Del varnostnih IT -strokovnjakov je spoznavanje vrst napadov ali tehnik, ki jih uporabljajo hekerji, tako da zbirajo podatke za kasnejšo analizo, da ocenijo značilnosti poskusov napadov. Včasih se to zbiranje informacij izvede z vabami ali vabami, namenjenimi registraciji sumljive dejavnosti potencialnih napadalcev, ki delujejo, ne da bi vedeli, da se njihova dejavnost spremlja. V informacijski varnosti se te vabe ali vabe imenujejo Honeypots .
Kaj so medeni lonci in medeni mrežci:
TO Lonec medu morda aplikacija, ki simulira tarčo, ki je resnično beležitelj dejavnosti napadalcev. Imenovanih je več Honeypotov, ki simulirajo več storitev, naprav in aplikacij Medene mreže .
Honeypots in Honeynets ne shranjujejo občutljivih podatkov, ampak shranjujejo ponarejene privlačne podatke napadalcem, da bi jih zanimali za Honeypots; Honeynets, z drugimi besedami, govorijo o hekerskih pastih, namenjenih učenju njihovih napadnih tehnik.
Honeypots nam dajeta dve prednosti: prvič, pomagajo nam pri učenju napadov, da pravilno zaščitimo svojo proizvodno napravo ali omrežje. Drugič, ohranjamo medene posode, ki simulirajo ranljivosti poleg proizvodnih naprav ali omrežij, hekerjem odvračajo pozornost od zaščitenih naprav. Bolj privlačni bodo medeni lonci, ki simulirajo varnostne luknje, ki jih lahko izkoristijo.
Vrste medenih loncev:
Proizvodni medenici:
Ta vrsta medenjaka je nameščena v proizvodnem omrežju za zbiranje informacij o tehnikah, ki se uporabljajo za napad na sisteme v infrastrukturi. Ta vrsta medenjaka ponuja široko paleto možnosti, od lokacije medenjaka v določenem segmentu omrežja, da bi odkrili notranje poskuse zakonitih uporabnikov omrežja za dostop do nedovoljenih ali prepovedanih virov do klona spletnega mesta ali storitve, ki je enak izvirno kot vaba. Največja težava te vrste medenjaka je omogočanje zlonamernega prometa med zakonitimi.
Razvoj medenjakov:
Ta vrsta medenjaka je namenjena zbiranju več informacij o trendih hekanja, želenih tarčah napadalcev in izvoru napadov. Te informacije se kasneje analizirajo za postopek odločanja o izvajanju varnostnih ukrepov.
Glavna prednost te vrste lončkov je v nasprotju s proizvodnjo; razvoj loncev za mede se nahaja v neodvisni mreži, namenjeni raziskovanju; ta ranljiv sistem je ločen od proizvodnega okolja, kar preprečuje napad samega medenjaka. Njegova glavna pomanjkljivost je število sredstev, potrebnih za njegovo izvajanje.
Obstajajo 3 različne podkategorije ali vrste klasičnih medenin, opredeljene s stopnjo interakcije z napadalci.
Honeypots z nizko interakcijo:
Honeypot posnema ranljivo storitev, aplikacijo ali sistem. To je zelo enostavno nastaviti, vendar je pri zbiranju podatkov omejeno; Nekaj primerov te vrste medenjakov je:
- Medena past : zasnovan je za opazovanje napadov na omrežne storitve; V nasprotju z drugimi medenimi posodami, ki se osredotočajo na zajemanje zlonamerne programske opreme, je ta vrsta medenjakov namenjena zajemanju zlorab.
- Nephentes : posnema znane ranljivosti za zbiranje informacij o možnih napadih; zasnovan je tako, da posnema ranljivosti, ki jih črvi izkoriščajo, nato Nephentes zajame njihovo kodo za kasnejšo analizo.
- HoneyC : prepozna zlonamerne spletne strežnike v omrežju tako, da posnema različne odjemalce in zbira odzive strežnikov pri odgovarjanju na zahteve.
- HoneyD : je demon, ki ustvarja navidezne gostitelje v omrežju, ki jih je mogoče konfigurirati za izvajanje poljubnih storitev, ki simulirajo izvajanje v različnih operacijskih sistemih.
