Μέρος της εργασίας των ειδικών στον τομέα της ασφάλειας πληροφορικής είναι να μάθουν για τους τύπους επιθέσεων ή τεχνικές που χρησιμοποιούνται από τους χάκερ, συλλέγοντας πληροφορίες για μεταγενέστερη ανάλυση για την αξιολόγηση των χαρακτηριστικών των προσπαθειών επίθεσης. Μερικές φορές αυτή η συλλογή πληροφοριών γίνεται μέσω δολώματος ή δόλων που έχουν σχεδιαστεί για να καταγράφουν την ύποπτη δραστηριότητα πιθανών επιτιθέμενων που ενεργούν χωρίς να γνωρίζουν ότι η δραστηριότητά τους παρακολουθείται. Στην ασφάλεια πληροφορικής, αυτά τα δολώματα ή τα πακέτα ονομάζονται Honeypots Το
Τι είναι τα honeypots και τα honeynets:
ΠΡΟΣ ΤΟ δοχείο μελιού μπορεί να είναι μια εφαρμογή που προσομοιώνει έναν στόχο που είναι πραγματικά καταγραφέας της δραστηριότητας των επιτιθέμενων. Πολλαπλά Honeypots που προσομοιώνουν πολλαπλές υπηρεσίες, συσκευές και εφαρμογές εκφράζονται Honeynets Το
Τα Honeypots και τα Honeynets δεν αποθηκεύουν ευαίσθητες πληροφορίες αλλά αποθηκεύουν ψεύτικες ελκυστικές πληροφορίες στους επιτιθέμενους για να τους ενδιαφέρουν για τα Honeypots. Τα Honeynets, με άλλα λόγια, μιλούν για παγίδες χάκερ που έχουν σχεδιαστεί για να μάθουν τις τεχνικές επίθεσής τους.
Τα Honeypots μας δίνουν δύο οφέλη: πρώτον, μας βοηθούν να μάθουμε επιθέσεις για να ασφαλίσουμε τη συσκευή παραγωγής ή το δίκτυό μας σωστά. Δεύτερον, διατηρώντας τα honeypots που προσομοιώνουν τρωτά σημεία δίπλα σε συσκευές ή δίκτυα παραγωγής, κρατάμε την προσοχή των χάκερ μακριά από ασφαλείς συσκευές. Θα βρουν πιο ελκυστικά τα δοχεία μελιού που προσομοιώνουν τρύπες ασφαλείας που μπορούν να εκμεταλλευτούν.
Τύποι Honeypot:
Παραγωγή Honeypots:
Αυτός ο τύπος honeypot είναι εγκατεστημένος σε ένα δίκτυο παραγωγής για τη συλλογή πληροφοριών σχετικά με τις τεχνικές που χρησιμοποιούνται για την επίθεση συστημάτων εντός της υποδομής. Αυτός ο τύπος honeypot προσφέρει μια μεγάλη ποικιλία δυνατοτήτων, από τη θέση του honeypot εντός συγκεκριμένου τμήματος δικτύου, προκειμένου να εντοπιστούν εσωτερικές προσπάθειες νόμιμων χρηστών του δικτύου για πρόσβαση σε μη επιτρεπόμενους ή απαγορευμένους πόρους σε κλώνο ιστότοπου ή υπηρεσίας, πανομοιότυπες με πρωτότυπο ως δόλωμα. Το μεγαλύτερο ζήτημα αυτού του τύπου honeypot είναι να επιτρέπει κακόβουλη κίνηση μεταξύ νόμιμων.
Αναπτυξιακές κυψέλες:
Αυτός ο τύπος honeypot έχει σχεδιαστεί για να συλλέγει περισσότερες πληροφορίες σχετικά με τις τάσεις του hacking, τους επιθυμητούς στόχους από τους επιτιθέμενους και την προέλευση των επιθέσεων. Αυτές οι πληροφορίες αναλύονται αργότερα για τη διαδικασία λήψης αποφάσεων σχετικά με την εφαρμογή μέτρων ασφαλείας.
Το κύριο πλεονέκτημα αυτού του είδους οι γλάστρες είναι, σε αντίθεση με την παραγωγή. ανάπτυξη Honeypot Honeypots βρίσκονται σε ένα ανεξάρτητο δίκτυο αφιερωμένο στην έρευνα. αυτό το ευάλωτο σύστημα διαχωρίζεται από το περιβάλλον παραγωγής εμποδίζοντας μια επίθεση από την ίδια τη γλάστρα. Το κύριο μειονέκτημά του είναι ο αριθμός των απαραίτητων πόρων για την εφαρμογή του.
Υπάρχουν 3 διαφορετικές υποκατηγορίες honeypot ή τύποι ταξινόμησης που καθορίζονται από το επίπεδο αλληλεπίδρασης που έχει με τους επιτιθέμενους.
