Çfarë është një Honeypot?

Nëse lidhni një kompjuter me internetin e hapur pa asnjë lloj filtri të trafikut në hyrje, ai zakonisht do të fillojë të marrë trafik sulmi brenda disa minutash. E tillë është shkalla e sulmeve të automatizuara dhe skanimit që ndodh vazhdimisht në internet. Shumica dërrmuese e këtij lloji të trafikut është plotësisht i automatizuar. Janë thjesht robotë që skanojnë internetin dhe ndoshta provojnë disa ngarkesa të rastësishme për të parë nëse bëjnë ndonjë gjë interesante.

Sigurisht, nëse keni një server në internet ose ndonjë formë tjetër serveri, ju duhet serveri juaj i lidhur me internetin. Në varësi të rastit tuaj të përdorimit, mund të jeni në gjendje të përdorni diçka si një VPN për të lejuar aksesin vetëm për përdoruesit e autorizuar. Megjithatë, nëse dëshironi që serveri juaj të jetë i aksesueshëm nga publiku, duhet të jeni të lidhur me internetin. Si i tillë serveri juaj do të përballet me sulme.

Mund të duket sikur në thelb duhet ta pranoni këtë si par për kursin. Fatmirësisht ka disa gjëra që mund të bëni.

Zbatoni një honeypot

Honeypot është një mjet që është krijuar për të joshur sulmuesit. Ai premton informacion të lëngshëm ose dobësi që mund të çojnë në informacion, por është thjesht një kurth. Një honeypot është ngritur qëllimisht për të karrem brenda një sulmuesi. Ka disa varietete të ndryshme në varësi të asaj që dëshironi të bëni.

Një honeypot me ndërveprim të lartë është avancuar. Është shumë kompleks dhe ofron shumë gjëra për ta mbajtur të zënë sulmuesin. Këto përdoren kryesisht për kërkime të sigurisë. Ato lejojnë pronarin të shohë se si një sulmues vepron në kohë reale. Kjo mund të përdoret për të informuar mbrojtjen aktuale apo edhe të ardhshme. Qëllimi i një honeypot me ndërveprim të lartë është të mbajë sulmuesin të zënë për aq kohë sa të jetë e mundur dhe të mos e lëshojë lojën. Për këtë qëllim, ato janë komplekse për t'u vendosur dhe mirëmbajtur.

Një honeypot me ndërveprim të ulët është në thelb një kurth për të vendosur dhe harruar. Ato janë zakonisht të thjeshta dhe nuk janë të dizajnuara për t'u përdorur për kërkime ose analiza të thella. Në vend të kësaj, honeypots me ndërveprim të ulët kanë për qëllim të zbulojnë se dikush po përpiqet të bëjë diçka që nuk duhet dhe më pas thjesht t'i bllokojë plotësisht. Ky lloj honeypot është i lehtë për t'u vendosur dhe zbatuar, por mund të jetë më i prirur për false pozitive nëse nuk planifikohet me kujdes.

Një shembull i një honeypot me ndërveprim të ulët

Nëse drejtoni një faqe interneti, një pjesë e funksionalitetit me të cilin mund të jeni njohur është robots.txt. Robots.txt është një skedar teksti që mund ta vendosni në direktorinë rrënjë të një serveri në internet. Si standard, robotët, veçanërisht zvarritësit për motorët e kërkimit dinë ta kontrollojnë këtë skedar. Mund ta konfiguroni me një listë faqesh ose drejtorish që bëni ose nuk dëshironi që një bot të zvarritet dhe të indeksohet. Robotët legjitimë, të tillë si një zvarritës i motorit të kërkimit, do të respektojnë udhëzimet në këtë skedar.

Formati është zakonisht përgjatë vijave të "ju mund t'i shikoni këto faqe, por mos zvarritni asgjë tjetër". Megjithatë, ndonjëherë, faqet e internetit kanë shumë faqe për të lejuar dhe vetëm disa duan të parandalojnë zvarritjen. Kështu ata marrin një shkurtore dhe thonë "mos e shiko këtë, por mund të zvarritesh çdo gjë tjetër". Shumica e hakerëve dhe robotëve do të shohin "mos shiko këtu" dhe më pas do të bëjnë të kundërtën. Pra, në vend që të parandaloni që faqja juaj e hyrjes së administratorit të zvarritet nga Google, ju i keni drejtuar sulmuesit drejt saj.

