Bahagi ng gawain ng mga dalubhasa sa seguridad ng IT ay upang malaman ang tungkol sa mga uri ng pag-atake o mga diskarte na ginagamit ng mga hacker sa pamamagitan ng pagkolekta ng impormasyon para sa paglaon na pagtatasa upang suriin ang mga katangian ng pagtatangka ng pag-atake. Minsan ang koleksyon ng impormasyon na ito ay ginagawa sa pamamagitan ng pain o decoys na idinisenyo upang irehistro ang kahina-hinalang aktibidad ng mga potensyal na umaatake na kumikilos nang hindi alam ang kanilang aktibidad ay sinusubaybayan. Sa seguridad ng IT, ang mga pain o decoy na ito ay tinawag Mga Honeypot .
Ano ang mga honeypot at honeynet:
SA honeypot maaaring isang application na tumutulad sa isang target na talagang isang recorder ng aktibidad ng mga umaatake. Maramihang mga Honeypot na tumutulad sa maraming mga serbisyo, aparato, at application ay tinukoy Mga Honeynets .
Ang mga Honeypots at Honeynets ay hindi nag-iimbak ng sensitibong impormasyon ngunit nag-iimbak ng pekeng kaakit-akit na impormasyon sa mga umaatake upang maging interesado sila sa mga Honeypot; Ang mga Honeynets, sa madaling salita, ay nagsasalita tungkol sa mga hacker traps na idinisenyo upang malaman ang kanilang mga diskarte sa pag-atake.
Binibigyan tayo ng mga Honeypot ng dalawang benepisyo: una, makakatulong sila sa amin na matuto ng mga pag-atake upang ma-secure ang aming aparato sa produksyon o network nang maayos. Pangalawa, sa pamamagitan ng pagpapanatili ng mga honeypot na simulate ng mga kahinaan sa tabi ng mga aparato sa paggawa o network, pinapanatili namin ang pansin ng mga hacker sa mga ligtas na aparato. Mahahanap nila ang mas kaakit-akit na mga honeypot na tumutulad sa mga butas sa seguridad na maaari nilang pagsamantalahan.
Mga uri ng Honeypot:
Mga Production Honeypot:
Ang ganitong uri ng honeypot ay naka-install sa isang network ng produksyon upang mangolekta ng impormasyon sa mga diskarteng ginamit sa pag-atake ng mga system sa loob ng imprastraktura. Ang ganitong uri ng honeypot ay nag-aalok ng iba't ibang mga posibilidad, mula sa lokasyon ng honeypot sa loob ng isang tukoy na segment ng network upang makita ang panloob na mga pagtatangka ng mga lehitimong gumagamit ng network na ma-access ang hindi pinahihintulutan o ipinagbabawal na mapagkukunan sa isang clone ng isang website o serbisyo, magkapareho sa orihinal bilang pain. Ang pinakamalaking isyu ng ganitong uri ng honeypot ay pinapayagan ang nakakahamak na trapiko sa pagitan ng mga lehitimo.
Mga honeypot sa pag-unlad:
Ang ganitong uri ng honeypot ay idinisenyo upang mangolekta ng maraming impormasyon tungkol sa mga uso sa pag-hack, nais na mga target ng mga umaatake, at mga pinagmulan ng pag-atake. Sinuri ang impormasyong ito kalaunan para sa proseso ng paggawa ng desisyon sa pagpapatupad ng mga hakbang sa seguridad.
Ang pangunahing bentahe ng ganitong uri ng honeypots ay, salungat sa produksyon; honeypots development honeypots ay matatagpuan sa loob ng isang independiyenteng network na nakatuon sa pananaliksik; ang sistemang mahina ito ay pinaghiwalay mula sa kapaligiran ng produksyon na pumipigil sa isang atake mula sa honeypot mismo. Ang pangunahing kawalan nito ay ang bilang ng mga mapagkukunang kinakailangan upang maipatupad ito.
Mayroong 3 magkakaibang mga subcategory ng honeypot o uri ng pag-uuri na tinukoy ng antas ng pakikipag-ugnayan na mayroon ito sa mga umaatake.
