Medovníky a medové siete

Súčasťou práce IT špecialistov v oblasti bezpečnosti je zoznámiť sa s druhmi útokov alebo technikami, ktoré hackeri používajú, zhromažďovaním informácií na neskoršiu analýzu na vyhodnotenie charakteristík pokusov o útok. Niekedy sa tento zber informácií vykonáva pomocou návnady alebo návnad, určených na registráciu podozrivej aktivity potenciálnych útočníkov, ktorí konajú bez toho, aby vedeli, že ich aktivita je monitorovaná. V IT bezpečnosti sa tieto nástrahy alebo vábničky nazývajú Medovníky .

Čo sú to medovníky a medové siete:

TO medovník môže to byť aplikácia simulujúca cieľ, ktorá skutočne zaznamenáva aktivitu útočníkov. Denominované je viacero Honeypotov simulujúcich viacero služieb, zariadení a aplikácií Honeynets .

Honeypots a Honeynets neuchovávajú citlivé informácie, ale ukladajú falošné atraktívne informácie útočníkom, aby ich zaujímali o Honeypots; Honeynets, inými slovami, hovorí o hackerských pasciach, ktorých cieľom je naučiť sa ich útočné techniky.

Honeypots nám prináša dve výhody: po prvé, pomáhajú nám naučiť sa útoky na správne zabezpečenie nášho produkčného zariadenia alebo siete. Za druhé, tým, že držíme honeypoty simulujúce zraniteľné miesta vedľa produkčných zariadení alebo sietí, držíme pozornosť hackerov mimo zabezpečených zariadení. Prídu im atraktívnejšie honeypoty simulujúce bezpečnostné diery, ktoré môžu využiť.

Druhy medovníkov:

Výrobné medovníky:
Tento typ honeypot je nainštalovaný vo výrobnej sieti na zhromažďovanie informácií o technikách používaných na útoky na systémy v rámci infraštruktúry. Tento typ Honeypot ponúka široké spektrum možností, od umiestnenia Honeypot v rámci konkrétneho segmentu siete, s cieľom zistiť interné pokusy legitímnych používateľov siete o prístup k nepovoleným alebo zakázaným zdrojom ku klonu webovej stránky alebo služby, ktorý je identický s originál ako nástraha. Najväčším problémom tohto druhu honeypotu je umožnenie škodlivého prenosu medzi legitímnymi.

Medovníky na vývoj:
Tento typ Honeypot je navrhnutý tak, aby zbieral viac informácií o trendoch hackovania, požadovaných cieľoch útočníkov a pôvode útoku. Tieto informácie sú neskôr analyzované pre rozhodovací proces o implementácii bezpečnostných opatrení.
Hlavnou výhodou tohto druhu medovníkov je, na rozdiel od výroby; honeypots vývoj honeypots sú umiestnené v rámci nezávislej siete venovanej výskumu; tento zraniteľný systém je oddelený od produkčného prostredia a bráni útoku zo strany samotného honeypotu. Jeho hlavnou nevýhodou je množstvo zdrojov potrebných na jeho implementáciu.

Podľa úrovne interakcie, ktorú má s útočníkmi, sú definované tri rôzne podkategórie alebo kategórie klasifikácie honeypot.

Medovníky s nízkou interakciou:

Honeypot napodobňuje zraniteľnú službu, aplikáciu alebo systém. Nastavenie je veľmi jednoduché, ale pri zbere informácií je obmedzené; niekoľko príkladov tohto druhu medovníkov:

