Een deel van het werk van IT-beveiligingsspecialisten is om te leren over de soorten aanvallen of technieken die door hackers worden gebruikt door informatie te verzamelen voor latere analyse om de kenmerken van aanvalspogingen te evalueren. Soms wordt deze informatieverzameling gedaan door middel van lokaas of lokmiddelen die zijn ontworpen om de verdachte activiteit te registreren van potentiële aanvallers die handelen zonder te weten dat hun activiteit wordt gecontroleerd. In IT-beveiliging worden deze lokaas of lokaas genoemd Honingpotten .
Wat zijn honeypots en honeynets:
TOT honingpot kan een applicatie zijn die een doelwit simuleert dat in feite een recorder is van de activiteit van aanvallers. Meerdere Honeypots die meerdere services, apparaten en applicaties simuleren, worden genoemd Honingnetten .
Honeypots en Honeynets slaan geen gevoelige informatie op, maar slaan nep-aantrekkelijke informatie op voor aanvallers om hen te interesseren voor de Honeypots; Honeynets heeft het met andere woorden over hackertraps die zijn ontworpen om hun aanvalstechnieken te leren.
Honeypots bieden ons twee voordelen: ten eerste helpen ze ons aanvallen te leren om ons productieapparaat of netwerk goed te beveiligen. Ten tweede, door honeypots die kwetsbaarheden simuleren naast productieapparaten of netwerken te houden, houden we de aandacht van hackers buiten beveiligde apparaten. Ze zullen de honeypots die beveiligingslekken simuleren die ze kunnen misbruiken aantrekkelijker vinden.
Honeypot-types:
Productie Honeypots:
Dit type honeypot wordt in een productienetwerk geïnstalleerd om informatie te verzamelen over technieken die worden gebruikt om systemen binnen de infrastructuur aan te vallen. Dit type honeypot biedt een breed scala aan mogelijkheden, van de locatie van de honeypot binnen een specifiek netwerksegment om interne pogingen van legitieme netwerkgebruikers om toegang te krijgen tot niet-toegestane of verboden bronnen tot een kloon van een website of dienst, identiek aan de origineel als aas. Het grootste probleem van dit type honeypot is het toestaan van kwaadaardig verkeer tussen legitieme.
Ontwikkeling honeypots:
Dit type honeypot is ontworpen om meer informatie te verzamelen over hacktrends, gewenste doelen door aanvallers en de oorsprong van de aanval. Deze informatie wordt later geanalyseerd voor het besluitvormingsproces over de implementatie van beveiligingsmaatregelen.
Het grote voordeel van dit type honeypots is, in tegenstelling tot de productie; ontwikkeling van honeypots honeypots bevinden zich binnen een onafhankelijk netwerk dat zich toelegt op onderzoek; dit kwetsbare systeem is gescheiden van de productieomgeving, waardoor een aanval vanuit de honeypot zelf wordt voorkomen. Het belangrijkste nadeel is het aantal middelen dat nodig is om het te implementeren.
Er zijn 3 verschillende honeypot-subcategorieën of classificatietypes gedefinieerd door het interactieniveau dat het heeft met aanvallers.
Honeypots met lage interactie:
Een Honeypot emuleert een kwetsbare service, app of systeem. Dit is heel eenvoudig in te stellen, maar beperkt bij het verzamelen van informatie; enkele voorbeelden van dit type honeypots zijn:
- Honingval : het is ontworpen om aanvallen op netwerkdiensten waar te nemen; in tegenstelling tot andere honeypots, die zich richten op het onderscheppen van malware, is dit type honeypot ontworpen om exploits te vangen.
- Nephentes : emuleert bekende kwetsbaarheden om informatie over mogelijke aanvallen te verzamelen; het is ontworpen om kwetsbaarheden na te bootsen die wormen misbruiken om te verspreiden, waarna Nephentes hun code vangt voor latere analyse.
- HoningC : identificeert kwaadaardige webservers binnen het netwerk door verschillende clients te emuleren en serverreacties te verzamelen bij het beantwoorden van verzoeken.
- HoningD : is een daemon die virtuele hosts maakt binnen een netwerk die kunnen worden geconfigureerd om willekeurige services uit te voeren die uitvoering in verschillende besturingssystemen simuleren.
