Bezpečnostní

Honeypots a Honeynets

Honeypots a Honeynets
Součástí práce bezpečnostních IT specialistů je seznámit se s typy útoků nebo technikami, které používají hackeři, shromažďováním také informací pro pozdější analýzu za účelem vyhodnocení charakteristik pokusů o útok. Někdy se tento sběr informací provádí pomocí návnady nebo návnad určených k registraci podezřelé aktivity potenciálních útočníků, kteří jednají, aniž by věděli, že je sledována jejich aktivita. V oblasti IT bezpečnosti se tyto návnady nebo návnady nazývají Honeypots.

Honeypot může být aplikace simulující cíl, který ve skutečnosti zaznamenává aktivitu útočníků. Vícenásobné honeypoty simulující více služeb, zařízení a aplikací jsou označovány jako honeynety.

Honeypoty a Honeynety neukládají citlivé informace, ale ukládají falešné atraktivní informace útočníkům, aby je zaujaly Honeypoty, Honeynety, jinými slovy mluvíme o hackerských pasti určených k osvojení jejich útočných technik.

Honeypots nám hlásí dva typy výhod: nejprve nám pomáhají naučit se útoky, abychom později mohli naše produkční zařízení nebo síť správně zabezpečit. Zadruhé, udržováním honeypotů simulujících zranitelnost vedle produkčních zařízení nebo sítě udržujeme pozornost hackerů mimo zabezpečená zařízení, protože pro ně budou atraktivnější honeypoty simulující bezpečnostní díry, které mohou zneužít.

Existují různé typy honeypotů:

Produkční honeypoty:

Tento typ honeypotů je instalován v produkční síti ke shromažďování informací o technikách používaných k útoku na systémy v rámci infrastruktury.  Tento typ honeypotů nabízí širokou škálu možností, od umístění honeypotu v konkrétním segmentu sítě, aby bylo možné detekovat interní pokusy legitimních uživatelů sítě o přístup k nepovoleným nebo zakázaným zdrojům na klon webové stránky nebo služby, totožný s originál jako návnada. Největším problémem tohoto typu honeypotů je povolení škodlivého provozu mezi legitimním.

Vývojové honeypoty:

Tento typ honeypotů je navržen tak, aby shromažďoval co nejvíce informací o hackerských trendech, požadovaných cílech útočníky a původu útoků. Tyto informace jsou později analyzovány pro rozhodovací proces o implementaci bezpečnostních opatření.

Hlavní výhodou tohoto typu honeypotů je, že na rozdíl od vývoje produkčních honeypotů jsou honeypoty umístěny v nezávislé síti určené pro výzkum, tento zranitelný systém je oddělen od produkčního prostředí bránícího útoku ze samotného honeypotu. Jeho hlavní nevýhodou je množství zdrojů potřebných k jeho provedení.

Existuje 3 podkategorie nebo odlišná klasifikace honeypotů definovaných interakcí s útočníky.

Honeypoty s nízkou interakcí:

Honeypot emuluje zranitelnou službu, aplikaci nebo systém.  Nastavení je velmi snadné, ale při shromažďování informací omezené, některé příklady tohoto typu honeypotů jsou:

Honeytrap: je navržen tak, aby sledoval útoky na síťové služby, na rozdíl od jiných honeypotů, které se zaměřují na zachycení malwarů, je tento typ honeypotů určen k zachycení exploitů.

Nephentes: emuluje známé chyby zabezpečení za účelem shromažďování informací o možných útocích, je navrženo tak, aby emulovaly chyby zabezpečení, které červy zneužijí k šíření, poté Nephentes zachytí svůj kód pro pozdější analýzu.

HoneyC: identifikuje škodlivé webové servery v rámci sítě emulováním různých klientů a shromažďováním odpovědí serveru při odpovídání na požadavky.

HoneyD: je démon, který vytváří virtuální hostitele v síti, kterou lze konfigurovat pro spouštění libovolných služeb simulujících provádění v různých operačních systémech.

Glastopf: emuluje tisíce zranitelných míst určených ke shromažďování informací o útocích proti webovým aplikacím. Je snadné jej nastavit a jakmile jej indexují vyhledávače, stane se atraktivním cílem pro hackery.

Honeypoty se střední interakcí:

Tyto typy honeypotů jsou méně interaktivní než předchozí, aniž by umožňovaly interakci na úrovni, kterou umožňují vysoké honeypoty. Některé honeypoty tohoto typu jsou:

Kippo: je to ssh honeypot používaný k logování útoků hrubou silou proti unixovým systémům a protokolování aktivity hackera, pokud byl získán přístup. To bylo přerušeno a nahrazeno Cowrie.

Cowrie: další ssh a telnet honeypot, který zaznamenává útoky hrubou silou a interakci hackerů s shellem. Emuluje operační systém Unix a funguje jako proxy server k zaznamenávání aktivity útočníka.

Sticky_elephant: je to honeypot PostgreSQL.

Sršeň: Vylepšená verze honeypot-wasp s výzvou k falešným přihlašovacím údajům určená pro weby s veřejnou přístupovou přihlašovací stránkou pro administrátory, jako je / wp-admin pro weby wordpress.

Honeypoty s vysokou interakcí:

V tomto scénáři Honeypoty nejsou určeny pouze ke shromažďování informací, jedná se o aplikaci určenou k interakci s útočníky při vyčerpávající registraci aktivity interakce, simuluje cíl schopný nabídnout všechny odpovědi, které útočník může očekávat, některé honeypoty tohoto typu jsou:

Sebek: pracuje jako HIDS (Host-based Intrusion Detection System) umožňující zachytit informace o činnosti systému. Jedná se o nástroj server-klient schopný nasadit honeypoty na Linuxu, Unixu a Windows, které zachycují a odesílají shromážděné informace na server.

HoneyBow: lze integrovat do honeypotů s nízkou interakcí a zvýšit tak shromažďování informací.

HI-HAT (sada nástrojů pro analýzu honeypotů s vysokou interakcí): převádí php soubory na vysoce interakční honeypoty pomocí webového rozhraní dostupného pro sledování informací.

Capture-HPC: Podobně jako HoneyC identifikuje škodlivé servery tím, že s nimi interaguje jako s klienty pomocí vyhrazeného virtuálního počítače a registruje neoprávněné změny.

Pokud vás zajímají Honeypoty, pravděpodobně by vás IDS (Intrusion Detection Systems) mohly zajímat, na LinuxHint máme o nich několik zajímavých návodů:

Doufám, že vám tento článek o Honeypotech a Honeynetech pomohl. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a zabezpečení.

Hry 5 nejlepších arkádových her pro Linux
5 nejlepších arkádových her pro Linux
V dnešní době jsou počítače vážné stroje používané k hraní her. Pokud nemůžete získat nové vysoké skóre, budete vědět, co tím myslím. V tomto příspěvk...
Hry Battle For Wesnoth 1.13.6 Vývoj uvolněn
Battle For Wesnoth 1.13.6 Vývoj uvolněn
Battle For Wesnoth 1.13.6 vydané minulý měsíc, je šestým vývojovým vydáním v 1.13.série x a přináší řadu vylepšení, zejména do uživatelského rozhraní,...
Hry Jak nainstalovat League Of Legends na Ubuntu 14.04
Jak nainstalovat League Of Legends na Ubuntu 14.04
Pokud jste fanouškem League of Legends, pak je to pro vás příležitost otestovat běh League of Legends. Všimněte si, že LOL je podporován na PlayOnLinu...