Dio posla sigurnosnih IT stručnjaka je naučiti o vrstama napada ili tehnikama koje koriste hakeri prikupljanjem podataka za kasniju analizu radi procjene karakteristika pokušaja napada. Ponekad se to prikupljanje podataka vrši putem mamaca ili varalica osmišljenih za registriranje sumnjivih aktivnosti potencijalnih napadača koji djeluju bez da znaju da se njihova aktivnost prati. U IT sigurnosti ti se mamci ili mamci nazivaju Medeni lonci .
Što su satovi i satovi od meda:
DO medenica može biti aplikacija koja simulira metu koja doista bilježi aktivnosti napadača. Denominirano je više Honeypotova koji simuliraju više usluga, uređaja i aplikacija Medeni .
Honeypots i Honeynets ne pohranjuju osjetljive podatke, već pohranjuju lažne atraktivne podatke napadačima kako bi ih zainteresirali za Honeypots; Drugim riječima, medovi govore o hakerskim zamkama osmišljenim za učenje njihovih tehnika napada.
Honeypots nam daje dvije prednosti: prvo, pomažu nam naučiti napade kako bismo pravilno osigurali svoj proizvodni uređaj ili mrežu. Drugo, zadržavajući medene porcije koje simuliraju ranjivosti pored proizvodnih uređaja ili mreža, hakere zadržavamo izvan zaštićenih uređaja. Bit će im privlačnije posude koje simuliraju sigurnosne rupe koje mogu iskoristiti.
Vrste meda:
Proizvodnja meda:
Ova vrsta medenjaka instalirana je u proizvodnoj mreži za prikupljanje informacija o tehnikama koje se koriste za napad na sustave unutar infrastrukture. Ova vrsta medenjaka nudi širok spektar mogućnosti, od lokacije medenjaka unutar određenog mrežnog segmenta kako bi se otkrili unutarnji pokušaji legitimnih korisnika mreže da pristupe nedopuštenim ili zabranjenim resursima klonu web stranice ili usluge, identičnom original kao mamac. Najveći problem ove vrste medenjaka je dopuštanje zlonamjernog prometa između legitimnih.
Razvojni satovi:
Ova vrsta medenjaka dizajnirana je za prikupljanje više informacija o trendovima hakiranja, željenim ciljevima napadača i podrijetlu napada. Ti se podaci kasnije analiziraju za proces donošenja odluka o provedbi sigurnosnih mjera.
Glavna prednost ove vrste saksija je, suprotno proizvodnji; satovi za razvoj meda lonci se nalaze unutar neovisne mreže posvećene istraživanju; ovaj ranjivi sustav odvojen je od proizvodnog okruženja sprječavajući napad same saće. Njegov glavni nedostatak je broj resursa potrebnih za njegovu provedbu.
Postoje 3 različite podkategorije ili tipovi klasifikacija medenjaka definirane razinom interakcije koju ima s napadačima.
Medeni lonci s niskom interakcijom:
Honeypot oponaša ranjivu uslugu, aplikaciju ili sustav. To je vrlo jednostavno postaviti, ali je ograničeno pri prikupljanju podataka; neki primjeri ove vrste medenjaka su:
- Zamka za med : osmišljen je za promatranje napada na mrežne usluge; za razliku od drugih medenjaka, koji se usredotočuju na hvatanje zlonamjernog softvera, ova vrsta medenjaka osmišljena je za hvatanje zlouporaba.
- Nefentes : oponaša poznate ranjivosti radi prikupljanja informacija o mogućim napadima; osmišljen je tako da oponaša ranjivosti koje crvi iskorištavaju za širenje, a zatim Nephentes hvata njihov kôd za kasniju analizu.
- HoneyC : identificira zlonamjerne web poslužitelje unutar umrežavanja oponašajući različite klijente i prikupljajući odgovore poslužitelja pri odgovaranju na zahtjeve.
- DušoD : je demon koji stvara virtualne hostove unutar mreže koji se može konfigurirati za pokretanje proizvoljnih usluga koje simuliraju izvršavanje u različitim OS -ima.
