskalniki indeksirajo, postane privlačna tarča hekerjev.

Medeni konektorji s srednje veliko interakcijo:

Te vrste lončkov so manj interaktivne kot prejšnje, ne da bi omogočile raven interakcije, ki jo omogočajo visoke lončke. Nekateri Honeypots te vrste so:

Kippo: to je ssh honeypot, ki se uporablja za beleženje napadov s silovito silo na sisteme unix in beleženje aktivnosti hekerja, če je bil dostop pridobljen. Ukinil ga je in ga nadomestil Cowrie.

Cowrie: še ena medenica ssh in telnet, ki beleži napade s silo in interakcijo lupine hekerjev. Posnema operacijski sistem Unix in deluje kot proxy za beleženje napadalčeve dejavnosti.

Sticky_elephant: gre za PostgreSQL medenko.

Sršen: Izboljšana različica honeypot-ose z lažnimi zahtevami za poverilnice, zasnovana za spletna mesta z javnim dostopom do strani za skrbnike, kot je / wp-admin za spletna mesta wordpress.

Honeypots z visoko interakcijo:

V tem scenariju Honeypots niso namenjeni zgolj zbiranju informacij, gre za aplikacijo, namenjeno interakciji z napadalci, medtem ko izčrpno registrira aktivnost interakcije, simulira cilj, ki lahko ponudi vse odgovore, ki jih napadalec lahko pričakuje, nekateri medeni tipi so:

Sebek: deluje kot HIDS (Host-based Intrusion Detection System), ki omogoča zajem informacij o sistemski dejavnosti. To je orodje strežnik-odjemalec, ki je sposobno razmestiti vtičnice na Linuxu, Unixu in Windowsu, ki zbirajo in pošiljajo zbrane podatke strežniku.

HoneyBow: je mogoče integrirati z lonci z nizko interakcijo za povečanje zbiranja informacij.

HI-HAT (orodje za analizo medu z visokimi interakcijami): pretvori datoteke php v visokokakovostne medene strežnike s spletnim vmesnikom, ki je na voljo za spremljanje informacij.

Zajem-HPC: podobno kot HoneyC, prepoznava zlonamerne strežnike tako, da z njimi sodeluje kot odjemalci z uporabo namenskega navideznega stroja in registrira nepooblaščene spremembe.

Če vas zanimajo Honeypots, vam je verjetno zanimiv IDS (Sistemi za zaznavanje vdorov), pri LinuxHint imamo o njih nekaj zanimivih vadnic:

• Konfigurirajte Snort IDS in ustvarite pravila
• Uvod v OSSEC (sistem za odkrivanje vdorov)

Upam, da vam je bil ta članek o Honeypots in Honeynets koristen. Še naprej sledite LinuxHint za več nasvetov in posodobitev o Linuxu in varnosti.