Honeypot e nenet
Parte del lavoro di Sicurezza Specialisti IT è conoscere i tipi di attacchi o tecniche utilizzati dagli hacker raccogliendo informazioni per l'analisi successiva per valutare le caratteristiche dei tentativi di attacco. A volte questa raccolta di informazioni viene eseguita attraverso esche o esche progettate per registrare l'attività sospetta di potenziali aggressori che agiscono senza sapere che la loro attività viene monitorata. In IT Sicurezza, queste esche o esche sono chiamate Honeypot.
Cosa sono honeypot e honeynets:
UN vaso di miele può essere un'applicazione che simula un bersaglio che è davvero un registratore dell'attività degli aggressori. Sono denominati multipli honeypot che simulano più servizi, dispositivi e applicazioni Neynets.
Honeypot e Honeynets non memorizzano informazioni sensibili ma memorizzano false informazioni interessanti agli aggressori per farli interessare agli honeypot; Honeynets, in altre parole, parlano di trappole per hacker progettate per imparare le loro tecniche di attacco.
Gli honeypot ci danno due vantaggi: in primo luogo, ci aiutano a imparare gli attacchi per proteggere correttamente il nostro dispositivo di produzione o rete. In secondo luogo, mantenendo gli honeypot che simulano le vulnerabilità accanto ai dispositivi di produzione o alle reti, manteniamo l'attenzione degli hacker fuori dai dispositivi protetti. Troveranno più attraenti gli honeypot che simulano i buchi di sicurezza che possono sfruttare.
Tipi di honeypot:
Honeypot di produzione:
Questo tipo di honeypot è installato in una rete di produzione per raccogliere informazioni sulle tecniche utilizzate per attaccare i sistemi all'interno dell'infrastruttura. Questo tipo di honeypot offre un'ampia varietà di possibilità, dalla posizione dell'honeypot all'interno di un segmento di rete specifico al fine di rilevare i tentativi interni da parte degli utenti legittimi di rete di accedere alle risorse non consentite o proibite a un clone di un sito Web o di un servizio, identico al Originale come esca. Il problema più grande di questo tipo di honeypot è consentire traffico dannoso tra quelli legittimi.
Sviluppo honeypot:
Questo tipo di honeypot è progettato per raccogliere maggiori informazioni sulle tendenze di hacking, gli obiettivi desiderati dagli aggressori e le origini degli attacchi. Queste informazioni vengono successivamente analizzate per il processo decisionale sull'implementazione delle misure di sicurezza.
Il vantaggio principale di questo tipo di honeypot è, contrariamente alla produzione; Honeypot Development Honeypots si trova all'interno di una rete indipendente dedicata alla ricerca; Questo sistema vulnerabile è separato dall'ambiente di produzione che impedisce un attacco dallo stesso honeypot. Il suo svantaggio principale è il numero di risorse necessarie per implementarlo.
Esistono 3 diverse sottocategorie honeypot o tipi di classificazione definiti dal livello di interazione che ha con gli aggressori.
Honeypot a bassa interazione:
Un honeypot emula un servizio, app o sistema vulnerabili. Questo è molto facile da configurare ma limitato durante la raccolta di informazioni; Alcuni esempi di questo tipo di honeypot sono:
- Trappola di miele: è progettato per osservare gli attacchi contro i servizi di rete; Contrariamente ad altri honeypot, che si concentrano sulla cattura di malware, questo tipo di honeypot è progettato per catturare gli exploit.
- Nefentes: emula vulnerabilità note al fine di raccogliere informazioni su possibili attacchi; È progettato per emulare le vulnerabilità che gli sfruttano i vermi da propagare, quindi Nephentes cattura il loro codice per l'analisi successiva.
- Honeyc: Identifica i server Web dannosi all'interno del networking emulando diversi client e raccogliendo risposte al server quando rispondono alle richieste.
- Honeyd: è un demone che crea host virtuali all'interno di una rete che può essere configurato per eseguire servizi arbitrari che simulano l'esecuzione in diversi sistemi operativi.