- Glastopf : oponaša tisuće ranjivosti namijenjenih prikupljanju podataka o napadu na web aplikacije. Lako se postavlja i jednom ga indeksiraju tražilice; postaje privlačna meta hakerima.
Medenjaci sa srednjim interakcijama:
U ovom scenariju Honeypots nisu dizajnirani samo za prikupljanje informacija; to je aplikacija osmišljena za interakciju s napadačima uz iscrpnu registraciju aktivnosti interakcije; simulira metu sposobnu ponuditi sve odgovore koje napadač može očekivati; neki medovi ove vrste su:
- Cowrie: Medeni ssh i telnet koji bilježi napade grube sile i interakciju hakerskih granata. Oponaša Unix OS i radi kao proxy za bilježenje aktivnosti napadača. Nakon ovog odjeljka možete pronaći upute za Cowrie implementaciju.
- Ljepljivi_slon : to je PostgreSQL med.
- Stršljen : Poboljšana verzija honeypot-wasp s odzivom za lažne vjerodajnice dizajnirana za web stranice sa stranicom za javni pristup za administratore, poput /wp-admin za WordPress web stranice.
Medovi s visokom interakcijom:
U ovom scenariju Honeypots nisu dizajnirani samo za prikupljanje informacija; to je aplikacija osmišljena za interakciju s napadačima uz iscrpnu registraciju aktivnosti interakcije; simulira metu sposobnu ponuditi sve odgovore koje napadač može očekivati; neki medovi ove vrste su:
- Rane : radi kao HIDS (Host-based Intrusion Detection System), omogućujući hvatanje informacija o aktivnostima sustava. Ovo je poslužiteljsko-klijentski alat sposoban za implementaciju medenih potova na Linuxu, Unixu i Windowsu koji prikuplja i šalje prikupljene podatke poslužitelju.
- Dušo : može se integrirati s medom sa niskom interakcijom radi povećanja prikupljanja informacija.
- HI-HAT (alat za analizu meda s visokom interakcijom) : pretvara PHP datoteke u medenice s velikom interakcijom s web sučeljem dostupnim za nadzor informacija.
- Hvatanje-HPC : slično HoneyC -u, identificira zlonamjerne poslužitelje interakcijom s klijentima pomoću namjenskog virtualnog stroja i registriranjem neovlaštenih promjena.
Ispod možete pronaći praktičan primjer medenjaka sa srednjom interakcijom.
Postavljanje Cowrieja za prikupljanje podataka o SSH napadima:
Kao što je ranije rečeno, Cowrie je medeni džep koji se koristi za bilježenje informacija o napadima koji ciljaju ssh uslugu. Cowrie simulira ranjivi ssh poslužitelj dopuštajući svakom napadaču pristup lažnom terminalu, simulirajući uspješan napad dok bilježi napadačevu aktivnost.
Da bi Cowrie simulirao lažni ranjivi poslužitelj, moramo ga dodijeliti priključku 22. Stoga moramo promijeniti naš pravi ssh port uređivanjem datoteke /etc/ssh/sshd_config kao što je prikazano niže.
sudo nano /itd/ssh/sshd_configUredite liniju i promijenite je za port između 49152 i 65535.
Luka22 
Ponovo pokrenite i provjerite radi li usluga ispravno:
sudoponovno pokretanje systemctlsshsudostatus systemctlssh
Instalirajte sav potreban softver za sljedeće korake na izvođenim distribucijama Linuxa zasnovanim na Debianu:
sudoprikladaninstalirati -ipython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimalna authbindići 
Dodajte neprivilegiranog korisnika po imenu cowrie pokretanjem donje naredbe.
sudoadduser--disabled-lozinkacowrie 
Na distribucijama Linuxa temeljenim na Debianu instalirajte authbind pokretanjem sljedeće naredbe:
sudoprikladaninstaliratiauthbindPokrenite naredbu ispod.
sudo dodir /itd/authbind/byport/22Promijenite vlasništvo pokretanjem naredbe ispod.
sudo chowncowrie: kaurije/itd/authbind/byport/22Promijenite dopuštenja:
sudo chmod 770 /itd/authbind/byport/22 
Prijavite se kao cowrie
sudo svojecowrieIdite u Cowriejev kućni imenik.