Χαμηλή αλληλεπίδραση Honeypots:
Ένα Honeypot μιμείται μια ευάλωτη υπηρεσία, εφαρμογή ή σύστημα. Αυτό είναι πολύ εύκολο να ρυθμιστεί αλλά περιορίζεται κατά τη συλλογή πληροφοριών. Μερικά παραδείγματα αυτού του τύπου honeypots είναι:
- Honeytrap : έχει σχεδιαστεί για να παρατηρεί επιθέσεις κατά υπηρεσιών δικτύου. σε αντίθεση με άλλα honeypots, τα οποία επικεντρώνονται στην καταγραφή κακόβουλου λογισμικού, αυτός ο τύπος honeypot έχει σχεδιαστεί για να συλλαμβάνει εκμεταλλεύσεις.
- Νεφέντες : μιμείται τις γνωστές ευπάθειες προκειμένου να συλλέξει πληροφορίες σχετικά με πιθανές επιθέσεις. έχει σχεδιαστεί για να μιμηθεί τα τρωτά σημεία που εκμεταλλεύεται το worms για να διαδώσει και στη συνέχεια ο Nephentes καταγράφει τον κώδικά τους για μεταγενέστερη ανάλυση.
- HoneyC : αναγνωρίζει κακόβουλους διακομιστές ιστού εντός της δικτύωσης, εξομοιώνοντας διαφορετικούς πελάτες και συλλέγοντας απαντήσεις διακομιστή κατά την απάντηση σε αιτήματα.
- HoneyD : είναι ένας δαίμονας που δημιουργεί εικονικούς κεντρικούς υπολογιστές μέσα σε ένα δίκτυο που μπορούν να ρυθμιστούν ώστε να εκτελούν αυθαίρετες υπηρεσίες που προσομοιώνουν την εκτέλεση σε διαφορετικά λειτουργικά συστήματα.
- Glastopf : προσομοιώνει χιλιάδες τρωτά σημεία που έχουν σχεδιαστεί για τη συλλογή πληροφοριών επίθεσης κατά εφαρμογών ιστού. Είναι εύκολο να ρυθμιστεί και μόλις καταχωρηθεί από τις μηχανές αναζήτησης. γίνεται ελκυστικός στόχος για τους χάκερ.
Honeypots μεσαίας αλληλεπίδρασης:
Σε αυτό το σενάριο, τα Honeypots δεν έχουν σχεδιαστεί για να συλλέγουν μόνο πληροφορίες. είναι μια εφαρμογή που έχει σχεδιαστεί για να αλληλεπιδρά με τους επιτιθέμενους ενώ καταγράφει εξαντλητικά τη δραστηριότητα αλληλεπίδρασης. προσομοιώνει έναν στόχο ικανό να προσφέρει όλες τις απαντήσεις που μπορεί να περιμένει ο εισβολέας. Μερικά honeypots αυτού του τύπου είναι:
- Cowrie: Ένα ssh και telnet honeypot που καταγράφει επιθέσεις βίαιης δύναμης και αλληλεπίδραση κέλυφος χάκερ. Μιμείται ένα λειτουργικό σύστημα Unix και λειτουργεί ως διακομιστής μεσολάβησης για την καταγραφή της δραστηριότητας του εισβολέα. Μετά από αυτήν την ενότητα, μπορείτε να βρείτε οδηγίες για την εφαρμογή του Cowrie.
- Sticky_elephant : είναι ένα Honeypot PostgreSQL.
- Σφήκα : Μια βελτιωμένη έκδοση του honeypot-wasp με ψεύτικα διαπιστευτήρια που έχει σχεδιαστεί για ιστότοπους με δημόσια σελίδα σύνδεσης για διαχειριστές όπως το /wp-admin για ιστότοπους WordPress.
Honeypots υψηλής αλληλεπίδρασης:
Σε αυτό το σενάριο, τα Honeypots δεν έχουν σχεδιαστεί για να συλλέγουν μόνο πληροφορίες. είναι μια εφαρμογή που έχει σχεδιαστεί για να αλληλεπιδρά με τους επιτιθέμενους ενώ καταγράφει εξαντλητικά τη δραστηριότητα αλληλεπίδρασης. προσομοιώνει έναν στόχο ικανό να προσφέρει όλες τις απαντήσεις που μπορεί να περιμένει ο εισβολέας. Μερικά honeypots αυτού του τύπου είναι:
- Πληγές : λειτουργεί ως HIDS (Σύστημα ανίχνευσης εισβολής βασισμένου σε κεντρικό υπολογιστή), επιτρέποντας τη λήψη πληροφοριών για τη δραστηριότητα του συστήματος. Αυτό είναι ένα εργαλείο διακομιστή-πελάτη ικανό να αναπτύσσει honeypots σε Linux, Unix και Windows που συλλαμβάνουν και στέλνουν τις συλλεγμένες πληροφορίες στον διακομιστή.