Meqenëse kjo sjellje njihet sidoqoftë, është shumë e lehtë për t'u manipuluar. Nëse vendosni një honeypot me një emër me pamje të ndjeshme dhe më pas konfiguroni skedarin tuaj robots.txt për të thënë "mos shiko këtu", shumë robotë dhe hakerë do të bëjnë pikërisht këtë. Më pas është mjaft e thjeshtë të regjistroni të gjitha adresat IP që ndërveprojnë me honeypot në çfarëdo mënyre dhe thjesht t'i bllokoni të gjitha.

Shmangia e rezultateve false

Në një numër të madh rastesh, ky lloj honeypot i fshehur mund të bllokojë automatikisht trafikun nga adresat IP që do të shkaktonin sulme të mëtejshme. Duhet pasur kujdes për të siguruar që përdoruesit legjitimë të faqes të mos shkojnë kurrë në honeypot. Një sistem i automatizuar si ky nuk mund të bëjë dallimin midis një sulmuesi dhe një përdoruesi legjitim. Si i tillë ju duhet të siguroheni që asnjë burim legjitim nuk lidhet fare me honeypot.

Mund të përfshini një koment në skedarin robots.txt që tregon se hyrja e honeypot është një honeypot. Kjo duhet të largojë përdoruesit legjitimë që të mos përpiqen të plotësojnë kureshtjen e tyre. Ai gjithashtu do të largonte hakerët që po hetojnë manualisht faqen tuaj dhe potencialisht do t'i shqetësojnë ata. Disa robotë mund të kenë gjithashtu sisteme në vend për të provuar të zbulojnë këtë lloj gjëje.

Një metodë tjetër për të reduktuar numrin e pozitivëve të rremë do të ishte të kërkonte ndërveprim më të thellë me honeypot. Në vend që të bllokoni këdo që madje ngarkon faqen e honeypot, ju mund të bllokoni këdo që më pas ndërvepron me të më tej. Përsëri, ideja është ta bëjmë atë të duket legjitime, ndërkohë që në fakt nuk të çon askund. Të kesh honeypot-in tënd të jetë një formë identifikimi në /admin është një ide e mirë, për aq kohë sa nuk mund të të regjistrojë fare në asgjë. Duke e futur më pas në atë që duket si një sistem legjitim, por në fakt është vetëm më thellë në honeypot, do të ishte më shumë një honeypot me ndërveprim të lartë.

konkluzioni

Një tenxhere me mjaltë është një kurth. Është projektuar që të duket sikur mund të jetë e dobishme për një haker, ndërsa në të vërtetë është e padobishme. Sistemet bazë thjesht bllokojnë adresën IP të kujtdo që ndërvepron me honeypot. Teknika më të avancuara mund të përdoren për të drejtuar hakerin, potencialisht për një periudhë të gjatë kohore. I pari përdoret zakonisht si një mjet sigurie. Ky i fundit është më shumë një mjet kërkimor për sigurinë pasi mund të japë njohuri mbi teknikat e sulmuesit. Duhet pasur kujdes për të parandaluar përdoruesit e ligjshëm që të ndërveprojnë me honeypot. Veprime të tilla ose do të rezultonin në bllokimin e përdoruesit legjitim ose do të turbullonin mbledhjen e të dhënave. Kështu, honeypot nuk duhet të lidhet me funksionalitetin aktual, por duhet të jetë i lokalizuar me disa përpjekje themelore.

Një honeypot mund të jetë gjithashtu një pajisje e vendosur në një rrjet. Në këtë skenar, është i ndarë nga të gjitha funksionet legjitime. Përsëri, ai do të projektohej që të duket sikur ka të dhëna interesante ose të ndjeshme për dikë që skanon rrjetin, por asnjë përdorues legjitim nuk duhet të ndeshet me të. Kështu, kushdo që ndërvepron me honeypot është i denjë për shqyrtim.