- Glastopf : emuleert duizenden kwetsbaarheden die zijn ontworpen om aanvalsinformatie tegen webapplicaties te verzamelen. Het is eenvoudig in te stellen en eenmaal geïndexeerd door zoekmachines; het wordt een aantrekkelijk doelwit voor hackers.
Middelgrote interactie Honeypots:
In dit scenario zijn Honeypots niet ontworpen om alleen informatie te verzamelen; het is een applicatie die is ontworpen om te communiceren met aanvallers en tegelijkertijd de interactieactiviteit uitputtend te registreren; het simuleert een doelwit dat in staat is alle antwoorden te bieden die de aanvaller mag verwachten; enkele honeypots van dit type zijn:
- Cowrie: een ssh- en telnet-honeypot die brute force-aanvallen en shell-interactie van hackers registreert. Het emuleert een Unix-besturingssysteem en werkt als een proxy om de activiteit van de aanvaller te loggen. Na dit gedeelte vindt u instructies voor de implementatie van Cowrie.
- Sticky_elephant : het is een PostgreSQL-honeypot.
- Horzel : een verbeterde versie van honeypot-wasp met valse inloggegevens, ontworpen voor websites met een openbare inlogpagina voor beheerders, zoals /wp-admin voor WordPress-sites.
Honeypots met hoge interactie:
In dit scenario zijn Honeypots niet ontworpen om alleen informatie te verzamelen; het is een applicatie die is ontworpen om te communiceren met aanvallers en tegelijkertijd de interactieactiviteit uitputtend te registreren; het simuleert een doelwit dat in staat is alle antwoorden te bieden die de aanvaller mag verwachten; enkele honeypots van dit type zijn:
- Wonden : werkt als een HIDS (Host-based Intrusion Detection System), waardoor informatie over systeemactiviteit kan worden vastgelegd. Dit is een server-clienttool die in staat is om honeypots op Linux, Unix en Windows te implementeren die de verzamelde informatie vastleggen en naar de server sturen.
- Honingboog : kan worden geïntegreerd met honeypots met een lage interactie om de informatieverzameling te vergroten.
- HI-HAT (Hoge Interactie Honeypot Analyse Toolkit) : zet PHP-bestanden om in honeypots met een hoge interactie, met een webinterface die beschikbaar is om de informatie te controleren.
- Capture-HPC : vergelijkbaar met HoneyC, identificeert kwaadaardige servers door interactie met clients met behulp van een speciale virtuele machine en door ongeautoriseerde wijzigingen te registreren.
Hieronder vindt u een praktijkvoorbeeld van een honeypot met medium interactie.
Cowrie inzetten om gegevens over SSH-aanvallen te verzamelen:
Zoals eerder vermeld, is Cowrie een honeypot die wordt gebruikt om informatie vast te leggen over aanvallen die gericht zijn op de ssh-service. Cowrie simuleert een kwetsbare ssh-server waardoor elke aanvaller toegang kan krijgen tot een nep-terminal, waarbij een succesvolle aanval wordt gesimuleerd terwijl de activiteit van de aanvaller wordt geregistreerd.
Om Cowrie een nep-kwetsbare server te laten simuleren, moeten we deze toewijzen aan poort 22. We moeten dus onze echte ssh-poort wijzigen door het bestand te bewerken /etc/ssh/sshd_config zoals hieronder weergegeven.
sudo nano /enzovoort/ssh/sshd_configBewerk de regel en wijzig deze voor een poort tussen 49152 en 65535.
Haven22 
Start opnieuw en controleer of de service goed werkt:
sudosystemctl herstartsshsudosysteemctl-statusssh
Installeer alle benodigde software voor de volgende stappen, op Debian gebaseerde Linux-distributies:
sudogeschiktinstalleren -enpython-virtualenv libssl-dev libffi-dev build-essentiële libpython3-dev python3-minimale authbindGaan 
Voeg een onbevoegde gebruiker toe met de naam cowrie door de onderstaande opdracht uit te voeren.
sudoVoeg gebruiker toe--uitgeschakeld-wachtwoordkauri 
Installeer authbind op op Debian gebaseerde Linux-distributies door de volgende opdracht uit te voeren:
sudogeschiktinstallerenautbindVoer de onderstaande opdracht uit.
sudo aanraken /enzovoort/autbind/via poort/22Verander het eigendom door de onderstaande opdracht uit te voeren.
sudo chownkauri: kauri/enzovoort/autbind/via poort/22Machtigingen wijzigen:
sudo chmod 770 /enzovoort/autbind/via poort/22 
Inloggen als kauri
sudo zijnkauriGa naar de homedirectory van kauri.
