Ein Teil der Arbeitsarbeit IT -Spezialisten besteht darin, die Arten von Angriffen oder Techniken zu erfahren, die von Hackern verwendet werden, indem Informationen für die spätere Analyse gesammelt werden, um die Merkmale der Angriffsversuche zu bewerten. Manchmal erfolgt diese Sammlung von Informationen über Köder oder Lockvögel, mit der die verdächtige Aktivität potenzieller Angreifer registriert werden soll, die handeln, ohne zu wissen, dass ihre Aktivität überwacht wird. In der IT -Sicherheit werden diese Köder oder Lockvögel aufgerufen Honeypots.
Was sind Honeypots und Honeynets:
A Honigtopf Kann eine Anwendung sein, die ein Ziel simuliert, das wirklich ein Rekorder der Aktivität von Angreifern ist. Mehrere Honeypots simulieren mehrere Dienste, Geräte und Anwendungen Honeynets.
Honeypots und Honeynets speichern keine sensiblen Informationen, sondern speichern gefälschte attraktive Informationen an Angreifer, um sie für die Honeypots zu interessieren. Mit anderen Worten Honeynets sprechen über Hacker -Fallen, die ihre Angriffstechniken lernen sollen.
Honeypots bieten uns zwei Vorteile: Ersten. Zweitens, indem wir Honeypots neben Produktionsgeräten oder Netzwerken simulieren, behalten wir die Aufmerksamkeit der Hacker von gesicherten Geräten fern. Sie werden attraktiver finden, die Honeypots simulieren Sicherheitslöcher, die sie ausnutzen können.
Honeypot -Typen:
Produktion Honeypots:
Diese Art von Honeypot wird in einem Produktionsnetzwerk installiert, um Informationen zu Techniken zu sammeln, die zum Angriff von Systemen innerhalb der Infrastruktur verwendet werden. Diese Art von Honeypot bietet eine Vielzahl von Möglichkeiten, vom Ort des Honeypot innerhalb eines bestimmten Netzwerksegments Original als Köder. Das größte Problem dieser Art von Honeypot ist es, einen böswilligen Verkehr zwischen legitimen zu ermöglichen.
Entwicklungshoneypots:
Diese Art von Honeypot soll weitere Informationen zu Hacking -Trends, gewünschten Zielen durch Angreifer und Angriffsursprüngen sammeln. Diese Informationen werden später für den Entscheidungsprozess zur Implementierung von Sicherheitsmaßnahmen analysiert.
Der Hauptvorteil dieser Art von Honeypots ist im Gegensatz zur Produktion; Die Honeypots -Entwicklungs -Honeypots befinden sich in einem unabhängigen Netzwerk, das der Forschung gewidmet ist. Dieses gefährdete System ist von der Produktionsumgebung getrennt, die einen Angriff aus dem Honeypot selbst verhindert. Der Hauptnachteil ist die Anzahl der Ressourcen, die zur Implementierung erforderlich sind.
Es gibt 3 verschiedene Honeypot -Unterkategorien oder Klassifizierungstypen, die durch die Interaktionsstufe mit Angreifern definiert sind.
Honeypots mit geringer Interaktion:
Ein Honeypot emuliert einen verletzlichen Dienst, eine App oder ein System. Dies ist sehr einfach eingerichtet, aber begrenzt beim Sammeln von Informationen. Einige Beispiele für diese Art von Honeypots sind:
Honeypots mit mittlerer Interaktion:
In diesem Szenario sind Honeypots nicht nur so konzipiert, dass sie nur Informationen sammeln. Es handelt sich um eine Anwendung, um mit Angreifern zu interagieren und gleichzeitig die Interaktionsaktivität ausführlich zu registrieren. Es simuliert ein Ziel, das alle Antworten anbieten kann, die der Angreifer erwarten kann. Einige Honeypots dieses Typs sind:
Honeypots mit hoher Interaktion:
In diesem Szenario sind Honeypots nicht nur so konzipiert, dass sie nur Informationen sammeln. Es handelt sich um eine Anwendung, um mit Angreifern zu interagieren und gleichzeitig die Interaktionsaktivität ausführlich zu registrieren. Es simuliert ein Ziel, das alle Antworten anbieten kann, die der Angreifer erwarten kann. Einige Honeypots dieses Typs sind:
Im Folgenden finden Sie ein praktisches Beispiel mit mittlerer Wechselwirkung.
Bereitstellung von Cowrie zum Sammeln von Daten zu SSH -Angriffen:
Wie bereits gesagt, ist Cowrie ein Honeypot, mit dem Informationen über Angriffe auf den SSH -Dienst aufgezeichnet wurden. Cowrie simuliert einen gefährdeten SSH -Server, der es jedem Angreifer ermöglicht, auf ein gefälschtes Terminal zuzugreifen und einen erfolgreichen Angriff zu simuliert, während er die Aktivität des Angreifers aufzeichnet.
Damit Cowrie einen gefälschten verletzlichen Server simulieren kann, müssen wir ihn Port 22 zuweisen. Daher müssen wir unseren realen SSH -Port ändern, indem wir die Datei bearbeiten /etc/ssh/sshd_config Wie nachfolgend dargestellt.
sudo nano/etc/ssh/sshd_config
Bearbeiten Sie die Zeile und ändern Sie sie für einen Port zwischen 49152 und 65535.
