Honeypots og Honeynets

Honeypots Honeynets



Denne opplæringen forklarer hva honeypots og honeynets er og hvordan de fungerer, inkludert et praktisk implementeringseksempel.

En del av arbeidet til sikkerhets -IT -spesialister er å lære om angrepstyper eller teknikker som brukes av hackere ved å samle informasjon for senere analyse for å evaluere angrepsforsøkets egenskaper. Noen ganger gjøres denne innsamlingen av informasjon gjennom agn eller lokkeduer designet for å registrere den mistenkelige aktiviteten til potensielle angripere som handler uten å vite at deres aktivitet blir overvåket. I IT -sikkerhet kalles disse agnene eller lokkefuglene Honeypots .





Hva er honninggryter og honeynets:

TIL honningkrukke kan være et program som simulerer et mål som virkelig er en opptaker av angripernes aktivitet. Flere honninggryter som simulerer flere tjenester, enheter og applikasjoner er denominert Honeynets .



Honeypots og Honeynets lagrer ikke sensitiv informasjon, men lagrer falsk attraktiv informasjon til angripere for å få dem interessert i Honeypots; Honeynets snakker med andre ord om hackerfeller designet for å lære angrepsteknikkene deres.



Honeypots gir oss to fordeler: For det første hjelper de oss med å lære angrep for å sikre produksjonsenheten eller nettverket vårt på riktig måte. For det andre, ved å holde honeypots simulere sårbarheter ved siden av produksjonsenheter eller nettverk, holder vi hackernes oppmerksomhet utenfor sikrede enheter. De vil finne mer attraktive honninggryter som simulerer sikkerhetshull de kan utnytte.



Honeypot typer:

Produksjon honninggryter:
Denne typen honninggryter er installert i et produksjonsnettverk for å samle informasjon om teknikker som brukes til å angripe systemer i infrastrukturen. Denne typen honeypot tilbyr et bredt spekter av muligheter, fra honninggrytets plassering i et bestemt nettverkssegment for å oppdage interne forsøk fra legitime brukere av nettverk for å få tilgang til u tillatte eller forbudte ressurser til en klon av et nettsted eller en tjeneste, identisk med original som agn. Det største problemet med denne typen honeypot er å tillate ondsinnet trafikk mellom legitime.

Utviklings honninggryter:
Denne typen honninggryte er designet for å samle mer informasjon om hackingstrender, ønskede mål av angripere og angrepets opprinnelse. Denne informasjonen blir senere analysert for beslutningsprosessen om implementering av sikkerhetstiltak.
Hovedfordelen med denne typen honninggryter er, i motsetning til produksjonen; utvikling av honeypots honeypots er lokalisert i et uavhengig nettverk dedikert til forskning; dette sårbare systemet er atskilt fra produksjonsmiljøet og forhindrer et angrep fra selve honningkrukken. Den største ulempen er antall ressurser som er nødvendige for å implementere den.



Det er 3 forskjellige honningkrukke -underkategorier eller klassifiseringstyper definert av samhandlingsnivået den har med angripere.

Honeypots med lav interaksjon:

En Honeypot emulerer en sårbar tjeneste, app eller system. Dette er veldig enkelt å sette opp, men begrenset når du samler informasjon; noen eksempler på denne typen honninggryter er:

  • Honeytrap : den er designet for å observere angrep mot nettverkstjenester; i motsetning til andre honeypots, som fokuserer på å fange skadelig programvare, er denne typen honeypot designet for å fange bedrifter.
  • Nephentes : etterligner kjente sårbarheter for å samle informasjon om mulige angrep; den er designet for å etterligne sårbarheter som ormer utnytter for å spre seg, og deretter fanger Nephentes koden for senere analyse.
  • HoneyC : identifiserer ondsinnede webservere i nettverket ved å etterligne forskjellige klienter og samle serverresponser når de svarer på forespørsler.
  • HoneyD : er en demon som lager virtuelle verter i et nettverk som kan konfigureres til å kjøre vilkårlige tjenester som simulerer utførelse i forskjellige operativsystemer.
  • Glastopf : emulerer tusenvis av sårbarheter designet for å samle angrepsinformasjon mot webapplikasjoner. Den er enkel å sette opp, og en gang indeksert av søkemotorer; det blir et attraktivt mål for hackere.