CD~Preuzmite cowrie honeypot koristeći git kao što je prikazano u nastavku.
git klonhttps://github.com/micheloosterhof/cowriePremjesti se u direktorij cowrie.
CDcowrie/ 
Izradite novu konfiguracijsku datoteku na temelju zadane kopiranjem iz datoteke /etc/cowrie.cfg.dist u cowrie.cfg pokretanjem naredbe prikazane ispod u direktoriju cowrie/
k.čitd/cowrie.cfg.dist itd/cowrie.cfg 
Uredite stvorenu datoteku:
nanoitd/cowrie.cfgPronađite donju liniju.
listen_endpoints = tcp:2222:sučelje= 0,0,0,0Uredite liniju, zamijenivši port 2222 s 22 kao što je prikazano dolje.
listen_endpoints = tcp:22:sučelje= 0,0,0,0 
Spremite i izađite iz nano.
Pokrenite naredbu ispod da biste stvorili okruženje python:
virtualenv cowrie-env 
Omogućite virtualno okruženje.
izvorcowrie-env/am/aktivirati 
Ažurirajte pip pokretanjem sljedeće naredbe.
pipinstalirati -nadogradnjapip 
Instalirajte sve zahtjeve pokretanjem sljedeće naredbe.
pipinstalirati -nadograđivačzahtjevi.txt 
Pokrenite cowrie sa sljedećom naredbom:
am/cowrie početak 
Trčanjem provjerite sluša li med.
netstat -tako 
Sada će pokušaji prijave na port 22 biti zabilježeni u datoteci var/log/cowrie/cowrie.log unutar direktorija cowrie.
Kao što je ranije rečeno, možete koristiti Honeypot za stvaranje lažne ranjive ljuske. Cowries uključuje datoteku u kojoj možete definirati dopušten pristup korisnicima ljusci. Ovo je popis korisničkih imena i lozinki putem kojih haker može pristupiti lažnoj ljusci.
Format popisa prikazan je na donjoj slici:
Možete preimenovati zadani popis cowrie za potrebe testiranja pokretanjem donje naredbe iz direktorija cowries. Time će se korisnici moći prijaviti kao root pomoću lozinke korijen ili 123456 .
mvitd/userdb.example itd/userdb.txt 
Zaustavite i ponovno pokrenite Cowrie pokretanjem naredbi u nastavku:
am/cowrie stopam/cowrie početak
Sada pokušajte pristupiti putem ssh -a koristeći korisničko ime i lozinku koji su uključeni u userdb.txt popis.
Kao što vidite, pristupit ćete lažnoj ljusci. Sve aktivnosti u ovoj ljusci mogu se pratiti iz dnevnika kaurija, kao što je prikazano u nastavku.
Kao što vidite, Cowrie je uspješno implementiran. Više o Cowrieu možete saznati na https://github.com/cowrie/ .
Zaključak:
Implementacija Honeypotova nije uobičajena sigurnosna mjera, ali kao što vidite, odličan je način za jačanje mrežne sigurnosti. Implementacija Honeypotova važan je dio prikupljanja podataka čiji je cilj poboljšati sigurnost, pretvarajući hakere u suradnike otkrivajući njihove aktivnosti, tehnike, vjerodajnice i ciljeve. To je također strašan način da hakerima dostavite lažne podatke.
Ako vas zanimaju Honeypots, vjerojatno bi vam mogli biti zanimljivi IDS (Intrusion Detection Systems); na LinuxHintu imamo nekoliko zanimljivih vodiča o njima:
- Konfigurirajte Snort IDS i stvorite pravila
- Početak rada s OSSEC -om (sustav za otkrivanje upada)
Nadam se da vam je ovaj članak o Honeypots i Honeynets bio koristan. Slijedite Linux savjete za više Linux savjeta i vodiča.