CD~Download cowrie honeypot met git zoals hieronder getoond.
git kloonhttps://github.com/micheloosterhof/kauriGa naar de map met kauri's.
CDkauri/ 
Maak een nieuw configuratiebestand op basis van het standaardbestand door het uit het bestand te kopiëren /etc/cowrie.cfg.dist naar cowrie.cfg door het onderstaande commando uit te voeren in de map van cowrie/
cpenzovoort/cowrie.cfg.dist enz/kauri.cfg 
Bewerk het gemaakte bestand:
nanoenzovoort/kauri.cfgZoek de regel hieronder.
listen_endpoints = tcp:2222:koppel= 0.0.0.0Bewerk de regel en vervang poort 2222 door 22 zoals hieronder weergegeven.
listen_endpoints = tcp:22:koppel= 0.0.0.0 
Opslaan en nano afsluiten.
Voer de onderstaande opdracht uit om een python-omgeving te maken:
virtualenv kauri-env 
Schakel een virtuele omgeving in.
bronkauri-env/ben/activeren 
Werk pip bij door de volgende opdracht uit te voeren.
Pipinstalleren --upgradePip 
Installeer alle vereisten door de volgende opdracht uit te voeren.
Pipinstalleren --upgradervereisten.txt 
Voer cowrie uit met het volgende commando:
ben/kauri begin 
Controleer of de honeypot luistert door te rennen.
netstat -dus 
Nu worden inlogpogingen op poort 22 vastgelegd in het bestand var/log/cowrie/cowrie.log in de directory van cowrie.
Zoals eerder gezegd, kun je de Honeypot gebruiken om een nep-kwetsbare shell te maken. Cowries bevatten een bestand waarin u toegestane gebruikers kunt definiëren om toegang te krijgen tot de shell. Dit is een lijst met gebruikersnamen en wachtwoorden waarmee een hacker toegang kan krijgen tot de nep-shell.
Het lijstformaat wordt weergegeven in de onderstaande afbeelding:
U kunt de kauri-standaardlijst hernoemen voor testdoeleinden door de onderstaande opdracht uit te voeren vanuit de kauri-directory. Door dat te doen, kunnen gebruikers inloggen als root met een wachtwoord wortel of 123456 .
mvenzovoort/userdb.voorbeeld enz/userdb.txt 
Stop en herstart Cowrie door de onderstaande commando's uit te voeren:
ben/kauri stopben/kauri begin
Test nu proberen toegang te krijgen via ssh met behulp van een gebruikersnaam en wachtwoord die zijn opgenomen in de userdb.txt lijst.
Zoals je kunt zien, krijg je toegang tot een nep-shell. En alle activiteiten die in deze schaal worden gedaan, kunnen worden gevolgd vanuit het kaurilogboek, zoals hieronder weergegeven.
Zoals u kunt zien, is Cowrie succesvol geïmplementeerd. U kunt meer leren over Cowrie op: https://github.com/cowrie/ .
Conclusie:
De implementatie van Honeypots is geen gebruikelijke beveiligingsmaatregel, maar zoals u kunt zien, is het een geweldige manier om de netwerkbeveiliging te versterken. Het implementeren van Honeypots is een belangrijk onderdeel van het verzamelen van gegevens met als doel de beveiliging te verbeteren en hackers tot medewerkers te maken door hun activiteiten, technieken, inloggegevens en doelen te onthullen. Het is ook een formidabele manier om hackers valse informatie te verstrekken.
Als u geïnteresseerd bent in Honeypots, is IDS (Intrusion Detection Systems) wellicht interessant voor u; bij LinuxHint hebben we een aantal interessante tutorials over hen:
- Configureer Snort IDS en maak regels
- Aan de slag met OSSEC (Intrusion Detection System)
Ik hoop dat je dit artikel over Honeypots en Honeynets nuttig vond. Blijf Linux Hint volgen voor meer Linux-tips en tutorials.