Honeypots và Honeynets

Một phần công việc của các chuyên gia CNTT bảo mật là tìm hiểu về các kiểu tấn công hoặc kỹ thuật được tin tặc sử dụng bằng cách thu thập thông tin để phân tích sau đó nhằm đánh giá các đặc điểm của các lần tấn công. Đôi khi việc thu thập thông tin này được thực hiện thông qua mồi nhử hoặc mồi nhử được thiết kế để đăng ký hoạt động đáng ngờ của những kẻ tấn công tiềm năng, những kẻ hành động mà không biết hoạt động của họ đang bị theo dõi. Trong bảo mật CNTT, những mồi hoặc mồi nhử này được gọi là Honeypots .

Honeypots và honeynets là gì:

ĐẾN hũ mật ong có thể là một ứng dụng mô phỏng một mục tiêu thực sự là một máy ghi hoạt động của những kẻ tấn công. Nhiều Honeypots mô phỏng nhiều dịch vụ, thiết bị và ứng dụng khác nhau Honeynets .

Honeypots và Honeynets không lưu trữ thông tin nhạy cảm nhưng lưu trữ thông tin hấp dẫn giả mạo cho những kẻ tấn công để khiến chúng quan tâm đến Honeypots; Nói cách khác, Honeynet đang nói về những cái bẫy của hacker được thiết kế để học các kỹ thuật tấn công của chúng.

Honeypots mang lại cho chúng tôi hai lợi ích: thứ nhất, chúng giúp chúng tôi tìm hiểu các cuộc tấn công để bảo mật thiết bị sản xuất hoặc mạng của chúng tôi đúng cách. Thứ hai, bằng cách giữ các điểm mật ong mô phỏng lỗ hổng bảo mật bên cạnh các thiết bị hoặc mạng sản xuất, chúng tôi ngăn chặn sự chú ý của tin tặc khỏi các thiết bị được bảo mật. Họ sẽ thấy hấp dẫn hơn những honeypots mô phỏng các lỗ hổng bảo mật mà họ có thể khai thác.

Honeypot các loại:

Sản xuất Honeypots:
Loại honeypot này được cài đặt trong một mạng lưới sản xuất để thu thập thông tin về các kỹ thuật được sử dụng để tấn công các hệ thống bên trong cơ sở hạ tầng. Loại honeypot này cung cấp nhiều khả năng, từ vị trí của honeypot trong một phân đoạn mạng cụ thể để phát hiện các nỗ lực nội bộ của những người dùng hợp pháp trong mạng nhằm truy cập các tài nguyên không được phép hoặc bị cấm để sao chép trang web hoặc dịch vụ, giống với ban đầu làm mồi. Vấn đề lớn nhất của loại honeypot này là cho phép lưu lượng độc hại giữa những cái hợp pháp.

Phát triển honeypots:
Loại honeypot này được thiết kế để thu thập thêm thông tin về xu hướng hack, mục tiêu mong muốn của kẻ tấn công và nguồn gốc tấn công. Thông tin này sau đó được phân tích cho quá trình ra quyết định về việc thực hiện các biện pháp an ninh.
Ưu điểm chính của loại mật ong này là, trái ngược với sản xuất; honeypots phát triển honeypots nằm trong một mạng lưới độc lập dành riêng cho nghiên cứu; Hệ thống dễ bị tấn công này được tách biệt khỏi môi trường sản xuất để ngăn chặn cuộc tấn công từ chính honeypot. Nhược điểm chính của nó là số lượng tài nguyên cần thiết để thực hiện nó.

Có 3 danh mục phụ hoặc loại phân loại khác nhau của honeypot được xác định theo mức độ tương tác mà nó có với những kẻ tấn công.

Mật ong tương tác thấp:

Honeypot mô phỏng một dịch vụ, ứng dụng hoặc hệ thống dễ bị tấn công. Điều này rất dễ thiết lập nhưng hạn chế khi thu thập thông tin; một số ví dụ về loại honeypots này là:

• Bẫy mật ong : nó được thiết kế để quan sát các cuộc tấn công chống lại các dịch vụ mạng; Trái ngược với các honeypots khác, vốn tập trung vào việc bắt phần mềm độc hại, loại honeypot này được thiết kế để bắt các vụ khai thác.
• Người cháu ngoại : mô phỏng các lỗ hổng đã biết để thu thập thông tin về các cuộc tấn công có thể xảy ra; nó được thiết kế để mô phỏng các lỗ hổng mà sâu khai thác để lan truyền, sau đó Nephentes nắm bắt mã của chúng để phân tích sau này.
• HoneyC : xác định các máy chủ web độc hại trong mạng bằng cách mô phỏng các máy khách khác nhau và thu thập phản hồi của máy chủ khi trả lời yêu cầu.
• HoneyD : là một daemon tạo ra các máy chủ ảo trong một mạng có thể được cấu hình để chạy các dịch vụ tùy ý mô phỏng việc thực thi trong các hệ điều hành khác nhau.
• Glastopf : mô phỏng hàng nghìn lỗ hổng được thiết kế để thu thập thông tin tấn công chống lại các ứng dụng web. Nó rất dễ thiết lập và đã được lập chỉ mục bởi các công cụ tìm kiếm; nó trở thành mục tiêu hấp dẫn đối với tin tặc.

Honeypots tương tác trung bình:

Trong trường hợp này, Honeypots không được thiết kế chỉ để thu thập thông tin; nó là một ứng dụng được thiết kế để tương tác với những kẻ tấn công trong khi đăng ký đầy đủ hoạt động tương tác; nó mô phỏng một mục tiêu có khả năng đưa ra tất cả các câu trả lời mà kẻ tấn công có thể mong đợi; một số ấm mật thuộc loại này là:

• Cowrie: Một honeypot ssh và telnet ghi lại các cuộc tấn công bạo lực và tương tác với tin tặc. Nó mô phỏng hệ điều hành Unix và hoạt động như một proxy để ghi lại hoạt động của kẻ tấn công. Sau phần này, bạn có thể tìm thấy hướng dẫn triển khai Cowrie.
• Sticky_elephant : nó là một honeypot PostgreSQL.
• Hornet : Một phiên bản cải tiến của honeypot-wasp với lời nhắc thông tin đăng nhập giả được thiết kế cho các trang web có trang đăng nhập truy cập công khai dành cho quản trị viên như / wp-admin cho các trang web WordPress.

Honeypots tương tác cao:

Trong trường hợp này, Honeypots không được thiết kế chỉ để thu thập thông tin; nó là một ứng dụng được thiết kế để tương tác với những kẻ tấn công trong khi đăng ký đầy đủ hoạt động tương tác; nó mô phỏng một mục tiêu có khả năng đưa ra tất cả các câu trả lời mà kẻ tấn công có thể mong đợi; một số ấm mật thuộc loại này là:

• Vết thương : hoạt động như một HIDS (Hệ thống phát hiện xâm nhập dựa trên máy chủ), cho phép nắm bắt thông tin về hoạt động của hệ thống. Đây là một công cụ máy chủ-máy khách có khả năng triển khai honeypots trên Linux, Unix và Windows để thu thập và gửi thông tin đã thu thập đến máy chủ.
• HoneyBow : có thể được tích hợp với honeypots tương tác thấp để tăng khả năng thu thập thông tin.
• HI-HAT (Bộ công cụ phân tích Honeypot tương tác cao) : chuyển đổi các tệp PHP thành các honeypots có tính tương tác cao với giao diện web có sẵn để theo dõi thông tin.
• Capture-HPC : tương tự như HoneyC, xác định các máy chủ độc hại bằng cách tương tác với các máy khách bằng máy ảo chuyên dụng và đăng ký các thay đổi trái phép.

Dưới đây, bạn có thể tìm thấy một ví dụ thực tế về honeypot tương tác trung bình.

Triển khai Cowrie để thu thập dữ liệu về các cuộc tấn công SSH:

Như đã nói trước đây, Cowrie là một honeypot được sử dụng để ghi lại thông tin về các cuộc tấn công nhắm vào dịch vụ ssh. Cowrie mô phỏng một máy chủ ssh dễ bị tấn công cho phép bất kỳ kẻ tấn công nào truy cập vào một thiết bị đầu cuối giả mạo, mô phỏng một cuộc tấn công thành công trong khi ghi lại hoạt động của kẻ tấn công.

Để Cowrie mô phỏng một máy chủ dễ bị tấn công giả mạo, chúng ta cần gán nó vào cổng 22. Vì vậy, chúng ta cần thay đổi cổng ssh thực của mình bằng cách chỉnh sửa tệp / etc / ssh / sshd_config như hình bên dưới.

Chỉnh sửa dòng và thay đổi nó cho một cổng giữa 49152 và 65535.