- HoneyBow : μπορεί να ενσωματωθεί με χαμηλής αλληλεπίδρασης honeypots για αύξηση της συλλογής πληροφοριών.
- HI-HAT (Εργαλειοθήκη ανάλυσης Honeypot High Interaction) : μετατρέπει αρχεία PHP σε honeypots υψηλής αλληλεπίδρασης με μια διεπαφή ιστού διαθέσιμη για την παρακολούθηση των πληροφοριών.
- Λήψη-HPC : παρόμοιο με το HoneyC, εντοπίζει κακόβουλους διακομιστές αλληλεπιδρώντας με πελάτες χρησιμοποιώντας ειδική εικονική μηχανή και καταγράφοντας μη εξουσιοδοτημένες αλλαγές.
Παρακάτω μπορείτε να βρείτε ένα πρακτικό παράδειγμα μέσης αλληλεπίδρασης honeypot.
Αποστολή Cowrie για τη συλλογή δεδομένων σχετικά με επιθέσεις SSH:
Όπως αναφέρθηκε προηγουμένως, το Cowrie είναι ένα honeypot που χρησιμοποιείται για την καταγραφή πληροφοριών σχετικά με επιθέσεις που στοχεύουν στην υπηρεσία ssh. Ο Cowrie προσομοιώνει έναν ευάλωτο διακομιστή ssh που επιτρέπει σε κάθε εισβολέα να έχει πρόσβαση σε ένα ψεύτικο τερματικό, προσομοιώνοντας μια επιτυχημένη επίθεση κατά την καταγραφή της δραστηριότητας του εισβολέα.
Για να προσομοιώσει ο Cowrie έναν ψεύτικο ευάλωτο διακομιστή, πρέπει να τον αντιστοιχίσουμε στη θύρα 22. Επομένως, πρέπει να αλλάξουμε την πραγματική θύρα ssh επεξεργάζοντας το αρχείο /etc/ssh/sshd_config όπως φαίνεται παρακάτω.
sudo νανο /και τα λοιπά/ssh/sshd_configΕπεξεργαστείτε τη γραμμή και αλλάξτε την για μια θύρα μεταξύ 49152 και 65535.
Λιμάνι22 
Επανεκκινήστε και ελέγξτε ότι η υπηρεσία λειτουργεί σωστά:
sudoεπανεκκίνηση systemctlsshsudosystemctl κατάστασηssh
Εγκαταστήστε όλο το απαραίτητο λογισμικό για τα επόμενα βήματα, σε διανομές Linux βασισμένες σε Debian:
sudoκατάλληλοςεγκαθιστώ -καιpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindπηγαίνω 
Προσθέστε έναν μη προνομιούχο χρήστη που ονομάζεται cowrie εκτελώντας την παρακάτω εντολή.
sudoπρόσθεσε χρήστη-απενεργοποιημένος κωδικός πρόσβασηςκαουρι 
Σε διανομές Linux που βασίζονται σε Debian, εγκαταστήστε το authbind εκτελώντας την ακόλουθη εντολή:
sudoκατάλληλοςεγκαθιστώautorbindΕκτελέστε την παρακάτω εντολή.
sudo αφή /και τα λοιπά/autorbind/byport/22Αλλάξτε την ιδιοκτησία εκτελώντας την παρακάτω εντολή.
sudo chownκαουρί: καουρί/και τα λοιπά/autorbind/byport/22Αλλαγή δικαιωμάτων:
sudo chmod 770 /και τα λοιπά/autorbind/byport/22 
Συνδεθείτε ως καουρι
sudo τουκαουριΜεταβείτε στον αρχικό κατάλογο του cowrie.
CD~Κατεβάστε το honeypot καουρί χρησιμοποιώντας το git όπως φαίνεται παρακάτω.
git κλώνοςhttps://github.com/micheloosterhof/καουριΜετακινηθείτε στον κατάλογο cowrie.
CDκαουρι/ 
Δημιουργήστε ένα νέο αρχείο διαμόρφωσης με βάση το προεπιλεγμένο, αντιγράφοντάς το από το αρχείο /etc/cowrie.cfg.dist στο cowrie.cfg εκτελώντας την παρακάτω εντολή στον κατάλογο του cowrie/
cpκαι τα λοιπά/cowrie.cfg.dist κλπ/cowrie.cfg 
Επεξεργαστείτε το δημιουργημένο αρχείο:
νανοκαι τα λοιπά/cowrie.cfgΒρείτε την παρακάτω γραμμή.
listen_endpoints = tcp:2222:διεπαφή= 0,0,0,0Επεξεργαστείτε τη γραμμή, αντικαθιστώντας τη θύρα 2222 με 22 όπως φαίνεται παρακάτω.
listen_endpoints = tcp:22:διεπαφή= 0,0,0,0 
Αποθήκευση και έξοδος nano.