Medium interaksjon honninggryter:

I dette scenariet er Honeypots ikke bare designet for å samle informasjon; det er en applikasjon designet for å samhandle med angripere mens du uttømmende registrerer interaksjonsaktiviteten; den simulerer et mål som er i stand til å tilby alle svarene angriperen kan forvente; noen honninggryter av denne typen er:

  • Cowrie: En ssh- og telnet -honninggryte som logger brute force -angrep og hackere skjeller interaksjon. Den emulerer et Unix OS og fungerer som en proxy for å logge angriperens aktivitet. Etter denne delen kan du finne instruksjoner for implementering av Cowrie.
  • Sticky_elephant : det er en PostgreSQL -honninggryte.
  • Hornet : En forbedret versjon av honeypot-wasp med forespørsler om falske legitimasjoner designet for nettsteder med påloggingsside for offentlig tilgang for administratorer som /wp-admin for WordPress-nettsteder.

Honeypots med høy interaksjon:

I dette scenariet er Honeypots ikke bare designet for å samle informasjon; det er en applikasjon designet for å samhandle med angripere mens du uttømmende registrerer interaksjonsaktiviteten; den simulerer et mål som er i stand til å tilby alle svarene angriperen kan forvente; noen honninggryter av denne typen er:

  • Sår : fungerer som et HIDS (Host-based Intrusion Detection System), som gjør det mulig å fange informasjon om systemaktivitet. Dette er et server-klientverktøy som kan distribuere honeypots på Linux, Unix og Windows som fanger og sender den innsamlede informasjonen til serveren.
  • HoneyBow : kan integreres med honninggryter med lav interaksjon for å øke informasjonsinnsamlingen.
  • HI-HAT (verktøysett for analyse av honninggryter med høy interaksjon) : konverterer PHP -filer til honninggryter med høy interaksjon med et webgrensesnitt tilgjengelig for å overvåke informasjonen.
  • Capture-HPC : ligner på HoneyC, identifiserer ondsinnede servere ved å samhandle med klienter som bruker en dedikert virtuell maskin og registrere uautoriserte endringer.

Nedenfor finner du et praktisk eksempel på honningkanne med middels interaksjon.

Distribuerer Cowrie for å samle inn data om SSH -angrep:

Som sagt tidligere, er Cowrie en honningkrukke som brukes til å registrere informasjon om angrep rettet mot ssh -tjenesten. Cowrie simulerer en sårbar ssh -server som lar enhver angriper få tilgang til en falsk terminal, og simulerer et vellykket angrep mens han registrerer angriperens aktivitet.

For at Cowrie skal kunne simulere en falsk sårbar server, må vi tilordne den til port 22. Dermed må vi endre vår virkelige ssh -port ved å redigere filen /etc/ssh/sshd_config som vist under.

sudo nano /etc/ssh/sshd_config

Rediger linjen, og endre den for en port mellom 49152 og 65535.

Havn22

Start på nytt og kontroller at tjenesten fungerer som den skal:

sudosystemctl starter på nyttssh
sudosystemctl statusssh

Installer all nødvendig programvare for neste trinn, på Debian -baserte Linux -distribusjoner:

sudopassendeinstallere -ogpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind

Legg til en uprivilegert bruker kalt cowrie ved å kjøre kommandoen nedenfor.

sudoadduser-deaktivert passordcowrie

På Debian -baserte Linux -distribusjoner kan du installere authbind ved å kjøre følgende kommando:

sudopassendeinstallereauthorbind

Kjør kommandoen nedenfor.

sudo ta på /etc/authorbind/byport/22

Endre eierskap ved å kjøre kommandoen nedenfor.

sudo chowncowrie: cowrie/etc/authorbind/byport/22

Endre tillatelser:

sudo chmod 770 /etc/authorbind/byport/22

Logg inn som cowrie

sudo det ercowrie

Gå inn i cowries hjemmekatalog.

CD~

Last ned cowrie honeypot ved hjelp av git som vist nedenfor.

git klonhttps://github.com/micheloosterhof/cowrie

Gå inn i cowrie -katalogen.

