Phenquestions
Medena lopata može biti aplikacija koja simulira metu koja zaista bilježi aktivnost napadača. Više Honeypots-a koji simuliraju više usluga, uređaja i aplikacija povezanih denominirano je Honeynets.
Honeypots i Honeynets ne pohranjuju osjetljive podatke već spremaju lažne atraktivne informacije napadačima kako bi ih zainteresirali za Honeypots, Honeynets, drugim riječima govorimo o hakerskim zamkama osmišljenim da nauče njihove tehnike napada.
Honeypots nam prijavljuju dvije vrste pogodnosti: prvo pomažu nam da naučimo napade kako bismo kasnije pravilno zaštitili svoj proizvodni uređaj ili mrežu. Drugo, držeći lončiće koji simuliraju ranjivosti pored proizvodnih uređaja ili mreže, hakerima odvraćamo pažnju od osiguranih uređaja, jer će im biti privlačniji lonci koji simuliraju sigurnosne rupe koje mogu iskoristiti.
Postoje različite vrste medenih lonaca:
Proizvodne lonce za med:
Ova vrsta lonaca instalirana je u proizvodnoj mreži za prikupljanje informacija o tehnikama koje se koriste za napad na sustave unutar infrastrukture. Ova vrsta Honeypots nudi široku paletu mogućnosti, od smještaja medenog lonca unutar određenog mrežnog segmenta kako bi se otkrili unutarnji pokušaji legitimnih korisnika mreže da pristupe nedozvoljenim ili zabranjenim resursima klonu web stranice ili usluge, identičnom kao original kao mamac. Najveći problem ove vrste mednih kašika je dopuštanje zlonamjernog prometa između legitimnog.
Razvojne posude:
Ova vrsta mednih lonaca dizajnirana je za prikupljanje što više informacija o trendovima hakiranja, željenim ciljevima napadača i podrijetlu napada. Te se informacije kasnije analiziraju u procesu donošenja odluka o provedbi sigurnosnih mjera.
Glavna prednost ove vrste lonaca je, suprotno proizvodnji lonaca, lonci smješteni unutar neovisne mreže, namijenjene istraživanju, ovaj ranjivi sustav odvojen je od proizvodnog okruženja sprečavajući napad iz same lonce. Njegov glavni nedostatak je količina resursa potrebnih za njegovu provedbu.
Postoji 3 potkategorija ili drugačija klasifikacija lončića definiranih interakcijom koju ima s napadačima.
Lončići s niskom interakcijom:
Honeypot oponaša ranjivu uslugu, aplikaciju ili sustav. Ovo je vrlo jednostavno za postavljanje, ali ograničeno pri prikupljanju informacija, neki primjeri ove vrste meda su:
Medolovka: dizajniran je za promatranje napada na mrežne usluge, za razliku od ostalih lonaca koji se usredotočuju na hvatanje malwarea, ova vrsta meda je dizajnirana za hvatanje iskorištavanja.
Nephentes: emulira poznate ranjivosti kako bi prikupio informacije o mogućim napadima, dizajniran je za oponašanje ranjivosti koje crvi eksploatiraju za širenje, a zatim Nephentes bilježi njihov kôd za kasniju analizu.
Med C: identificira zlonamjerne web poslužitelje unutar mreže oponašanjem različitih klijenata i prikupljanjem odgovora poslužitelja prilikom odgovaranja na zahtjeve.
HoneyD: je demon koji stvara virtualne hostove unutar mreže koji se mogu konfigurirati za pokretanje proizvoljnih usluga koje simuliraju izvršavanje u različitim OS-ima.
Glastopf: oponaša tisuće ranjivosti dizajniranih za prikupljanje informacija o napadima na web aplikacije. Jednostavna je za postavljanje i nakon što je indeksiraju tražilice, postaje privlačna meta za hakere.
Medeni lonci srednje interakcije:
Ove su vrste lonaca manje interaktivne od prethodnih, ne dopuštajući razinu interakcije koju visoke lonce dopuštaju. Neke vrste meda ove vrste su:
Kippo: to je ssh honeypot koji se koristi za bilježenje napada brute force na unix sustave i bilježenje aktivnosti hakera ako je pristup stečen. Ukinuo ga je i zamijenio Cowrie.
Cowrie: još jedan ssh i telnet honeypot koji bilježi napade grube sile i interakciju ljuske hakera. Emulira Unix OS i radi kao proxy za bilježenje aktivnosti napadača.
Ljepljivi_slon: to je PostgreSQL lonac.
Stršljen: Poboljšana verzija honeypot-ose s lažnim upitima za vjerodajnice dizajnirana za web stranice s javnom pristupnom stranicom za prijavu za administratore kao što je / wp-admin za wordpress web stranice.
Lončići s visokom interakcijom:
U ovom scenariju Honeypots nisu dizajnirani samo za prikupljanje podataka, to je aplikacija dizajnirana za interakciju s napadačima dok iscrpno registrira aktivnost interakcije, simulira metu koja može ponuditi sve odgovore koje napadač može očekivati, neke vrste medena mjesta su:
Sebek: radi kao HIDS (Host-based Intrusion Detection System) koji omogućuje prikupljanje podataka o aktivnosti sustava. Ovo je alat za poslužitelj-klijent sposoban za raspoređivanje honeypotova na Linuxu, Unixu i Windowsu koji sakupljaju i šalju prikupljene podatke na poslužitelj.
Medeni luk: mogu se integrirati s lončićima s niskom interakcijom radi povećanja prikupljanja informacija.
HI-HAT (Alat za analizu mednih kašika visoke interakcije): pretvara php datoteke u medijske lonce s visokom interakcijom s web sučeljem dostupnim za nadgledanje informacija.
Hvatanje-HPC: slično HoneyC-u, identificira zlonamjerne poslužitelje interakcijom s njima kao klijentima pomoću namjenskog virtualnog stroja i registriranjem neovlaštenih promjena.
Ako ste zainteresirani za Honeypots, vjerojatno bi vam IDS (sustavi za otkrivanje upada) mogao biti zanimljiv, u LinuxHintu imamo nekoliko zanimljivih vodiča o njima:
- Konfigurirajte Snort IDS i stvorite pravila
- Početak rada s OSSEC-om (sustav za otkrivanje upada)
Nadam se da vam je ovaj članak o medenim loncima i medenim mrežama bio koristan. Nastavite pratiti LinuxHint za više savjeta i ažuriranja o Linuxu i sigurnosti.
