Phenquestions
Медният съд може да е приложение, симулиращо цел, която наистина е запис на активността на нападателите. Множество Honeypots, симулиращи множество услуги, устройства и приложения, са деноминирани Honeynets.
Honeypots и Honeynets не съхраняват чувствителна информация, но съхраняват фалшива атрактивна информация за нападателите, за да ги заинтересуват от Honeypots, Honeynets, с други думи, говорим за хакерски капани, предназначени да научат техниките им за атака.
Honeypots ни съобщават за два вида предимства: първо те ни помагат да научим атаки, за да защитим по-късно нашето производствено устройство или мрежа правилно. На второ място, като поддържаме медни поти, симулиращи уязвимости до производствените устройства или мрежата, ние предпазваме вниманието на хакерите от защитени устройства, тъй като те ще намерят по-привлекателни медовете, симулиращи дупки в сигурността, които могат да използват.
Има различни видове Honeypots:
Производство Honeypots:
Този тип медни саксии е инсталиран в производствена мрежа за събиране на информация за техниките, използвани за атака на системи в инфраструктурата. Този тип Honeypots предлага голямо разнообразие от възможности, от местоположението на медената топка в рамките на определен мрежов сегмент, за да се открият вътрешни опити на легитимни потребители на мрежата за достъп до неразрешени или забранени ресурси до клонинг на уебсайт или услуга, идентични на оригинален като стръв. Най-големият проблем на този тип медни съдове е разрешаването на злонамерен трафик между легитимен такъв.
Медни съдове за развитие:
Този тип медни саксии е предназначен да събира възможно най-много информация за хакерските тенденции, желаните цели от нападателите и произхода на атаките. По-късно тази информация се анализира за процеса на вземане на решения относно прилагането на мерките за сигурност.
Основното предимство на този тип медни саксии е, за разлика от производствените медни съдове, които са разположени в рамките на независима мрежа, предназначена за изследвания, тази уязвима система е отделена от производствената среда, предотвратявайки атака от самия меден съд. Основният му недостатък е количеството ресурси, необходими за прилагането му.
Има 3 подкатегория или различна класификация на медни съдове, определени от взаимодействието, което има с нападателите.
Медници с ниско взаимодействие:
Honeypot емулира уязвима услуга, приложение или система. Това е много лесно за настройка, но ограничено при събиране на информация, някои примери за този тип медни съдове са:
Пчелен капан: той е предназначен да наблюдава атаки срещу мрежови услуги, за разлика от други медни точки, които се фокусират върху улавяне на зловредни програми, този тип медени точки е предназначен за улавяне на експлойти.
Нефентес: емулира известни уязвимости, за да събира информация за възможни атаки, той е предназначен да емулира уязвимости, които червеите експлоатират, за да разпространяват, след което Nephentes улавя техния код за по-късен анализ.
HoneyC: идентифицира злонамерени уеб сървъри в мрежата, като емулира различни клиенти и събира отговорите на сървъра, когато отговаря на заявки.
HoneyD: е демон, който създава виртуални хостове в мрежа, които могат да бъдат конфигурирани да изпълняват произволни услуги, симулиращи изпълнение в различни ОС.
Glastopf: емулира хиляди уязвимости, предназначени да събират информация за атаки срещу уеб приложения. Лесно се настройва и веднъж индексиран от търсачките се превръща в привлекателна цел за хакерите.
Медни поти със средно взаимодействие:
Тези видове медни саксии са по-малко интерактивни от предишните, без да позволяват нивото на взаимодействие, което високите медни саксии позволяват. Някои Honeypots от този тип са:
Кипо: това е ssh honeypot, използван за регистриране на атаки с груба сила срещу Unix системи и регистриране на активността на хакера, ако достъпът е получен. Той беше прекратен и заменен от Cowrie.
Каури: друг ssh и telnet honeypot, който регистрира атаки с груба сила и взаимодействие на хакери. Той емулира Unix OS и работи като прокси за регистриране на активността на нападателя.
Sticky_elephant: това е PostgreSQL honeypot.
Стършел: Подобрена версия на honeypot-wasp с подкана за фалшиви идентификационни данни, предназначена за уебсайтове с публичен достъп до страницата за вход за администратори като / wp-admin за WordPress сайтове.
Медници с високо взаимодействие:
В този сценарий Honeypots не са предназначени само за събиране на информация, това е приложение, предназначено да взаимодейства с нападателите, като същевременно изчерпателно регистрира активността на взаимодействието, симулира цел, способна да предложи всички отговори, които атакуващият може да очаква, някои медни точки от този тип са:
Себек: работи като HIDS (Host-based Intrusion Detection System), позволяваща да се събира информация за системна дейност. Това е инструмент за сървър-клиент, способен да разположи медни точки на Linux, Unix и Windows, които улавят и изпращат събраната информация на сървъра.
HoneyBow: може да се интегрира с медни съдове с ниско взаимодействие за увеличаване на събирането на информация.
HI-HAT (Инструменти за анализ на Honeypot с високо взаимодействие): преобразува php файлове в медни точки с високо взаимодействие с наличен уеб интерфейс за наблюдение на информацията.
Capture-HPC: подобно на HoneyC, идентифицира злонамерени сървъри, като взаимодейства с тях като клиенти, използвайки специална виртуална машина и регистрира неразрешени промени.
Ако се интересувате от Honeypots, вероятно IDS (Системи за откриване на проникване) може да ви бъде интересен, в LinuxHint имаме няколко интересни урока за тях:
- Конфигурирайте Snort IDS и създайте правила
- Първи стъпки с OSSEC (система за откриване на проникване)
Надявам се, че тази статия за Honeypots и Honeynets ви е била полезна. Продължавайте да следвате LinuxHint за повече съвети и актуализации за Linux и сигурност.