Mababang Mga Honeypot ng Pakikipag-ugnay:
Ang isang Honeypot ay tumutulad sa isang mahina na serbisyo, app, o system. Napakadaling i-set up ngunit limitado kapag nangongolekta ng impormasyon; ang ilang mga halimbawa ng ganitong uri ng honeypots ay:
- Honeytrap : ito ay dinisenyo upang obserbahan ang mga pag-atake laban sa mga serbisyo sa network; salungat sa iba pang mga honeypot, na nakatuon sa pagkuha ng malware, ang ganitong uri ng honeypot ay idinisenyo upang makuha ang mga pagsasamantala.
- Mga Nephente : tinutularan ang mga kilalang kahinaan upang mangolekta ng impormasyon sa mga posibleng pag-atake; idinisenyo ito upang tularan ang mga kahinaan na pinagsamantalahan ng bulate upang magpalaganap, pagkatapos ay kinukuha ng mga Nephentes ang kanilang code para sa pag-aaral sa paglaon.
- HoneyC : kinikilala ang nakakahamak na mga web server sa loob ng networking sa pamamagitan ng pagtulad sa iba't ibang mga kliyente at pagkolekta ng mga tugon ng server kapag tumutugon sa mga kahilingan.
- MahalD : ay isang daemon na lumilikha ng mga virtual host sa loob ng isang network na maaaring mai-configure upang patakbuhin ang di-makatwirang mga serbisyo na simulate ng pagpapatupad sa iba't ibang OS.
- Glastopf : tinutularan ang libu-libong mga kahinaan na dinisenyo upang mangolekta ng impormasyon sa pag-atake laban sa mga web application. Madali itong i-set up, at sa sandaling na-index ng mga search engine; ito ay nagiging isang kaakit-akit na target sa mga hacker.
Mga Honeypot ng Medium na Pakikipag-ugnay:
Sa senaryong ito, ang mga Honeypot ay hindi idinisenyo upang mangolekta ng impormasyon lamang; ito ay isang application na idinisenyo upang makipag-ugnay sa mga umaatake habang lubusang nagrerehistro ng aktibidad ng pakikipag-ugnayan; ito ay tumutulad sa isang target na may kakayahang mag-alok ng lahat ng mga sagot na inaasahan ng umaatake; ang ilang mga honeypot ng ganitong uri ay:
- Cowrie: Isang ssh at telnet honeypot na nag-log ng mabangis na pag-atake ng puwersa at pakikipag-ugnay ng mga hacker. Ginaya nito ang isang Unix OS at gumagana bilang isang proxy upang mai-log ang aktibidad ng umaatake. Pagkatapos ng seksyong ito, mahahanap mo ang mga tagubilin para sa pagpapatupad ng Cowrie.
- Malagkit_elephant : ito ay isang honeypot ng PostgreSQL.
- Hornet : Isang pinabuting bersyon ng honeypot-wasp na may pekeng mga kredensyal na prompt na idinisenyo para sa mga website na may pahina sa pag-login sa pag-access ng publiko para sa mga tagapangasiwa tulad ng / wp-admin para sa mga site ng WordPress.
Mga Mataas na Honeypot ng Pakikipag-ugnay:
Sa senaryong ito, ang mga Honeypot ay hindi idinisenyo upang mangolekta ng impormasyon lamang; ito ay isang application na idinisenyo upang makipag-ugnay sa mga umaatake habang lubusang nagrerehistro ng aktibidad ng pakikipag-ugnayan; ito ay tumutulad sa isang target na may kakayahang mag-alok ng lahat ng mga sagot na inaasahan ng umaatake; ang ilang mga honeypot ng ganitong uri ay:
- Sugat : gumagana bilang isang HID (Host-based Intrusion Detection System), pinapayagan na makuha ang impormasyon sa aktibidad ng system. Ito ay isang server-client tool na may kakayahang pag-deploy ng mga honeypot sa Linux, Unix, at Windows na kumukuha at nagpapadala ng nakolektang impormasyon sa server.
