Honeypots und Honeynets

Jean Dengler
Honeypots und Honeynets
In diesem Tutorial erklärt.

Ein Teil der Arbeitsarbeit IT -Spezialisten besteht darin, die Arten von Angriffen oder Techniken zu erfahren, die von Hackern verwendet werden, indem Informationen für die spätere Analyse gesammelt werden, um die Merkmale der Angriffsversuche zu bewerten. Manchmal erfolgt diese Sammlung von Informationen über Köder oder Lockvögel, mit der die verdächtige Aktivität potenzieller Angreifer registriert werden soll, die handeln, ohne zu wissen, dass ihre Aktivität überwacht wird. In der IT -Sicherheit werden diese Köder oder Lockvögel aufgerufen Honeypots.

Was sind Honeypots und Honeynets:

A Honigtopf Kann eine Anwendung sein, die ein Ziel simuliert, das wirklich ein Rekorder der Aktivität von Angreifern ist. Mehrere Honeypots simulieren mehrere Dienste, Geräte und Anwendungen Honeynets.

Honeypots und Honeynets speichern keine sensiblen Informationen, sondern speichern gefälschte attraktive Informationen an Angreifer, um sie für die Honeypots zu interessieren. Mit anderen Worten Honeynets sprechen über Hacker -Fallen, die ihre Angriffstechniken lernen sollen.

Honeypots bieten uns zwei Vorteile: Ersten. Zweitens, indem wir Honeypots neben Produktionsgeräten oder Netzwerken simulieren, behalten wir die Aufmerksamkeit der Hacker von gesicherten Geräten fern. Sie werden attraktiver finden, die Honeypots simulieren Sicherheitslöcher, die sie ausnutzen können.

Honeypot -Typen:

Produktion Honeypots:
Diese Art von Honeypot wird in einem Produktionsnetzwerk installiert, um Informationen zu Techniken zu sammeln, die zum Angriff von Systemen innerhalb der Infrastruktur verwendet werden. Diese Art von Honeypot bietet eine Vielzahl von Möglichkeiten, vom Ort des Honeypot innerhalb eines bestimmten Netzwerksegments Original als Köder. Das größte Problem dieser Art von Honeypot ist es, einen böswilligen Verkehr zwischen legitimen zu ermöglichen.

Entwicklungshoneypots:
Diese Art von Honeypot soll weitere Informationen zu Hacking -Trends, gewünschten Zielen durch Angreifer und Angriffsursprüngen sammeln. Diese Informationen werden später für den Entscheidungsprozess zur Implementierung von Sicherheitsmaßnahmen analysiert.
Der Hauptvorteil dieser Art von Honeypots ist im Gegensatz zur Produktion; Die Honeypots -Entwicklungs -Honeypots befinden sich in einem unabhängigen Netzwerk, das der Forschung gewidmet ist. Dieses gefährdete System ist von der Produktionsumgebung getrennt, die einen Angriff aus dem Honeypot selbst verhindert. Der Hauptnachteil ist die Anzahl der Ressourcen, die zur Implementierung erforderlich sind.

Es gibt 3 verschiedene Honeypot -Unterkategorien oder Klassifizierungstypen, die durch die Interaktionsstufe mit Angreifern definiert sind.

Honeypots mit geringer Interaktion:

Ein Honeypot emuliert einen verletzlichen Dienst, eine App oder ein System. Dies ist sehr einfach eingerichtet, aber begrenzt beim Sammeln von Informationen. Einige Beispiele für diese Art von Honeypots sind:

  • Honigfalle: Es soll Angriffe gegen Netzwerkdienste beobachten. Entgegen anderen Honeypots, die sich auf die Erfassung von Malware konzentrieren, soll diese Art von Honeypot Exploits erfassen.
  • Nephentes: emuliert bekannte Schwachstellen, um Informationen über mögliche Angriffe zu sammeln; Es wurde entwickelt, um Schwachstellen Würmer zu emulieren, die sich ausbreiten, um sich zu verbreiten, und dann erfasst Nephentes ihren Code für eine spätere Analyse.
  • Honig: Identifiziert bösartig.
  • Honeyd: ist ein Daemon, das virtuelle Hosts in einem Netzwerk erstellt, das so konfiguriert werden kann, dass beliebige Dienste die Ausführung in verschiedenen Betriebssystemen ausführen.
  • Glastopf: Emuliert Tausende von Schwachstellen, die zum Sammeln von Angriffsinformationen gegen Webanwendungen sammeln sollen. Es ist einfach einzurichten und nach Suchmaschinen zu indizieren. Es wird ein attraktives Ziel für Hacker.

Honeypots mit mittlerer Interaktion:

In diesem Szenario sind Honeypots nicht nur so konzipiert, dass sie nur Informationen sammeln. Es handelt sich um eine Anwendung, um mit Angreifern zu interagieren und gleichzeitig die Interaktionsaktivität ausführlich zu registrieren. Es simuliert ein Ziel, das alle Antworten anbieten kann, die der Angreifer erwarten kann. Einige Honeypots dieses Typs sind:

  • Cowrie: Ein SSH- und Telnet -Honeypot, der Brute -Force -Angriffe und Hacker -Shell -Interaktion protokolliert. Es emuliert ein UNIX -Betriebssystem und arbeitet als Proxy, um die Aktivität des Angreifers zu protokollieren. Nach diesem Abschnitt finden Sie Anweisungen zur Cowrie -Implementierung.
  • Sticky_elephant: Es ist ein Postgresql Honeypot.
  • Hornisse: Eine verbesserte Version von Honeypot-Wasp mit gefälschten Anmeldeinformationen, die für Websites mit Anmeldeseite für öffentliche Zugriffs für Administratoren wie /wp-admin für WordPress-Websites konzipiert sind.

Honeypots mit hoher Interaktion:

In diesem Szenario sind Honeypots nicht nur so konzipiert, dass sie nur Informationen sammeln. Es handelt sich um eine Anwendung, um mit Angreifern zu interagieren und gleichzeitig die Interaktionsaktivität ausführlich zu registrieren. Es simuliert ein Ziel, das alle Antworten anbieten kann, die der Angreifer erwarten kann. Einige Honeypots dieses Typs sind:

  • Sebek: arbeitet als HIDS (Host-basiertes Intrusion Detection System), mit dem Informationen zur Systemaktivität erfasst werden können. Dies ist ein Server-Client.
  • Honigbogen: Kann in Honeypots mit niedriger Interaktion integriert werden, um die Informationssammlung zu erhöhen.
  • Hi-Hat (Honeypot-Analyse-Toolkit mit hoher Interaktion): Konvertiert PHP -Dateien in Honeypots mit hoher Interaktion mit einer Webschnittstelle zur Überwachung der Informationen.
  • Capture-HPC: Ähnlich wie bei Honeyc identifiziert böswillige Server, indem Sie mit Kunden mithilfe einer dedizierten virtuellen Maschine interagieren und nicht autorisierte Änderungen registrieren.

Im Folgenden finden Sie ein praktisches Beispiel mit mittlerer Wechselwirkung.

Bereitstellung von Cowrie zum Sammeln von Daten zu SSH -Angriffen:

Wie bereits gesagt, ist Cowrie ein Honeypot, mit dem Informationen über Angriffe auf den SSH -Dienst aufgezeichnet wurden. Cowrie simuliert einen gefährdeten SSH -Server, der es jedem Angreifer ermöglicht, auf ein gefälschtes Terminal zuzugreifen und einen erfolgreichen Angriff zu simuliert, während er die Aktivität des Angreifers aufzeichnet.