- Glastopf: Emula migliaia di vulnerabilità progettate per raccogliere informazioni di attacco contro le applicazioni Web. È facile da configurare e una volta indicizzato dai motori di ricerca; diventa un obiettivo attraente per gli hacker.
Honeypot di interazione media:
In questo scenario, gli honeypot non sono progettati solo per raccogliere informazioni; È un'applicazione progettata per interagire con gli aggressori registrando esaurientemente l'attività di interazione; Simula un bersaglio in grado di offrire tutte le risposte che l'attaccante potrebbe aspettarsi; Alcuni honeypot di questo tipo sono:
- Cowrie: A SSH e Telnet Honeypot che registra attacchi di forza bruta e interazioni con shell hacker. Emula un sistema operativo UNIX e funziona come proxy per registrare l'attività dell'attaccante. Dopo questa sezione, puoi trovare istruzioni per l'implementazione di Cowrie.
- Sticky_elephant: è un honeypot postgresql.
- Calabrone: Una versione migliorata di Honeypot-WASP con falsa credenziale prompt progettata per siti Web con pagina di accesso di accesso pubblico per amministratori come /wp-admin per siti WordPress.
Honeypot ad alta interazione:
In questo scenario, gli honeypot non sono progettati solo per raccogliere informazioni; È un'applicazione progettata per interagire con gli aggressori registrando esaurientemente l'attività di interazione; Simula un bersaglio in grado di offrire tutte le risposte che l'attaccante potrebbe aspettarsi; Alcuni honeypot di questo tipo sono:
- Sebek: Funziona come HIDS (sistema di rilevamento delle intrusioni basato su host), consentendo di acquisire informazioni sull'attività del sistema. Questo è uno strumento server-cliente in grado di distribuire honeypot su Linux, Unix e Windows che acquisiscono e inviano le informazioni raccolte al server.
- Honeybow: può essere integrato con honeypot a bassa interazione per aumentare la raccolta delle informazioni.
- Hi-hat (ad alta interazione honeypot Analysis Toolkit): Converte i file PHP in honeypot ad alta interazione con un'interfaccia Web disponibile per monitorare le informazioni.
- Capture-HPC: Simile a Honeyc, identifica i server dannosi interagendo con i clienti utilizzando una macchina virtuale dedicata e registrando modifiche non autorizzate.
Di seguito è possibile trovare un esempio pratico di interazione media di interazione.
Distribuzione di Cowrie per raccogliere dati sugli attacchi SSH:
Come detto in precedenza, Cowrie è un honeypot utilizzato per registrare informazioni sugli attacchi destinati al servizio SSH. Cowrie simula un server SSH vulnerabile che consente a qualsiasi attaccante di accedere a un terminale falso, simulando un attacco di successo mentre registra l'attività dell'attaccante.
Per Cowrie per simulare un falso server vulnerabile, dobbiamo assegnarlo alla porta 22. Quindi dobbiamo cambiare la nostra vera porta SSH modificando il file /etc/ssh/sshd_config come mostrato di seguito.
sudo nano/etc/ssh/sshd_config
Modifica la linea e cambiarla per una porta tra 49152 e 65535.
Porta 22
Riavvia e controlla che il servizio è in esecuzione correttamente:
sudo systemctl riavvio ssh
sudo systemctl status ssh
Installa tutto il software necessario per i passaggi successivi, su Distribuzioni Linux basate su Debian:
SUDO APT Installa
Aggiungi un utente non privilegiato chiamato Cowrie eseguendo il comando di seguito.
sudo adduser-disabled-password cowrie
Su Distribuzioni Linux basate su Debian Installa Authbind eseguendo il seguente comando:
SUDO APT INSTALL AUTHBIND
Esegui il comando sotto.
sudo touch/etc/authbind/byport/22
Modificare la proprietà eseguendo il comando di seguito.
sudo chown cowrie: cowrie/etc/authbind/byport/22
Permessi di cambiamento:
sudo chmod 770/etc/authbind/byport/22
Accedi come cowrie
Sudo Su Cowrie
Entra nella directory di casa di Cowrie.
cd ~
Scarica Cowrie Honeypot usando Git come mostrato di seguito.
