A mézesvirág lehet olyan célt szimuláló alkalmazás, amely valóban rögzíti a támadók tevékenységét. Több kapcsolódó szolgáltatást, eszközt és alkalmazást szimuláló Honeypot nevet kap a Honeynets.
A Honeypots és a Honeynets nem tárol érzékeny információkat, hanem hamis, vonzó információkat tárol a támadók számára annak érdekében, hogy érdekelje őket a Honeypots, a Honeynets, más szóval hacker csapdákról beszélünk, amelyek célja a támadási technikáik megtanulása.
A Honeypots kétféle előnyről számol be nekünk: először segítenek megtanulni a támadásokat, hogy később megfelelően biztosítsuk a gyártási eszközt vagy hálózatot. Másodszor, azáltal, hogy a sebezhetőségeket szimuláló mézes edényeket a gyártási eszközök vagy a hálózat mellett tartjuk, a hackerek figyelmét elkerüljük a biztonságos eszközöktől, mivel vonzóbbak lesznek a kihasználható biztonsági lyukakat szimuláló mézes edények.
Különböző típusú Honeypots létezik:
Termelési mézes edények:
Ezt a típusú mézes edényeket telepítik a termelési hálózatba, hogy információkat gyűjtsenek az infrastruktúrán belüli rendszerek megtámadására használt technikákról. Ez a típusú Honeypots sokféle lehetőséget kínál, a mézescserép helyétől egy adott hálózati szegmensen belül, annak érdekében, hogy észlelje a hálózati törvényes felhasználók belső próbálkozásait, hogy hozzáférjenek engedély nélküli vagy tiltott forrásokhoz egy weboldal vagy szolgáltatás klónjához, azonosak a eredeti csaliként. Az ilyen típusú mézes edények legnagyobb problémája a kártékony forgalom engedélyezése a legális között.
Fejlesztő edények:
Ez a típusú mézes edények célja, hogy minél több információt gyűjtsenek a hackelési trendekről, a támadók kívánt célpontjairól és a támadások eredetéről. Ezeket az információkat később elemzik a biztonsági intézkedések végrehajtásával kapcsolatos döntéshozatali folyamat során.
Az ilyen típusú mézes edények fő előnye, hogy a mézes edények gyártásával ellentétben a mézes edények egy független, kutatásra szánt hálózatban találhatók, ez a sérülékeny rendszer el van választva a termelési környezettől, megakadályozva a mézes edény támadását. Fő hátránya a megvalósításához szükséges erőforrások mennyisége.
A támadókkal való interakció meghatározza a mézes edények 3 alkategóriáját vagy más besorolását.
Alacsony interakciójú mézes edények:
A Honeypot sebezhető szolgáltatást, alkalmazást vagy rendszert emulál. Ezt nagyon könnyű beállítani, de az információk gyűjtésekor korlátozott, néhány példa az ilyen típusú mézesfazékokra:
Mézcsapda: a hálózati szolgáltatások elleni támadások megfigyelésére tervezték, ellentétben a kártevők elfogására összpontosító más mézes edényekkel, ez a mézes edények kiaknázások elfogására szolgálnak.
Nephentes: ismert sebezhetőségeket emulál annak érdekében, hogy információkat gyűjtsön a lehetséges támadásokról. Úgy tervezték, hogy a férgek által kihasználható sebezhetőségeket utánozza, amelyek továbbterjedése érdekében Nephentes rögzíti kódjaikat későbbi elemzés céljából.
HoneyC: azonosítja a hálózaton belüli rosszindulatú webkiszolgálókat különböző ügyfelek utánzása és a szerver válaszainak összegyűjtése során, amikor válaszol a kérésekre.
HoneyD: egy démon, amely virtuális gazdagépeket hoz létre egy hálózaton belül, és konfigurálható tetszőleges szolgáltatások futtatására, szimulálva a végrehajtást a különböző operációs rendszerekben.
Glastopf: több ezer sebezhetőséget emulál, amelyek célja a támadásokkal kapcsolatos információk gyűjtése a webalkalmazások ellen. Könnyű beállítani, és miután a keresőmotorok indexelték, vonzó célponttá válik a hackerek számára.
Közepes interakciós mézes edények:
Az ilyen típusú mézes edények kevésbé interaktívak, mint az előzőek, anélkül, hogy lehetővé tennék a magas mézes edények által megengedett szintű interakciót. Néhány ilyen típusú mézespot:
Kippo: ez egy ssh mézespot, amelyet az unix rendszerek elleni erőszakos támadások naplózására és a hacker tevékenységének naplózására használnak, ha a hozzáférést megszerezték. Megszűnt és helyére Cowrie került.
Porceláncsiga: egy másik ssh és telnet mézespot, amely naplózza a nyers erőszakos támadásokat és a hackerek héja kölcsönhatását. Unix operációs rendszert emulál, és proxyként működik a támadó tevékenységének naplózásában.
Sticky_elephant: ez egy PostgreSQL mézes pot.
Lódarázs: A honeypot-darázs továbbfejlesztett verziója hamis hitelesítő adatokkal, amelyet az adminisztrátorok számára nyilvános hozzáféréssel rendelkező webhelyekhez terveztek, például a / wp-admin a wordpress webhelyekhez.
Magas interakciójú mézes edények:
Ebben a forgatókönyvben a Honeypotokat nem csak információk gyűjtésére tervezték, hanem egy olyan alkalmazást, amely a támadókkal való interakcióra tervezték, miközben kimerítően regisztrálja az interakciós tevékenységet. Olyan célpontot szimulál, amely képes felajánlani a támadó által elvárható összes választ, néhány ilyen típusú cserépben:
Sebek: HIDS-ként működik (Host-based Intrusion Detection System), amely lehetővé teszi a rendszer tevékenységével kapcsolatos információk rögzítését. Ez egy kiszolgáló-kliens eszköz, amely Linux, Unix és Windows rendszeren mézespotokat tud telepíteni, amelyek rögzítik és elküldik az összegyűjtött információkat a szerverre.
HoneyBow: integrálható alacsony interakciójú edényekkel az információgyűjtés fokozása érdekében.
HI-HAT (High Interaction Honeypot Analysis Toolkit): a php fájlokat nagy interakciójú mézespotokká alakítja, az információk nyomon követésére rendelkezésre álló webes felülettel.
Capture-HPC: hasonlóan a HoneyC-hez, azonosítja a rosszindulatú kiszolgálókat azáltal, hogy ügyfelekkel lépnek kapcsolatba velük dedikált virtuális gép segítségével, és engedély nélküli módosításokat regisztrálnak.
Ha érdekli a Honeypots, valószínűleg érdekes lehet az IDS (Intrusion Detection Systems), a LinuxHint-nél van néhány érdekes oktatóanyag:
- Konfigurálja a Snort IDS-t és hozzon létre szabályokat
- Az OSSEC (Behatolásérzékelő Rendszer) használatának megkezdése
Remélem, hasznosnak találta ezt a cikket a Honeypots és a Honeynets oldalon. Kövesse a LinuxHint alkalmazást, ha további tippeket és frissítéseket szeretne kapni a Linuxról és a biztonságról.