- Glastopf : posnema na tisoče ranljivosti, namenjenih zbiranju podatkov o napadih na spletne aplikacije. Enostavno ga je nastaviti in ga iskalniki enkrat indeksirajo; postane privlačna tarča hekerjev.
Medeni medenici za srednje interakcije:
V tem scenariju Honeypots niso zasnovani samo za zbiranje informacij; to je aplikacija, zasnovana za interakcijo z napadalci ob izčrpni registraciji interakcijske dejavnosti; simulira tarčo, ki lahko ponudi vse odgovore, ki jih napadalec lahko pričakuje; Nekateri tovrstni medenici so:
- Cowrie: Medeni ssh in telnet, ki beleži napade brutalne sile in interakcijo lupine hekerjev. Emulira sistem Unix in deluje kot posrednik za beleženje dejavnosti napadalca. Po tem razdelku najdete navodila za implementacijo Cowrie.
- Lepljiv_slon : to je PostgreSQL medenica.
- Sršen : Izboljšana različica honeypot-wasp s pozivom za ponarejene poverilnice, zasnovana za spletna mesta z prijavno stranjo za javni dostop za skrbnike, kot je /wp-admin za spletna mesta WordPress.
Medenice z visoko interakcijo:
V tem scenariju Honeypots niso zasnovani samo za zbiranje informacij; to je aplikacija, zasnovana za interakcijo z napadalci ob izčrpni registraciji interakcijske dejavnosti; simulira tarčo, ki lahko ponudi vse odgovore, ki jih napadalec lahko pričakuje; Nekateri tovrstni medenici so:
- Rane : deluje kot HIDS (Host-based Intrusion Detection System), ki omogoča zajemanje informacij o sistemski dejavnosti. To je strežniško-odjemalsko orodje, ki lahko uporabi Linux, Unix in Windows, ki zajame in pošlje zbrane podatke na strežnik.
- HoneyBow : se lahko poveže z nizkimi interakcijami, da poveča zbiranje informacij.
- HI-HAT (komplet orodij za analizo medenjakov z visoko interakcijo) : pretvori datoteke PHP v medenine z visoko interakcijo s spletnim vmesnikom, ki je na voljo za spremljanje informacij.
- Capture-HPC : podobno kot HoneyC, prepozna zlonamerne strežnike z interakcijo s odjemalci z uporabo namenskega navideznega stroja in registracijo nepooblaščenih sprememb.
Spodaj lahko najdete praktičen primer medenjaka s srednjo interakcijo.
Uvajanje Cowrieja za zbiranje podatkov o napadih SSH:
Kot je bilo že povedano, je Cowrie medenica, ki se uporablja za beleženje informacij o napadih na storitev ssh. Cowrie simulira ranljiv strežnik ssh, ki vsakemu napadalcu omogoča dostop do ponarejenega terminala, pri čemer simulira uspešen napad med snemanjem napadalčeve dejavnosti.
Da bi Cowrie simuliral ponarejen ranljiv strežnik, ga moramo dodeliti v vrata 22. Tako moramo z urejanjem datoteke spremeniti naša prava vrata ssh /etc/ssh/sshd_config kot je prikazano spodaj.
sudo nano /itd/ssh/sshd_configUredite vrstico in jo spremenite za vrata med 49152 in 65535.
Pristanišče22 
Znova zaženite in preverite, ali storitev deluje pravilno:
sudoponovni zagon systemctlsshsudostatus systemctlssh
Namestite vso potrebno programsko opremo za naslednje korake v distribucijah Linuxa, ki temeljijo na Debianu:
sudoaptnamestite -inpython-virtualenv libssl-dev libffi-dev build-bistven libpython3-dev python3-minimalna authbindpojdi 
Dodajte uporabnika, ki ni privilegiran, imenovan cowrie, tako da zaženete spodnji ukaz.
sudoadduser-geslo onemogočenocowrie 
V distribucijah Linuxa, ki temeljijo na Debianu, namestite authbind z naslednjim ukazom:
sudoaptnamestiteauthbindZaženite spodnji ukaz.
sudo dotik /itd/authbind/byport/22Lastništvo spremenite tako, da zaženete spodnji ukaz.
sudo chowncowrie: kavri/itd/authbind/byport/22Spremenite dovoljenja:
sudo chmod 770 /itd/authbind/byport/22 
Prijavite se kot cowrie
sudo svojecowriePojdite v domači imenik cowrie.