Damit Cowrie einen gefälschten verletzlichen Server simulieren kann, müssen wir ihn Port 22 zuweisen. Daher müssen wir unseren realen SSH -Port ändern, indem wir die Datei bearbeiten /etc/ssh/sshd_config Wie nachfolgend dargestellt.

sudo nano/etc/ssh/sshd_config

Bearbeiten Sie die Zeile und ändern Sie sie für einen Port zwischen 49152 und 65535.

Port 22

Starten Sie neu und überprüfen Sie, ob der Dienst ordnungsgemäß ausgeführt wird:

sudo systemctl starten ssh neu
sudo systemctl Status SSH

Installieren Sie alle benötigten Software für die nächsten Schritte unter Debian -basiertem Linux -Distributionen:

sudo apt install -y python-virtualenv libsl-dev libffi-dev build-wesentliche libpython3-dev python3-minimale Authbind Git

Fügen Sie einen nicht privilegierten Benutzer namens Cowrie hinzu, indem Sie den folgenden Befehl ausführen.

sudo adduser-behindertes password cowrie

Auf Debian -basierten Linux -Distributionen installieren Sie Authbind, indem Sie den folgenden Befehl ausführen:

sudo apt installieren Authbind

Führen Sie den folgenden Befehl aus.

sudo touch/etc/authbind/byport/22

Ändern Sie das Eigentum, indem Sie den Befehl unten ausführen.

Sudo Chown Cowrie: Cowrie/etc/Authbind/Byport/22

Berechtigungen ändern:

sudo chmod 770/etc/authbind/byport/22

Anmelden als Kaurischnecke

sudo su Cowrie

Geh in Cowries Heimverzeichnis.

CD ~

Laden Sie Cowrie Honeypot mit Git wie unten gezeigt herunter.

Git -Klon https: // github.com/Michelosterhof/Cowrie

Bewegen Sie sich in das Cowrie -Verzeichnis.

CD Cowrie/

Erstellen Sie eine neue Konfigurationsdatei basierend auf der Standardeinstellung, indem Sie sie aus der Datei kopieren /etc/Cowrie.CFG.Dist zu Cowrie.CFG Durch Ausführen des unten gezeigten Befehls im Verzeichnis von Cowrie/

CP usw./Cowrie.CFG.Dist etc/Cowrie.CFG

Bearbeiten Sie die erstellte Datei:

Nano etc/Cowrie.CFG

Finden Sie die unten stehende Zeile unten.

listen_endpoints = tcp: 2222: interface = 0.0.0.0

Bearbeiten Sie die Zeile und ersetzen Sie Port 2222 durch 22, wie unten gezeigt.

listen_endpoints = tcp: 22: interface = 0.0.0.0

Nano speichern und beenden.

Führen Sie den folgenden Befehl aus, um eine Python -Umgebung zu erstellen:

Virtualenv Cowrie-env

Aktivieren Sie eine virtuelle Umgebung.

Quelle Cowrie-env/bin/aktivieren

Aktualisieren Sie PIP, indem Sie den folgenden Befehl ausführen.

PIP -Installation -Upgrade PIP

Installieren Sie alle Anforderungen, indem Sie den folgenden Befehl ausführen.

PIP -Installation -Upgraderanforderungen.txt

Führen Sie Cowrie mit dem folgenden Befehl aus:

Bin/Cowrie Start

Überprüfen Sie, ob der Honeypot durch Laufen zuhört.

netstat -tan

Jetzt werden die Anmeldungsversuche zum Port 22 in der Datei var/log/Cowrie/Cowrie protokolliert.Melden Sie sich in Cowries Verzeichnis an.

Wie bereits erwähnt, können Sie den Honeypot verwenden, um eine gefälschte schutzbedürftige Hülle zu erstellen. Cowries enthalten eine Datei, in der Sie "erlaubte Benutzer" definieren können, um auf die Shell zuzugreifen. Dies ist eine Liste von Benutzernamen und Passwörtern, über die ein Hacker auf die gefälschte Shell zugreifen kann.