• Medová pasca : je určený na sledovanie útokov proti sieťovým službám; na rozdiel od iných honeypotov, ktoré sa zameriavajú na zachytávanie škodlivého softvéru, je tento typ honeypot určený na zachytávanie exploitov.
• Nephentes : emuluje známe zraniteľnosti za účelom zhromažďovania informácií o možných útokoch; je navrhnutý tak, aby napodobnil zraniteľnosti, ktoré červy zneužívajú na šírenie, a potom Nephentes zachytáva ich kód pre neskoršiu analýzu.
• HoneyC : identifikuje škodlivé webové servery v rámci siete emuláciou rôznych klientov a zhromažďovaním odpovedí serverov pri odpovedaní na požiadavky.
• ZlatkoD : je démon, ktorý vytvára virtuálnych hostiteľov v sieti, ktorú je možné nakonfigurovať na spúšťanie ľubovoľných služieb simulujúcich vykonávanie v rôznych OS.
• Glastopf : emuluje tisíce zraniteľností určených na zhromažďovanie informácií o útokoch proti webovým aplikáciám. Je ľahké ho nastaviť a raz ho indexovať vyhľadávacie nástroje; stáva sa atraktívnym cieľom hackerov.

Medovníky so strednou interakciou:

V tomto scenári Honeypots nie sú určené len na zhromažďovanie informácií; je to aplikácia navrhnutá na interakciu s útočníkmi, pričom vyčerpávajúco registruje interakčnú aktivitu; simuluje cieľ, ktorý môže ponúknuť všetky odpovede, ktoré môže útočník očakávať; niektoré medovníky tohto druhu sú:

• Cowrie: Honeypot ssh a telnet, ktorý zaznamenáva útoky hrubou silou a interakciu hackerov. Emuluje operačný systém Unix a funguje ako server proxy na zaznamenávanie aktivity útočníka. Po tejto časti nájdete pokyny na implementáciu Cowrie.
• Lepkavý slon : je to honeypot PostgreSQL.
• Sršeň : Vylepšená verzia výzvy honeypot-wasp s falošnými povereniami navrhnutá pre webové stránky s prihlasovacou stránkou s verejným prístupom pre správcov, ako je napríklad /wp-admin pre stránky WordPress.

Medovníky s vysokou interakciou:

V tomto scenári Honeypots nie sú určené len na zhromažďovanie informácií; je to aplikácia navrhnutá na interakciu s útočníkmi, pričom vyčerpávajúco registruje interakčnú aktivitu; simuluje cieľ, ktorý môže ponúknuť všetky odpovede, ktoré môže útočník očakávať; niektoré medovníky tohto druhu sú:

• Rany : funguje ako HIDS (Host-based Intrusion Detection System), ktorý umožňuje zachytávať informácie o aktivite systému. Jedná sa o nástroj server-klient schopný nasadiť honeypoty v systémoch Linux, Unix a Windows, ktoré zachytávajú a odosielajú zhromaždené informácie na server.
• HoneyBow : môže byť integrovaný s medzerníkmi s nízkou interakciou na zvýšenie zberu informácií.
• HI-HAT (sada nástrojov na analýzu interakcie Honeypot) : prevádza súbory PHP na honeypoty s vysokou interakciou s webovým rozhraním, ktoré je k dispozícii na monitorovanie informácií.
• Capture-HPC : podobne ako HoneyC, identifikuje škodlivé servery interakciou s klientmi pomocou vyhradeného virtuálneho počítača a registráciou neoprávnených zmien.

Nasleduje praktický príklad medovníka so strednou interakciou.

Nasadenie Cowrie na zhromažďovanie údajov o útokoch SSH:

Ako už bolo povedané, Cowrie je honeypot, ktorý sa používa na zaznamenávanie informácií o útokoch zameraných na službu ssh. Cowrie simuluje zraniteľný server ssh, ktorý umožňuje každému útočníkovi prístup k falošnému terminálu, pričom simuluje úspešný útok a zaznamenáva aktivitu útočníka.

Aby Cowrie simulovala falošný zraniteľný server, musíme ho priradiť k portu 22. Preto musíme zmeniť náš skutočný ssh port úpravou súboru /etc/ssh/sshd_config ako je uvedené nižšie.

Upravte riadok a zmeňte ho na port medzi 49152 a 65535.

