Медени лонци и медене мреже

Дио рада сигурносних ИТ стручњака је научити о врстама напада или техникама које користе хакери прикупљајући, такође, информације за каснију анализу како би се процијениле карактеристике покушаја напада. Понекад се ово прикупљање информација врши помоћу мамца или мамаца дизајнираних да региструју сумњиве активности потенцијалних нападача који делују а да не знају да се њихова активност надгледа. У ИТ сигурности ови мамци или мамци се зову Хонеипотс.

Медена каша може бити апликација која симулира мету која заиста бележи активност нападача. Више Хонеипотс-а који симулирају вишеструке услуге, уређаје и апликације повезане су деноминоване мреже.

Хонеипотс и Хонеинетс не чувају осетљиве информације већ складиште лажне атрактивне информације нападачима како би их заинтересовали за Хонеипотс, Хонеинетс, другим речима говоримо о хакерским замкама дизајнираним да науче њихове технике напада.

Хонеипотс пријављују две врсте предности: прво нам помажу да научимо нападе како бисмо касније правилно заштитили наш производни уређај или мрежу. Друго, држећи сажетке које симулирају рањивости поред производних уређаја или мреже, спречавамо пажњу хакера да не чувају уређаје, јер ће им бити привлачнији медени лонци који симулирају сигурносне рупе које могу да искористе.

Постоје различите врсте медоноша:

Производња Хонеипотс:

Ова врста меда је инсталирана у производној мрежи за прикупљање информација о техникама које се користе за напад на системе у инфраструктури.  Ова врста Хонеипотс-а нуди широк спектар могућности, од локације меденог лонца унутар одређеног мрежног сегмента, како би се открили интерни покушаји легитимних корисника мреже да приступе недозвољеним или забрањеним ресурсима клону веб локације или услуге, идентичном као оригинал као мамац. Највеће издање ове врсте саксија је омогућавање злонамерног промета између легитимног.

Развојни лонци:

Ова врста саксија намењена је прикупљању што више информација о трендовима хаковања, жељеним циљевима нападача и пореклу напада. Ове информације се касније анализирају у процесу доношења одлука о спровођењу мера безбедности.

Главна предност ове врсте меда је да се, супротно производњи лонаца, лонци налазе у оквиру независне мреже, посвећене истраживању, овај осетљиви систем је одвојен од производног окружења спречавајући напад из самог лонца. Његов главни недостатак је количина ресурса неопходних за његову примену.

Постоји 3 подкатегорија или другачија класификација лонаца са медом дефинисана интеракцијом коју има са нападачима.

Медени лонци са ниском интеракцијом:

Хонеипот опонаша рањиву услугу, апликацију или систем.  Ово је врло једноставно за постављање, али ограничено при прикупљању информација, неки примери ове врсте саксија су:

Медена замка: Дизајниран је за посматрање напада на мрежне услуге, за разлику од других лонаца који су усредсређени на хватање малвера, ова врста меда је дизајнирана да ухвати експлоатације.

Непхентес: емулира познате рањивости како би прикупио информације о могућим нападима, дизајниран је да опонаша рањивости које црви експлоатирају за ширење, а затим Непхентес снима њихов код за каснију анализу.

ХонеиЦ: идентификује злонамерне веб сервере у мрежи умножавањем различитих клијената и прикупљањем одговора сервера приликом одговарања на захтеве.

ХонеиД: је демон који креира виртуелне хостове у мрежи који се могу конфигурисати за покретање произвољних услуга које симулирају извршавање у различитим ОС.

Гластопф: емулира хиљаде рањивости дизајнираних за прикупљање информација о нападима на веб апликације. Једноставна је за подешавање и једном када је претраживачи индексирају, постаје привлачна мета за хакере.

Медени лонци средње интеракције:

Ове врсте саксија су мање интерактивне од претходних, не дозвољавајући ниво интеракције који дозвољавају високе саће. Неки медови ове врсте су:

Киппо: то је ссх хонеипот који се користи за евидентирање напада бруте форце на уник системе и евидентирање активности хакера ако је приступ стечен. Престао је и заменио га је Цоврие.

Цоврие: још један ссх и телнет хонеипот који бележи нападе грубе силе и интеракцију љуске хакера. Емулира Уник ОС и ради као проки за евидентирање активности нападача.

Стицки_елепхант: то је ПостгреСКЛ хонеипот.

Стршљен: Побољшана верзија хонеипот-васп-а са лажним акредитивним упитом дизајнирана за веб локације са јавном приступном страницом за пријаву за администраторе као што је / вп-админ за вордпресс странице.

Медени лонци са високом интеракцијом:

У овом сценарију Хонеипотс нису дизајнирани да прикупљају само информације, то је апликација дизајнирана за интеракцију са нападачима док исцрпно региструје активност интеракције, она симулира мету која може понудити све одговоре које нападач може очекивати, неки медени лопови ове врсте су:

Себек: ради као ХИДС (Хост-басед Интрусион Детецтион Систем) који омогућава прикупљање информација о системској активности. Ово је алатка сервер-клијент способна да примени хонеипотове на Линуку, Унику и Виндовсу који прикупљају и шаљу прикупљене информације серверу.

ХонеиБов: могу се интегрисати са лонцима са ниском интеракцијом ради повећања прикупљања информација.

ХИ-ХАТ (Алат за анализу медијума високе интеракције): претвара пхп датотеке у медијуме са високом интеракцијом са веб интерфејсом који је доступан за надгледање информација.

Цаптуре-ХПЦ: слично ХонеиЦ-у, идентификује злонамерне сервере интеракцијом са њима као клијентима помоћу наменске виртуелне машине и регистровањем неовлашћених промена.

Ако сте заинтересовани за Хонеипотс, вероватно би вам могао бити занимљив ИДС (Системи за откривање упада), у ЛинукХинт-у имамо неколико занимљивих водича о њима:

• Конфигуришите Снорт ИДС и креирајте правила
• Први кораци са ОССЕЦ (системом за откривање упада)

Надам се да вам је овај чланак о меденим лонцима и меденим мрежама био користан. Пратите ЛинукХинт за више савета и ажурирања о Линуку и безбедности.