CDcowrie/

Lag en ny konfigurasjonsfil basert på standardfilen ved å kopiere den fra filen /etc/cowrie.cfg.dist til cowrie.cfg ved å kjøre kommandoen vist nedenfor i cowrie's directory/

cpetc/cowrie.cfg.dist osv/cowrie.cfg

Rediger den opprettede filen:

nanoetc/cowrie.cfg

Finn linjen nedenfor.

listen_endpoints = tcp:2222:grensesnitt= 0.0.0.0

Rediger linjen, erstatt port 2222 med 22 som vist nedenfor.

listen_endpoints = tcp:22:grensesnitt= 0.0.0.0

Lagre og avslutt nano.

Kjør kommandoen nedenfor for å lage et python -miljø:

virtualenv cowrie-env

Aktiver et virtuelt miljø.

kildecowrie-env/er/aktivere

Oppdater pip ved å kjøre følgende kommando.

pipinstallere --Oppgraderingpip

Installer alle kravene ved å kjøre følgende kommando.

pipinstallere -oppgradererkrav.txt

Kjør cowrie med følgende kommando:

er/cowrie start

Kontroller at honninggryta lytter ved å løpe.

netstat -så

Nå vil påloggingsforsøk til port 22 logges i filen var/log/cowrie/cowrie.log i cowrie -katalogen.

Som sagt tidligere, kan du bruke Honeypot til å lage et falsk sårbart skall. Cowries inneholder en fil der du kan definere tillatte brukere å få tilgang til skallet. Dette er en liste over brukernavn og passord der en hacker kan få tilgang til det falske skallet.

Listeformatet vises på bildet nedenfor:

Du kan gi nytt navn til cowrie -standardlisten for testformål ved å kjøre kommandoen nedenfor fra cowries -katalogen. Ved å gjøre det, vil brukerne kunne logge på som root ved å bruke passord rot eller 123456 .

mvetc/userdb. eksempel osv/userdb.txt

Stopp og start Cowrie på nytt ved å kjøre kommandoene nedenfor:

er/cowrie stopp
er/cowrie start

Test nå å prøve å få tilgang via ssh ved å bruke et brukernavn og passord som er inkludert i userdb.txt liste.

Som du kan se, får du tilgang til et falskt skall. Og all aktivitet utført i dette skallet kan overvåkes fra cowrie -loggen, som vist nedenfor.

Som du kan se, ble Cowrie implementert. Du kan lære mer om Cowrie på https://github.com/cowrie/ .

Konklusjon:

Honeypots -implementering er ikke et vanlig sikkerhetstiltak, men som du kan se, er det en fin måte å forsterke nettverkssikkerheten på. Implementering av Honeypots er en viktig del av datainnsamlingen med sikte på å forbedre sikkerheten, gjøre hackere til samarbeidspartnere ved å avsløre deres aktivitet, teknikker, legitimasjon og mål. Det er også en formidabel måte å gi hackere falsk informasjon.

Hvis du er interessert i Honeypots, kan sannsynligvis IDS (Intrusion Detection Systems) være interessant for deg; på LinuxHint har vi et par interessante opplæringsprogrammer om dem:

  • Konfigurer Snort IDS og opprett regler
  • Komme i gang med OSSEC (Intrusion Detection System)

Jeg håper du fant denne artikkelen om Honeypots and Honeynets nyttig. Følg Linux Hint for flere Linux -tips og opplæringsprogrammer.

Annen

Kategori

Populære Innlegg

(Løst) USB-porter fungerer ikke i Windows 10

Legge til sidetall i MS Word

Slik fikser du at Google Photos ikke sikkerhetskopierer alle bildene dine

Hvordan sende en hyperkobling i Discord

Hva betyr sendt som SMS via server Android

Hvordan installere MongoDB på Ubuntu 24.04

Hvordan installere Apache Maven på Linux Mint 21

Hva er metoden window.location.replace() i JavaScript

Hvordan sikre HAProxy med SSL

Pandaer viser alle kolonner

Hvordan konfigurere nettverksgrensesnittet på Rocky Linux 9

Legg til bilder i Markdown og endre bildestørrelse

Distribuer Apache Kafka med Docker Compose

PHP echo vs print uttalelser

Hvordan få type objekt i Java?

Hvordan lage en tilfeldig passordgenerator

Hvordan lage en observatør i Minecraft?

Metode for å installere og kjøre OneNote Note-Taking App på Ubuntu 24.04

Hva gjør Window innerHeight Property i JavaScript

Hvordan endre lysstyrken til lommelykten på iPhone