Khởi động lại và kiểm tra dịch vụ đang chạy đúng cách:

Cài đặt tất cả phần mềm cần thiết cho các bước tiếp theo, chạy trên các bản phân phối Linux dựa trên Debian:

Thêm người dùng không có đặc quyền được gọi là cowrie bằng cách chạy lệnh bên dưới.

Trên các bản phân phối Linux dựa trên Debian, hãy cài đặt authbind bằng cách chạy lệnh sau:

Chạy lệnh dưới đây.

Thay đổi quyền sở hữu bằng cách chạy lệnh bên dưới.

Thay đổi quyền:

Vào cao bồi

Truy cập thư mục chính của cowrie.

Tải xuống honeypot cowrie bằng git như hình dưới đây.

Di chuyển vào thư mục cowrie.

Tạo tệp cấu hình mới dựa trên tệp mặc định bằng cách sao chép từ tệp /etc/cowrie.cfg.dist tới cowrie.cfg bằng cách chạy lệnh được hiển thị bên dưới trong thư mục của cowrie /

Chỉnh sửa tệp đã tạo:

Tìm dòng bên dưới.

Chỉnh sửa dòng, thay thế cổng 2222 bằng 22 như hình dưới đây.

Lưu và thoát nano.

Chạy lệnh dưới đây để tạo môi trường python:

Kích hoạt môi trường ảo.

Cập nhật pip bằng cách chạy lệnh sau.

Cài đặt tất cả các yêu cầu bằng cách chạy lệnh sau.

Chạy cowrie bằng lệnh sau:

Kiểm tra honeypot đang nghe bằng cách chạy.

Giờ đây, các nỗ lực đăng nhập vào cổng 22 sẽ được ghi vào tệp var / log / cowrie / cowrie.log trong thư mục của cowrie.

Như đã nói trước đây, bạn có thể sử dụng Honeypot để tạo ra một lớp vỏ giả dễ bị tổn thương. Cowries bao gồm một tệp trong đó bạn có thể xác định người dùng được phép truy cập trình bao. Đây là danh sách tên người dùng và mật khẩu mà qua đó tin tặc có thể truy cập vào shell giả mạo.

Định dạng danh sách được hiển thị trong hình ảnh dưới đây:

Bạn có thể đổi tên danh sách mặc định cowrie cho mục đích thử nghiệm bằng cách chạy lệnh bên dưới từ thư mục cowries. Bằng cách đó, người dùng sẽ có thể đăng nhập với quyền root bằng mật khẩu nguồn gốc hoặc 123456 .

Dừng và khởi động lại Cowrie bằng cách chạy các lệnh dưới đây:

Bây giờ hãy kiểm tra việc cố gắng truy cập thông qua ssh bằng tên người dùng và mật khẩu có trong userdb.txt danh sách.

Như bạn có thể thấy, bạn sẽ truy cập vào một vỏ giả. Và tất cả các hoạt động được thực hiện trong trình bao này có thể được theo dõi từ nhật ký của cowrie, như được hiển thị bên dưới.

Như bạn thấy, Cowrie đã được thực hiện thành công. Bạn có thể tìm hiểu thêm về Cowrie tại https://github.com/cowrie/ .

Phần kết luận:

Triển khai Honeypots không phải là một biện pháp bảo mật phổ biến, nhưng như bạn có thể thấy, đó là một cách tuyệt vời để tăng cường bảo mật mạng. Triển khai Honeypots là một phần quan trọng của việc thu thập dữ liệu nhằm cải thiện bảo mật, biến tin tặc thành cộng tác viên bằng cách tiết lộ hoạt động, kỹ thuật, thông tin xác thực và mục tiêu của chúng. Nó cũng là một cách ghê gớm để cung cấp thông tin giả mạo cho tin tặc.

Nếu bạn quan tâm đến Honeypots, có lẽ IDS (Hệ thống phát hiện xâm nhập) có thể thú vị với bạn; tại LinuxHint, chúng tôi có một số hướng dẫn thú vị về chúng:

• Định cấu hình Snort IDS và tạo quy tắc
• Bắt đầu với OSSEC (Hệ thống phát hiện xâm nhập)

Tôi hy vọng bạn thấy bài viết này về Honeypots và Honeynets hữu ích. Tiếp tục theo dõi Gợi ý Linux để biết thêm các mẹo và hướng dẫn về Linux.