Port 22
Starten Sie neu und überprüfen Sie, ob der Dienst ordnungsgemäß ausgeführt wird:
sudo systemctl starten ssh neu
sudo systemctl Status SSH
Installieren Sie alle benötigten Software für die nächsten Schritte unter Debian -basiertem Linux -Distributionen:
sudo apt install -y python-virtualenv libsl-dev libffi-dev build-wesentliche libpython3-dev python3-minimale Authbind Git
Fügen Sie einen nicht privilegierten Benutzer namens Cowrie hinzu, indem Sie den folgenden Befehl ausführen.
sudo adduser-behindertes password cowrie
Auf Debian -basierten Linux -Distributionen installieren Sie Authbind, indem Sie den folgenden Befehl ausführen:
sudo apt installieren Authbind
Führen Sie den folgenden Befehl aus.
sudo touch/etc/authbind/byport/22
Ändern Sie das Eigentum, indem Sie den Befehl unten ausführen.
Sudo Chown Cowrie: Cowrie/etc/Authbind/Byport/22
Berechtigungen ändern:
sudo chmod 770/etc/authbind/byport/22
Anmelden als Kaurischnecke
sudo su Cowrie
Geh in Cowries Heimverzeichnis.
CD ~
Laden Sie Cowrie Honeypot mit Git wie unten gezeigt herunter.
Git -Klon https: // github.com/Michelosterhof/Cowrie
Bewegen Sie sich in das Cowrie -Verzeichnis.
CD Cowrie/
Erstellen Sie eine neue Konfigurationsdatei basierend auf der Standardeinstellung, indem Sie sie aus der Datei kopieren /etc/Cowrie.CFG.Dist zu Cowrie.CFG Durch Ausführen des unten gezeigten Befehls im Verzeichnis von Cowrie/
CP usw./Cowrie.CFG.Dist etc/Cowrie.CFG
Bearbeiten Sie die erstellte Datei:
Nano etc/Cowrie.CFG
Finden Sie die unten stehende Zeile unten.
listen_endpoints = tcp: 2222: interface = 0.0.0.0
Bearbeiten Sie die Zeile und ersetzen Sie Port 2222 durch 22, wie unten gezeigt.
listen_endpoints = tcp: 22: interface = 0.0.0.0
Nano speichern und beenden.
Führen Sie den folgenden Befehl aus, um eine Python -Umgebung zu erstellen:
Virtualenv Cowrie-env
Aktivieren Sie eine virtuelle Umgebung.
Quelle Cowrie-env/bin/aktivieren
Aktualisieren Sie PIP, indem Sie den folgenden Befehl ausführen.
PIP -Installation -Upgrade PIP
Installieren Sie alle Anforderungen, indem Sie den folgenden Befehl ausführen.
PIP -Installation -Upgraderanforderungen.txt
Führen Sie Cowrie mit dem folgenden Befehl aus:
Bin/Cowrie Start
Überprüfen Sie, ob der Honeypot durch Laufen zuhört.
netstat -tan
Jetzt werden die Anmeldungsversuche zum Port 22 in der Datei var/log/Cowrie/Cowrie protokolliert.Melden Sie sich in Cowries Verzeichnis an.
Wie bereits erwähnt, können Sie den Honeypot verwenden, um eine gefälschte schutzbedürftige Hülle zu erstellen. Cowries enthalten eine Datei, in der Sie "erlaubte Benutzer" definieren können, um auf die Shell zuzugreifen. Dies ist eine Liste von Benutzernamen und Passwörtern, über die ein Hacker auf die gefälschte Shell zugreifen kann.
Das Listenformat ist im folgenden Bild angezeigt:
Sie können die Cowrie -Standardliste zu Testzwecken umbenennen, indem Sie den folgenden Befehl aus dem Cowries -Verzeichnis ausführen. Auf diese Weise können sich Benutzer mit dem Kennwort als Root anmelden Wurzel oder 123456.
MV usw./userdb.Beispiel usw./userDB.txt
Stop Cowrie stoppen und neu starten, indem Sie die folgenden Befehle ausführen:
Bin/Cowrie Stopp
Bin/Cowrie Start
Testen Sie nun den Versuch, über SSH mit einem Benutzernamen und einem Passwort in der zuzugreifen, um über SSH zuzugreifen UserDB.txt Liste.
Wie Sie sehen können, greifen Sie auf eine gefälschte Hülle zu. Und alle Aktivitäten, die in dieser Schale ausgeführt werden.
Wie Sie sehen, wurde Cowrie erfolgreich umgesetzt. Sie können mehr über Cowrie unter https: // github erfahren.com/Cowrie/.
Abschluss:
Die Implementierung von Honeypots ist keine gemeinsame Sicherheitsmaßnahme, aber wie Sie sehen können, ist dies eine großartige Möglichkeit, die Netzwerksicherheit zu verhärten. Das Implementieren von Honeypots ist ein wichtiger Bestandteil der Datenerfassung, um die Sicherheit zu verbessern und Hacker zu Mitarbeitern zu machen, indem sie ihre Aktivitäten, Techniken, Anmeldeinformationen und Ziele enthüllen. Es ist auch eine beeindruckende Möglichkeit, Hackern gefälschte Informationen bereitzustellen.
Wenn Sie an Honeypots interessiert sind, können wahrscheinlich IDs (Intrusion Detection Systems) für Sie interessant sein. Bei LinuxHint haben wir ein paar interessante Tutorials darüber:
Ich hoffe, Sie haben diesen Artikel über Honeypots und Honeynets nützlich gefunden. Verfolgen Sie den Hinweis für weitere Linux -Tipps und Tutorials weiterhin Linux -Hinweis.