CD~Prenesite cowrie honeypot z uporabo gita, kot je prikazano spodaj.
git klonhttps://github.com/micheloosterhof/cowriePremakni se v imenik cowrie.
CDcowrie/ 
Ustvarite novo konfiguracijsko datoteko na podlagi privzete, tako da jo kopirate iz datoteke /etc/cowrie.cfg.dist na cowrie.cfg z izvajanjem spodnjega ukaza v imeniku cowrie/
cpitd/cowrie.cfg.dist itd/cowrie.cfg 
Uredite ustvarjeno datoteko:
nanoitd/cowrie.cfgPoiščite spodnjo vrstico.
listen_endpoints = tcp:2222:vmesnik= 0,0,0,0Uredite vrstico in vrata 2222 zamenjajte z 22, kot je prikazano spodaj.
listen_endpoints = tcp:22:vmesnik= 0,0,0,0 
Shranite in zapustite nano.
Če želite ustvariti okolje python, zaženite spodnji ukaz:
virtualenv cowrie-env 
Omogočite virtualno okolje.
vircowrie-env/sem/aktivirati 
Posodobite pip tako, da zaženete naslednji ukaz.
pipnamestite --nadgradnjapip 
Namestite vse zahteve tako, da zaženete naslednji ukaz.
pipnamestite -nadgraditeljrequirements.txt 
Zaženite cowrie z naslednjim ukazom:
sem/cowrie začetek 
S tekom preverite, ali medeni posluša.
netstat -torej 
Zdaj bodo poskusi prijave na vrata 22 zabeleženi v datoteki var/log/cowrie/cowrie.log v imeniku cowrie.
Kot smo že povedali, lahko s pomočjo Honeypota ustvarite ponarejeno ranljivo lupino. Cowries vsebuje datoteko, v kateri lahko določite dovoljen dostop do lupine. To je seznam uporabniških imen in gesel, prek katerih lahko heker dostopa do lažne lupine.
Oblika seznama je prikazana na spodnji sliki:
Privzeti seznam cowrie lahko za namene testiranja preimenujete tako, da zaženete spodnji ukaz iz imenika cowries. S tem se bodo uporabniki lahko prijavili kot root z geslom koren ali 123456 .
mvitd/userdb.example itd/userdb.txt 
Ustavite in znova zaženite Cowrie z izvajanjem spodnjih ukazov:
sem/cowrie stopsem/cowrie začetek
Zdaj poskusite dostopati prek ssh z uporabniškim imenom in geslom, ki sta vključena v datoteko userdb.txt seznam.
Kot lahko vidite, boste dostopali do ponarejene lupine. Vse dejavnosti v tej lupini je mogoče spremljati iz dnevnika cowrie, kot je prikazano spodaj.
Kot lahko vidite, je bil Cowrie uspešno izveden. Več o Cowrieju lahko izveste na https://github.com/cowrie/ .
Zaključek:
Izvajanje Honeypots ni običajen varnostni ukrep, vendar je, kot vidite, odličen način za krepitev varnosti omrežja. Izvajanje Honeypots je pomemben del zbiranja podatkov, katerega cilj je izboljšati varnost, hekerje pa spremeniti v sodelavce z razkritjem njihovih dejavnosti, tehnik, poverilnic in ciljev. To je tudi grozen način posredovanja lažnih informacij hekerjem.
Če vas zanimajo Honeypots, so vam verjetno zanimivi IDS (Intrusion Detection Systems); v LinuxHintu imamo o njih nekaj zanimivih vaj:
- Konfigurirajte Snort IDS in ustvarite pravila
- Uvod v OSSEC (sistem za odkrivanje vdorov)
Upam, da vam je bil ta članek o Honeypots in Honeynets koristen. Sledite Linux Namigom za več nasvetov in vaj o Linuxu.