Phenquestions
En honeypot kan vara en applikation som simulerar ett mål som verkligen är en inspelare av angriparnas aktivitet. Flera Honeypots som simulerar flera tjänster, enheter och applikationsrelaterade är Honeynets.
Honeypots och Honeynets lagrar inte känslig information utan lagrar falsk attraktiv information för angripare för att få dem intresserade av Honeypots, Honeynets, det vill säga vi talar om hackarfällor som är utformade för att lära sig deras attacktekniker.
Honeypots rapporterar oss om två typer av fördelar: först hjälper de oss att lära oss attacker för att senare säkra vår produktionsenhet eller vårt nätverk ordentligt. För det andra, genom att hålla honeypots som simulerar sårbarheter bredvid produktionsenheter eller nätverk, håller vi hackarnas uppmärksamhet utanför säkra enheter, eftersom de kommer att hitta mer attraktiva de honeypots som simulerar säkerhetshål de kan utnyttja.
Det finns olika typer av Honeypots:
Produktion Honeypots:
Denna typ av honungspottar installeras i ett produktionsnätverk för att samla in information om tekniker som används för att attackera system inom infrastrukturen. Denna typ av Honeypots erbjuder ett brett utbud av möjligheter, från honungspottens placering inom ett specifikt nätverkssegment för att upptäcka interna försök från nätverks legitima användare att få tillgång till otillåtna eller förbjudna resurser till en klon på en webbplats eller tjänst, identisk med original som bete. Det största problemet med denna typ av smekmånad är att tillåta skadlig trafik mellan legitim en.
Honeypots för utveckling:
Denna typ av honungskrukor är utformad för att samla in mer information om hackingstrender, önskade mål för angripare och attacker. Denna information analyseras senare för beslutsprocessen om genomförandet av säkerhetsåtgärder.
Den största fördelen med denna typ av smekmånaprätter är, i motsats till produktionen av honungskrukor, honungskrukor finns i ett oberoende nätverk, dedikerat för forskning, detta sårbara system är skilt från produktionsmiljön och förhindrar en attack från själva honungskärlet. Dess största nackdel är den mängd resurser som krävs för att genomföra den.
Det finns en tre underkategorier eller olika klassificeringar av honungspottar som definieras av interaktionen den har med angripare.
Honeypots med låg interaktion:
En Honeypot emulerar en sårbar tjänst, app eller ett system. Det här är väldigt enkelt att installera men begränsat när man samlar in information, några exempel på denna typ av honungspottar är:
Honungsfälla: det är utformat för att observera attacker mot nättjänster, i motsats till andra smekmånadspottar som fokuserar på att fånga skadliga program, denna typ av honungspottar är utformad för att fånga exploater.
Nephentes: emulerar kända sårbarheter för att samla information om möjliga attacker, den är utformad för att emulera sårbarheter som maskar utnyttjar för att sprida sig, då fångar Nephentes sin kod för senare analys.
HoneyC: identifierar skadliga webbservrar i nätverket genom att emulera olika klienter och samla in serversvar när du svarar på förfrågningar.
HoneyD: är en demon som skapar virtuella värdar i ett nätverk som kan konfigureras för att köra godtyckliga tjänster som simulerar körning i olika operativsystem.
Glastopf: emulerar tusentals sårbarheter utformade för att samla in attackinformation mot webbapplikationer. Det är enkelt att installera och en gång indexerat av sökmotorer blir det ett attraktivt mål för hackare.
Medium Interaktion Honeypots:
Dessa typer av honeypots är mindre interaktiva än de tidigare utan att tillåta nivåinteraktion som höga honungspottar tillåter. Några Honeypots av denna typ är:
Kippo: det är en ssh honungspott som används för att logga brute force attacker mot unix-system och logga hackarens aktivitet om åtkomst erhölls. Det avbröts och ersattes av Cowrie.
Cowrie: en annan ssh och telnet honungspott som loggar brutala kraftattacker och hackare skalar interaktion. Det emulerar ett Unix OS och fungerar som proxy för att logga angriparens aktivitet.
Sticky_elephant: det är en PostgreSQL-honungspott.
Bålgeting: En förbättrad version av honeypot-wasp med falska referensuppgifter designade för webbplatser med inloggningssida för allmän åtkomst för administratörer som / wp-admin för wordpress-webbplatser.
Honeypots med hög interaktion:
I det här scenariot är Honeypots inte utformade för att bara samla in information, det är ett program som är utformat för att interagera med angripare medan de omfattande registrerar interaktionsaktiviteten, det simulerar ett mål som kan erbjuda alla svar som angriparen kan förvänta sig, vissa honungspottar av denna typ är:
Sebek: fungerar som ett HIDS (värdbaserat intrångsdetekteringssystem) som gör det möjligt att fånga information om en systemaktivitet. Detta är ett server-klientverktyg som kan distribuera honungskrukor på Linux, Unix och Windows som samlar in och skickar den insamlade informationen till servern.
HoneyBow: kan integreras med små interaktioner för att öka informationsinsamlingen.
HI-HAT (Analysverktygssats för analys av honungspottar med hög interaktion): konverterar php-filer till smekmånad med hög interaktion med ett webbgränssnitt tillgängligt för att övervaka informationen.
Capture-HPC: liknar HoneyC, identifierar skadliga servrar genom att interagera med dem som klienter med en dedikerad virtuell maskin och registrera obehöriga ändringar.
Om du är intresserad av Honeypots kan IDS (Intrusion Detection Systems) förmodligen vara intressant för dig, på LinuxHint har vi ett par intressanta handledning om dem:
- Konfigurera Snort IDS och skapa regler
- Komma igång med OSSEC (Intrusion Detection System)
Jag hoppas att du tyckte att den här artikeln om Honeypots and Honeynets var användbar. Fortsätt följa LinuxHint för fler tips och uppdateringar om Linux och säkerhet.