Git clone https: // github.com/micheloosterhof/cowrie
Passa alla directory di Cowrie.
cd cowrie/
Crea un nuovo file di configurazione in base a quello predefinito copiandolo dal file /etc/cowrie.cfg.dist a Cowrie.cfg eseguendo il comando mostrato di seguito nella directory di Cowrie/
CP etc/cowrie.cfg.dist etc/cowrie.cfg
Modifica il file creato:
nano ecc/cowrie.cfg
Trova la linea qui sotto.
ascolt_endpoints = TCP: 2222: interfaccia = 0.0.0.0
Modifica la riga, sostituendo la porta 2222 con 22 come mostrato di seguito.
ascolt_endpoints = TCP: 22: interfaccia = 0.0.0.0
Salva ed esci nano.
Esegui il comando qui sotto per creare un ambiente Python:
virtualenv cowrie-env
Abilita un ambiente virtuale.
fonte cowrie-env/bin/attiva
Aggiorna PIP eseguendo il seguente comando.
PIP Installa -PIP AGGIORNAMENTO
Installa tutti i requisiti eseguendo il seguente comando.
PIP Installa -Requisiti di aggiornamento.TXT
Esegui Cowrie con il seguente comando:
Bin/Cowrie Start
Controlla che Honeypot sta ascoltando correndo.
NetStat -tan
Ora i tentativi di accesso alla porta 22 verranno registrati nel file var/log/cowrie/cowrie.Registra all'interno della directory di Cowrie.
Come detto in precedenza, è possibile utilizzare Honeypot per creare un falso shell vulnerabile. I cowries includono un file in cui è possibile definire "utenti consentiti" per accedere alla shell. Questo è un elenco di nomi utente e password attraverso i quali un hacker può accedere alla shell falsa.
Il formato dell'elenco è mostrato nell'immagine seguente:
È possibile rinominare l'elenco predefinito di Cowrie per scopi di test eseguendo il comando di seguito dalla directory di Cowries. In questo modo, gli utenti saranno in grado di accedere come root utilizzando la password radice O 123456.
MV etc/userdb.Esempio ecc/userdb.TXT
Fermati e riavvia Cowrie eseguendo i comandi di seguito:
bid/cowrie stop
Bin/Cowrie Start
Ora prova il tentativo di accedere tramite SSH utilizzando un nome utente e una password inclusi nel userdb.TXT elenco.
Come puoi vedere, accederai a una shell falsa. E tutte le attività svolte in questo guscio possono essere monitorate dal registro Cowrie, come mostrato di seguito.
Come puoi vedere, Cowrie è stato implementato con successo. Puoi saperne di più su Cowrie su https: // github.com/cowrie/.
Conclusione:
L'implementazione di Honeypots non è una misura di sicurezza comune, ma come puoi vedere, è un ottimo modo per indurire la sicurezza della rete. L'implementazione di honeypot è una parte importante della raccolta dei dati che mira a migliorare la sicurezza, trasformando gli hacker in collaboratori rivelando la loro attività, tecniche, credenziali e obiettivi. È anche un modo formidabile per fornire agli hacker informazioni false.
Se sei interessato a honeypot, probabilmente ID (sistemi di rilevamento delle intrusioni) potrebbero essere interessanti per te; A Linuxhint, abbiamo un paio di tutorial interessanti su di loro:
- Configurare ID Snort e creare regole
- Introduzione con OSSEC (sistema di rilevamento delle intrusioni)
Spero che tu abbia trovato questo articolo su honeypot e honeynets utile. Continua a seguire il suggerimento Linux per ulteriori suggerimenti e tutorial Linux.