Εκτελέστε την παρακάτω εντολή για να δημιουργήσετε ένα περιβάλλον python:
virtualenv cowrie-env 
Ενεργοποιήστε ένα εικονικό περιβάλλον.
πηγήcowrie-env/είμαι/θέτω εις ενέργειαν 
Ενημερώστε το pip εκτελώντας την ακόλουθη εντολή.
κουκούτσιεγκαθιστώ --αναβαθμίζωκουκούτσι 
Εγκαταστήστε όλες τις απαιτήσεις εκτελώντας την ακόλουθη εντολή.
κουκούτσιεγκαθιστώ --αφοίτηςαπαιτήσεις.txt 
Εκτελέστε το cowrie με την ακόλουθη εντολή:
είμαι/έναρξη καουρί 
Ελέγξτε ότι το honeypot ακούει τρέχοντας.
netstat -Έτσι 
Τώρα οι προσπάθειες σύνδεσης στη θύρα 22 θα καταγραφούν στο αρχείο var/log/cowrie/cowrie.log στον κατάλογο του cowrie.
Όπως προαναφέρθηκε, μπορείτε να χρησιμοποιήσετε το Honeypot για να δημιουργήσετε ένα ψεύτικο ευάλωτο κέλυφος. Τα Cowries περιλαμβάνουν ένα αρχείο στο οποίο μπορείτε να ορίσετε τους επιτρεπόμενους χρήστες να έχουν πρόσβαση στο κέλυφος. Αυτή είναι μια λίστα με ονόματα χρήστη και κωδικούς πρόσβασης μέσω των οποίων ένας χάκερ μπορεί να έχει πρόσβαση στο ψεύτικο κέλυφος.
Η μορφή της λίστας εμφανίζεται στην παρακάτω εικόνα:
Μπορείτε να μετονομάσετε την προεπιλεγμένη λίστα cowrie για σκοπούς δοκιμής εκτελώντας την παρακάτω εντολή από τον κατάλογο cowries. Με αυτόν τον τρόπο, οι χρήστες θα μπορούν να συνδεθούν ως root χρησιμοποιώντας τον κωδικό πρόσβασης ρίζα ή 123456 Το
mvκαι τα λοιπά/userdb.example κλπ/userdb.txt 
Σταματήστε και επανεκκινήστε το Cowrie εκτελώντας τις παρακάτω εντολές:
είμαι/στάση καουρίείμαι/έναρξη καουρί
Τώρα δοκιμάστε την προσπάθεια πρόσβασης μέσω ssh χρησιμοποιώντας ένα όνομα χρήστη και κωδικό πρόσβασης που περιλαμβάνονται στο userdb.txt λίστα.
Όπως μπορείτε να δείτε, θα έχετε πρόσβαση σε ένα ψεύτικο κέλυφος. Και όλες οι δραστηριότητες που γίνονται σε αυτό το κέλυφος μπορούν να παρακολουθούνται από το αρχείο καταγραφής cowrie, όπως φαίνεται παρακάτω.
Όπως μπορείτε να δείτε, η Cowrie εφαρμόστηκε με επιτυχία. Μπορείτε να μάθετε περισσότερα για το Cowrie στη διεύθυνση https://github.com/cowrie/ Το
Συμπέρασμα:
Η εφαρμογή Honeypots δεν είναι ένα κοινό μέτρο ασφαλείας, αλλά όπως μπορείτε να δείτε, είναι ένας πολύ καλός τρόπος για να ενισχύσετε την ασφάλεια του δικτύου. Η εφαρμογή των Honeypots είναι ένα σημαντικό μέρος της συλλογής δεδομένων που αποσκοπεί στη βελτίωση της ασφάλειας, μετατρέποντας τους χάκερ σε συνεργάτες αποκαλύπτοντας τη δραστηριότητα, τις τεχνικές, τα διαπιστευτήρια και τους στόχους τους. Είναι επίσης ένας τρομερός τρόπος παροχής ψευδών πληροφοριών σε χάκερ.
Εάν ενδιαφέρεστε για τα Honeypots, πιθανόν το IDS (Intrusion Detection Systems) να σας ενδιαφέρει. στο LinuxHint, έχουμε μερικά ενδιαφέροντα σεμινάρια σχετικά με αυτά:
- Διαμορφώστε το Snort IDS και δημιουργήστε κανόνες
- Ξεκινώντας με το OSSEC (Σύστημα ανίχνευσης εισβολής)
Ελπίζω να βρήκατε χρήσιμο αυτό το άρθρο για το Honeypots και το Honeynets. Συνεχίστε να ακολουθείτε το Linux Hint για περισσότερες συμβουλές και σεμινάρια Linux.