Phenquestions
En honningpotte kan være en applikation, der simulerer et mål, der virkelig er en optager af angribernes aktivitet. Flere honningpotter, der simulerer flere tjenester, enheder og applikationsrelaterede er Honeynets.
Honeypots og Honeynets gemmer ikke følsomme oplysninger, men gemmer falske attraktive oplysninger for angribere for at få dem interesserede i Honeypots, Honeynets, med andre ord taler vi om hackerfælder designet til at lære deres angrebsteknikker.
Honeypots rapporterer os om to typer fordele: først hjælper de os med at lære angreb for senere at sikre vores produktionsenhed eller netværk ordentligt. For det andet ved at holde honeypots, der simulerer sårbarheder ved siden af produktionsenheder eller netværk, holder vi hackernes opmærksomhed ude af sikrede enheder, da de finder mere attraktive de honeypots, der simulerer sikkerhedshuller, de kan udnytte.
Der findes forskellige typer honningpotter:
Produktion Honeypots:
Denne type honningpotter er installeret i et produktionsnetværk for at indsamle information om teknikker, der bruges til at angribe systemer inden for infrastrukturen. Denne type Honeypots tilbyder en bred vifte af muligheder, fra placeringen af honningpotten inden for et specifikt netværkssegment for at opdage interne forsøg fra netværks legitime brugere på at få adgang til ikke tilladte eller forbudte ressourcer til en klon på et websted eller en tjeneste, identisk med original som lokkemad. Det største problem med denne type honeypots er at tillade ondsindet trafik mellem legitim en.
Udvikling af honningpotter:
Denne type honeypots er designet til at indsamle mere information som muligt om hackingtendenser, ønskede mål fra angribere og angrebets oprindelse. Disse oplysninger analyseres senere til beslutningsprocessen om implementering af sikkerhedsforanstaltninger.
Den største fordel ved denne type honningpotter er, i modsætning til produktionen af honningpotter, honningpotter er placeret i et uafhængigt netværk, dedikeret til forskning, dette sårbare system er adskilt fra produktionsmiljøet og forhindrer et angreb fra selve honningpotten. Dens største ulempe er den nødvendige mængde ressourcer til at gennemføre den.
Der er en 3 underkategori eller anden klassificering af honningpotter defineret af den interaktion, den har med angribere.
Honeypots med lav interaktion:
En Honeypot emulerer en sårbar tjeneste, app eller et system. Dette er meget let at opsætte, men begrænset ved indsamling af information, nogle eksempler på denne type honningpotter er:
Honeytrap: det er designet til at observere angreb mod netværkstjenester i modsætning til andre honningpotter, der fokuserer på at fange malwares, denne type honningpotter er designet til at fange bedrifter.
Nephentes: emulerer kendte sårbarheder for at indsamle oplysninger om mulige angreb, det er designet til at efterligne sårbarheder, som orme udnytter til at udbrede, så fanger Nephentes deres kode til senere analyse.
HoneyC: identificerer ondsindede webservere inden for netværket ved at emulere forskellige klienter og indsamle serversvar, når de besvarer anmodninger.
HoneyD: er en dæmon, der opretter virtuelle værter inden for et netværk, der kan konfigureres til at køre vilkårlige tjenester, der simulerer udførelse i forskellige operativsystemer.
Glastopf: efterligner tusindvis af sårbarheder designet til at indsamle oplysninger om angreb mod webapplikationer. Det er let at konfigurere, og når det først er indekseret af søgemaskiner, bliver det et attraktivt mål for hackere.
Medium interaktion honningpotter:
Disse typer honningpotter er mindre interaktive end de foregående uden at tillade niveauinteraktion, som høje honningpotter tillader. Nogle honningpotter af denne type er:
Kippo: det er en ssh honeypot, der bruges til at logge brute force angreb mod unix-systemer og logge hackers aktivitet, hvis adgangen blev opnået. Det blev afbrudt og erstattet af Cowrie.
Cowrie: en anden ssh- og telnet-honningpotte, der logger brute force-angreb og hackers shell-interaktion. Det efterligner et Unix OS og fungerer som proxy til at logge angriberens aktivitet.
Sticky_elephant: det er en PostgreSQL-honningpotte.
Gedehams: En forbedret version af honeypot-hveps med falske legitimationsoplysninger designet til websteder med login-login-side til administratorer som / wp-admin til wordpress-websteder.
Hone Interaction Honeypots:
I dette scenarie er Honeypots ikke designet til kun at indsamle information, det er et program designet til at interagere med angribere, mens de udtømmende registrerer interaktionsaktiviteten, det simulerer et mål, der er i stand til at tilbyde alle svar, angriberen kan forvente, nogle honningpotter af denne type er:
Sebek: fungerer som et HIDS (værtsbaseret indtrængningsdetekteringssystem), der gør det muligt at registrere information om en systemaktivitet. Dette er et server-klientværktøj, der er i stand til at implementere honning-potter på Linux, Unix og Windows, der fanger og sender de indsamlede oplysninger til serveren.
HoneyBow: kan integreres med honeypots med lav interaktion for at øge informationsindsamlingen.
HI-HAT (værktøjssæt til analyse af honningpotte med høj interaktion): konverterer php-filer til honeypots med høj interaktion med en tilgængelig webgrænseflade til at overvåge informationen.
Capture-HPC: svarer til HoneyC, identificerer ondsindede servere ved at interagere med dem som klienter ved hjælp af en dedikeret virtuel maskine og registrere uautoriserede ændringer.
Hvis du er interesseret i Honeypots, kan IDS (Intrusion Detection Systems) sandsynligvis være interessant for dig, på LinuxHint har vi et par interessante tutorials om dem:
- Konfigurer Snort IDS og opret regler
- Kom godt i gang med OSSEC (Intrusion Detection System)
Jeg håber, du fandt denne artikel om Honeypots and Honeynets nyttige. Fortsæt med at følge LinuxHint for at få flere tip og opdateringer om Linux og sikkerhed.
