Phenquestions
En honningpotte kan være en applikasjon som simulerer et mål som virkelig er en opptaker av angripernes aktivitet. Flere Honeypots som simulerer flere tjenester, enheter og applikasjonsrelaterte er Honeynets.
Honeypots og Honeynets lagrer ikke sensitiv informasjon, men lagrer falsk attraktiv informasjon til angripere for å få dem interessert i Honeypots, Honeynets, med andre ord vi snakker om hackerfeller designet for å lære deres angrepsteknikker.
Honeypots rapporterer oss om to typer fordeler: først hjelper de oss med å lære angrep for senere å sikre produksjonsenheten eller nettverket vårt riktig. For det andre, ved å holde honeypots som simulerer sårbarheter ved siden av produksjonsenheter eller nettverk, holder vi hackers oppmerksomhet utenfor sikrede enheter, siden de vil finne mer attraktive de honeypots som simulerer sikkerhetshull de kan utnytte.
Det finnes forskjellige typer Honeypots:
Produksjon Honeypots:
Denne typen honningpotter er installert i et produksjonsnettverk for å samle informasjon om teknikker som brukes til å angripe systemer i infrastrukturen. Denne typen Honeypots tilbyr et bredt utvalg av muligheter, fra plasseringen av honningpotten i et spesifikt nettverkssegment for å oppdage interne forsøk fra nettverks legitime brukere å få tilgang til ikke tillatte eller forbudte ressurser til en klon på et nettsted eller en tjeneste, identisk med original som agn. Det største problemet med denne typen honningpotter er å tillate skadelig trafikk mellom legitime.
Utvikling av honningpotter:
Denne typen honningpotter er designet for å samle mer informasjon som mulig om hackingtrender, ønsket mål fra angripere og angrepets opprinnelse. Denne informasjonen blir senere analysert for beslutningsprosessen om implementering av sikkerhetstiltak.
Den største fordelen med denne typen honningpotter er, i motsetning til produksjonen av honningkarene, er honningkarene plassert i et uavhengig nettverk, dedikert for forskning, dette sårbare systemet er skilt fra produksjonsmiljøet og forhindrer et angrep fra selve honningkaret. Dens største ulempe er mengden ressurser som er nødvendig for å implementere den.
Det er en tre underkategorier eller annen klassifisering av honningkasser definert av samspillet det har med angripere.
Honeypots med lav interaksjon:
En Honeypot emulerer en sårbar tjeneste, app eller et system. Dette er veldig enkelt å installere, men begrenset når du samler inn informasjon, noen eksempler på denne typen honningpotter er:
Honeytrap: den er designet for å observere angrep mot nettverkstjenester, i motsetning til andre honeypots som fokuserer på å fange malware, er denne typen honeypots designet for å fange utnyttelser.
Nephentes: emulerer kjente sårbarheter for å samle informasjon om mulige angrep, den er designet for å etterligne sårbarheter som ormer utnytter for å forplante seg, og deretter fanger Nephentes koden sin for senere analyse.
HoneyC: identifiserer ondsinnede webservere i nettverket ved å etterligne forskjellige klienter og samle serversvar når de svarer på forespørsler.
HoneyD: er en demon som skaper virtuelle verter i et nettverk som kan konfigureres til å kjøre vilkårlige tjenester som simulerer kjøring i forskjellige operativsystemer.
Glastopf: emulerer tusenvis av sårbarheter designet for å samle angrepsinformasjon mot webapplikasjoner. Det er enkelt å installere, og når det først er indeksert av søkemotorer, blir det et attraktivt mål for hackere.
Medium interaksjon honningpotter:
Disse typer honeypotter er mindre interaktive enn den forrige uten å tillate nivåinteraksjonen som høye honningpotter tillater. Noen honningpotter av denne typen er:
Kippo: det er en ssh-honningpotte som brukes til å logge brute force-angrep mot unix-systemer og logge aktiviteten til hackeren hvis tilgangen ble oppnådd. Den ble avviklet og erstattet av Cowrie.
Cowrie: en annen ssh- og telnet-honningpotte som logger brute force-angrep og hackers skallinteraksjon. Den etterligner et Unix OS og fungerer som proxy for å logge angriperaktiviteten.
Sticky_elephant: det er en PostgreSQL-honningpotte.
Hornet: En forbedret versjon av honeypot-veps med falske legitimasjonsbeskrivelser designet for nettsteder med påloggingsside for offentlig tilgang for administratorer som / wp-admin for wordpress-nettsteder.
Hone Interaksjon Honeypots:
I dette scenariet er ikke Honeypots designet for kun å samle inn informasjon, det er et program designet for å samhandle med angripere mens de uttømmende registrerer interaksjonsaktiviteten, det simulerer et mål som er i stand til å tilby alle svar angriperen kan forvente, noen honningpotter av denne typen er:
Sebek: fungerer som et HIDS (vertsbasert inntrengingsdeteksjonssystem) som gjør det mulig å fange informasjon om en systemaktivitet. Dette er et server-klientverktøy som kan distribuere honningkasser på Linux, Unix og Windows som fanger og sender den innsamlede informasjonen til serveren.
HoneyBow: kan integreres med små interaksjoner med honningkasser for å øke informasjonsinnsamlingen.
HI-HAT (High Interaction Honeypot Analysis Toolkit): konverterer php-filer til honeypots med høy interaksjon med et webgrensesnitt tilgjengelig for å overvåke informasjonen.
Capture-HPC: ligner på HoneyC, identifiserer ondsinnede servere ved å samhandle med dem som klienter ved hjelp av en dedikert virtuell maskin og registrere uautoriserte endringer.
Hvis du er interessert i Honeypots, kan IDS (Intrusion Detection Systems) sannsynligvis være interessant for deg, på LinuxHint har vi et par interessante veiledninger om dem:
- Konfigurer Snort IDS og opprett regler
- Komme i gang med OSSEC (Intrusion Detection System)
Jeg håper du fant denne artikkelen om Honeypots and Honeynets nyttig. Fortsett å følge LinuxHint for flere tips og oppdateringer om Linux og sikkerhet.