Reštartujte a skontrolujte, či služba funguje správne:

Nainštalujte všetok potrebný softvér pre ďalšie kroky v spustených distribúciách Linuxu založených na Debiane:

Pridajte neprivilegovaného používateľa s názvom cowrie spustením príkazu nižšie.

V distribúciách Linuxu založených na Debiane nainštalujte príkaz authbind spustením nasledujúceho príkazu:

Spustite príkaz nižšie.

Zmeňte vlastníctvo spustením príkazu nižšie.

Zmeniť povolenia:

Prihláste sa ako cowrie

Prejdite do domovského adresára cowrie.

Stiahnite si cowrie honeypot pomocou gitu, ako je uvedené nižšie.

Presuňte sa do adresára cowrie.

Skopírovaním zo súboru vytvorte nový konfiguračný súbor na základe predvoleného /etc/cowrie.cfg.dist na cowrie.cfg spustením nižšie uvedeného príkazu v adresári cowrie/

Upravte vytvorený súbor:

Nájdite riadok nižšie.

Upravte riadok tak, že nahradíte port 2222 číslom 22, ako je to znázornené nižšie.

Uložte a ukončite nano.

Spustením nižšie uvedeného príkazu vytvoríte prostredie pythonu:

Povoliť virtuálne prostredie.

Aktualizujte pip spustením nasledujúceho príkazu.

Nainštalujte všetky požiadavky spustením nasledujúceho príkazu.

Spustite cowrie pomocou nasledujúceho príkazu:

Spustením skontrolujte, či honeypot počúva.

Teraz sa pokusy o prihlásenie na port 22 zaznamenajú do súboru var/log/cowrie/cowrie.log v adresári cowrie.

Ako už bolo povedané, Honeypot môžete použiť na vytvorenie falošnej zraniteľnej škrupiny. Cowries obsahuje súbor, v ktorom môžete definovať povolený prístup používateľov k shellu. Toto je zoznam používateľských mien a hesiel, pomocou ktorých sa hacker môže dostať k falošnému shellu.

Formát zoznamu je zobrazený na obrázku nižšie:

Predvolený zoznam kravského dobytka môžete na účely testovania premenovať spustením príkazu nižšie z adresára cowries. Vďaka tomu sa budú môcť používatelia prihlásiť ako root pomocou hesla koreň alebo 123456 .

Zastavte a reštartujte Cowrie spustením nižšie uvedených príkazov:

Teraz vyskúšajte pokus o prístup prostredníctvom ssh pomocou používateľského mena a hesla, ktoré sú súčasťou súboru userdb.txt zoznam.

Ako vidíte, dostanete sa k falošnej škrupine. A všetku činnosť vykonanú v tejto škrupine je možné monitorovať z denníka cowrie, ako je uvedené nižšie.

Ako vidíte, Cowrie bola úspešne implementovaná. Viac o Cowrie sa môžete dozvedieť na https://github.com/cowrie/ .

Záver:

Implementácia Honeypots nie je bežným bezpečnostným opatrením, ale ako vidíte, je to skvelý spôsob, ako posilniť zabezpečenie siete. Implementácia Honeypots je dôležitou súčasťou zberu údajov, ktorých cieľom je zlepšiť bezpečnosť a zmeniť hackerov na spolupracovníkov tým, že odhalí ich aktivitu, techniky, poverenia a ciele. Je to tiež impozantný spôsob, ako hackerom poskytnúť falošné informácie.

Ak vás zaujímajú Honeypots, pravdepodobne by pre vás mohlo byť zaujímavé IDS (Intrusion Detection Systems); v LinuxHint máme o nich niekoľko zaujímavých návodov:

• Nakonfigurujte Snort IDS a vytvorte pravidlá
• Začíname s OSSEC (Intrusion Detection System)

Dúfam, že ste našli tento článok o Honeypots a Honeynets užitočný. Pokračujte v sledovaní Tipu pre Linux a získajte ďalšie tipy a návody pre Linux.