Das Listenformat ist im folgenden Bild angezeigt:

Sie können die Cowrie -Standardliste zu Testzwecken umbenennen, indem Sie den folgenden Befehl aus dem Cowries -Verzeichnis ausführen. Auf diese Weise können sich Benutzer mit dem Kennwort als Root anmelden Wurzel oder 123456.

MV usw./userdb.Beispiel usw./userDB.txt

Stop Cowrie stoppen und neu starten, indem Sie die folgenden Befehle ausführen:

Bin/Cowrie Stopp
Bin/Cowrie Start

Testen Sie nun den Versuch, über SSH mit einem Benutzernamen und einem Passwort in der zuzugreifen, um über SSH zuzugreifen UserDB.txt Liste.

Wie Sie sehen können, greifen Sie auf eine gefälschte Hülle zu. Und alle Aktivitäten, die in dieser Schale ausgeführt werden.

Wie Sie sehen, wurde Cowrie erfolgreich umgesetzt. Sie können mehr über Cowrie unter https: // github erfahren.com/Cowrie/.

Abschluss:

Die Implementierung von Honeypots ist keine gemeinsame Sicherheitsmaßnahme, aber wie Sie sehen können, ist dies eine großartige Möglichkeit, die Netzwerksicherheit zu verhärten. Das Implementieren von Honeypots ist ein wichtiger Bestandteil der Datenerfassung, um die Sicherheit zu verbessern und Hacker zu Mitarbeitern zu machen, indem sie ihre Aktivitäten, Techniken, Anmeldeinformationen und Ziele enthüllen. Es ist auch eine beeindruckende Möglichkeit, Hackern gefälschte Informationen bereitzustellen.

Wenn Sie an Honeypots interessiert sind, können wahrscheinlich IDs (Intrusion Detection Systems) für Sie interessant sein. Bei LinuxHint haben wir ein paar interessante Tutorials darüber:

  • Konfigurieren Sie Snort -IDs und erstellen Sie Regeln
  • Erste Schritte mit OSSEC (Intrusion Detection System)

Ich hoffe, Sie haben diesen Artikel über Honeypots und Honeynets nützlich gefunden. Verfolgen Sie den Hinweis für weitere Linux -Tipps und Tutorials weiterhin Linux -Hinweis.

C ++
So finden Sie die Größe einer Zeichenfolge in C++?
Um die Größe einer Zeichenfolge in C ++ zu finden, können Sie die Funktionen oder Schleifen wie für ...
Gian Eisenlauer
Git
So schreiben Sie die jüngste Commit -Geschichte in Git um?
Um die Geschichte der Feststellung neu zu schreiben, kann der Befehl „Git Commit“ mit der Option -Am...
Jean Dengler
Linux -Befehle
So starten Sie einen Multicast -Verkehr in Iperf
Tutorial, wie Sie einen Multicast -Verkehr in Iperf und die Befehle iperf starten, um den Multicast ...
Jessica Schimmer
Python
Numpy Astype
Fr. Chris Frisch
Python
Konvertieren Sie eine Schnur in JSON Python
Frederik Rodehau
c scharf
Was ist System.Io Namespace in C#
Mohamed Flore
Oracle Linux
So installieren Sie Oracle SQL Developer unter Windows?
Ahmed Stöckert
AWS
Was ist der Unterschied zwischen AWS -Batch und Lambda?
Lars Daub
AWS
Was ist der Batch -Prozess und wie man ihn in AWS verwendet??
Arved Riermeier
Java
Was ist das Standard -Schlüsselwort in Switch -Anweisungen??
Lars Daub
Docker
Welche Docker -Registrierung wird als Standard festgelegt??
Arved Riermeier
Wireshark
DHCP mit Wireshark verstehen
Prof. Dr. Julien Plank
C -Programmierung
So drucken Sie % mithilfe von printf in C -Programmierung % aus?
Prof. Dr. Julien Plank