- HoneyBow : Maaaring isama sa mababang mga honeypot ng pakikipag-ugnay upang madagdagan ang koleksyon ng impormasyon.
- HI-HAT (Toolkit ng Pagsusuri ng Honeypot ng Mataas na Pakikipag-ugnay) : nagko-convert ng mga file ng PHP sa mga honeypot ng mataas na pakikipag-ugnayan na may isang web interface na magagamit upang subaybayan ang impormasyon.
- Makunan-HPC : katulad ng HoneyC, kinikilala ang mga nakakahamak na server sa pamamagitan ng pakikipag-ugnay sa mga kliyente gamit ang isang nakatuong virtual machine at pagrerehistro ng hindi pinahintulutang mga pagbabago.
Sa ibaba maaari kang makahanap ng isang medium na pakikipag-ugnayan honeypot praktikal na halimbawa.
Pag-deploy ng Cowrie upang mangolekta ng data sa mga pag-atake ng SSH:
Tulad ng sinabi dati, ang Cowrie ay isang honeypot na ginamit upang maitala ang impormasyon sa mga pag-atake na nagta-target sa serbisyo ng ssh. Ginagaya ng Cowrie ang isang mahina na ssh server na pinapayagan ang anumang mang-atake na mag-access sa isang pekeng terminal, na ginagaya ang isang matagumpay na pag-atake habang itinatala ang aktibidad ng umaatake.
Upang gayahin ni Cowrie ang isang pekeng mahina na server, kailangan namin itong italaga sa port 22. Sa gayon kailangan naming baguhin ang aming tunay na ssh port sa pamamagitan ng pag-edit ng file / etc / ssh / sshd_config tulad ng ipinakita sa ibaba.
sudo nano /atbp/ssh/sshd_configI-edit ang linya, at baguhin ito para sa isang port sa pagitan ng 49152 at 65535.
Port22 
I-restart at suriin ang serbisyo ay tumatakbo nang maayos:
sudoi-restart ang systemctlsshsudokatayuan ng systemctlssh
I-install ang lahat ng kinakailangang software para sa mga susunod na hakbang, sa pagpapatakbo ng mga pamamahagi ng Linux batay sa Debian:
sudoapti-install -atpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindpunta ka na 
Magdagdag ng isang hindi sikat na gumagamit na tinatawag na cowrie sa pamamagitan ng pagpapatakbo ng utos sa ibaba.
sudoIdagdag ang gumagamit- Hindi pinagana-passwordcowrie 
Sa mga pamamahagi ng batay sa Debian na naka-install ang authbind sa pamamagitan ng pagpapatakbo ng sumusunod na utos:
sudoapti-installauthbindPatakbuhin ang utos sa ibaba.
sudo hawakan /atbp/authbind/byport/22Baguhin ang pagmamay-ari sa pamamagitan ng pagpapatakbo ng utos sa ibaba.
sudo chowncowrie: cowrie/atbp/authbind/byport/22Baguhin ang mga pahintulot:
sudo chmod 770 /atbp/authbind/byport/22 
Pag-login bilang cowrie
sudo nitocowriePumunta sa direktoryo sa bahay ni cowrie.
CD~Mag-download ng cowrie honeypot gamit ang git tulad ng ipinakita sa ibaba.
git clonehttps://github.com/micheloosterhof/cowrieLumipat sa direktoryo ng cowrie.
CDcowrie/ 
Lumikha ng isang bagong file ng pagsasaayos batay sa isang default sa pamamagitan ng pagkopya nito mula sa file /etc/cowrie.cfg.dist sa cowrie.cfg sa pamamagitan ng pagpapatakbo ng utos na ipinapakita sa ibaba sa loob ng direktoryo ng cowrie /
cpatbp/cowrie.cfg.dist atbp/cowrie.cfg 
I-edit ang nilikha file:
nanoatbp/cowrie.cfgHanapin ang linya sa ibaba.
listen_endpoints = tcp:2222:interface= 0.0.0.0I-edit ang linya, pinapalitan ang port 2222 ng 22 tulad ng ipinakita sa ibaba.
listen_endpoints = tcp:22:interface= 0.0.0.0 
Makatipid at lumabas ng nano.
Patakbuhin ang utos sa ibaba upang lumikha ng isang paligid ng sawa:
virtualenv cowrie-env 
Paganahin ang isang virtual na kapaligiran.
pinagmulancowrie-env/am/buhayin 
I-update ang pip sa pamamagitan ng pagpapatakbo ng sumusunod na utos.
pipi-install - mag-upgradepip 
I-install ang lahat ng mga kinakailangan sa pamamagitan ng pagpapatakbo ng sumusunod na utos.
pipi-install --upgrademga kinakailangan.txt 
Patakbuhin ang cowrie sa sumusunod na utos:
am/umpisa ni cowrie 
Suriin ang pakikinig ng honeypot sa pamamagitan ng pagpapatakbo.
netstat -kaya 
Ngayon ang mga pagtatangka sa pag-login sa port 22 ay mai-log in ang file na var / log / cowrie / cowrie.log sa loob ng direktoryo ng cowrie.
Tulad ng sinabi dati, maaari mong gamitin ang Honeypot upang lumikha ng isang pekeng mahina na shell. Nagsasama ang mga Cowry ng isang file kung saan maaari mong tukuyin ang mga pinapayagan na mga gumagamit na mag-access sa shell. Ito ay isang listahan ng mga username at password kung saan maaaring ma-access ng isang hacker ang pekeng shell.
Ang format ng listahan ay ipinapakita sa imahe sa ibaba:
Maaari mong palitan ang pangalan ng listahan ng default na cowrie para sa mga layunin sa pagsubok sa pamamagitan ng pagpapatakbo ng utos sa ibaba mula sa direktoryo ng mga cowry. Sa pamamagitan nito, mag-log in ang mga gumagamit bilang root gamit ang password ugat o 123456 .
mvatbp/userdb.example atbp/userdb.txt 
Itigil at i-restart ang Cowrie sa pamamagitan ng pagpapatakbo ng mga utos sa ibaba:
am/huminto si cowrieam/umpisa ni cowrie
Ngayon subukan ang pagsubok na ma-access sa pamamagitan ng ssh gamit ang isang username at password na kasama sa userdb.txt listahan
Tulad ng nakikita mo, mag-a-access ka sa isang pekeng shell. At lahat ng aktibidad na ginawa sa shell na ito ay maaaring subaybayan mula sa cowrie log, tulad ng ipinakita sa ibaba.
Tulad ng nakikita mo, matagumpay na naipatupad si Cowrie. Maaari kang matuto nang higit pa sa Cowrie sa https://github.com/cowrie/ .
Konklusyon:
Ang pagpapatupad ng Honeypots ay hindi isang pangkaraniwang hakbang sa seguridad, ngunit tulad ng nakikita mo, ito ay isang mahusay na paraan upang patigasin ang seguridad ng network. Ang pagpapatupad ng mga Honeypot ay isang mahalagang bahagi ng koleksyon ng data na naglalayong mapabuti ang seguridad, ginagawang mga tagapagsama ang mga hacker sa pamamagitan ng pagbubunyag ng kanilang aktibidad, mga diskarte, kredensyal, at target. Isa rin itong mabigat na paraan upang magbigay ng pekeng impormasyon sa mga hacker.
Kung ikaw ay interesado sa Honeypots, marahil ang IDS (Intrusion Detection Systems) ay maaaring maging kawili-wili para sa iyo; sa LinuxHint, mayroon kaming ilang mga kagiliw-giliw na tutorial tungkol sa kanila:
- I-configure ang Snort IDS at lumikha ng mga panuntunan
- Pagsisimula sa OSSEC (Intrusion Detection System)
Inaasahan kong nahanap mo ang artikulong ito sa Honeypots at Honeynets na kapaki-pakinabang. Patuloy na sundin ang Linux Hint para sa higit pang mga tip at tutorial sa Linux.