Какво е Honeypot?

Ако свържете компютър към отворен интернет без какъвто и да е филтър за входящ трафик, той обикновено ще започне да получава атакуващ трафик в рамките на минути. Такъв е мащабът на автоматизираните атаки и сканиране, които постоянно се случват в интернет. По-голямата част от този вид трафик е напълно автоматизиран. Това са просто ботове, които сканират интернет и може би опитват някои произволни полезни натоварвания, за да видят дали правят нещо интересно.

Разбира се, ако използвате уеб сървър или друга форма на сървър, имате нужда от сървър, свързан с интернет. В зависимост от вашия случай на употреба може да сте в състояние да използвате нещо като VPN, за да разрешите достъп само на оторизирани потребители. Ако обаче искате сървърът ви да бъде публично достъпен, трябва да сте свързани с интернет. Като такъв вашият сървър ще бъде изправен пред атаки.

Може да изглежда, че просто трябва да приемете това като норма за курса. За щастие има някои неща, които можете да направите.

Внедрете honeypot

Honeypot е инструмент, предназначен да привлича нападатели. Обещава сочна информация или уязвимости, които могат да доведат до информация, но е просто капан. Honeypot е умишлено създаден, за да примамва нападател. Има няколко различни разновидности в зависимост от това какво искате да направите.

Honeypot с високо взаимодействие е напреднал. Той е много сложен и предлага много неща, които да занимават нападателя. Те се използват най-вече за проучване на сигурността. Те позволяват на собственика да види как действа нападателят в реално време. Това може да се използва за информиране на настоящи или дори бъдещи защити. Целта на honeypot с високо взаимодействие е да държи нападателя ангажиран възможно най-дълго и да не предаде играта. За тази цел те са сложни за настройка и поддръжка.

Honeypot с ниско взаимодействие е основно капан за поставяне и забравяне. Те обикновено са прости и не са предназначени да се използват за задълбочени изследвания или анализи. Вместо това honeypots с ниско взаимодействие имат за цел да открият, че някой се опитва да направи нещо, което не трябва, и след това просто да ги блокира напълно. Този вид honeypot е лесен за настройка и внедряване, но може да бъде по-склонен към фалшиви положителни резултати, ако не е внимателно планиран.

Пример за honeypot с ниско взаимодействие

Ако управлявате уебсайт, част от функционалността, с която може да сте запознати, е robots.txt. Robots.txt е текстов файл, който можете да поставите в основната директория на уеб сървър. Като стандарт ботовете, особено роботите за търсачки, знаят да проверяват този файл. Можете да го конфигурирате със списък от страници или директории, които искате или не искате бот да обхожда и индексира. Легитимните ботове, като робот на търсачка, ще спазват инструкциите в този файл.

Форматът обикновено е по линията на „можете да гледате тези страници, но не обхождайте нищо друго“. Понякога обаче уебсайтовете имат много страници, които да разрешат и само няколко искат да предотвратят обхождането. Така те избират пряк път и казват „не гледайте това, но можете да обхождате всичко друго“. Повечето хакери и ботове ще видят „не гледайте тук“ и след това ще направят точно обратното. Така че вместо да попречите на страницата си за вход на администратора да бъде обхождана от Google, вие сте насочили нападателите направо към нея.

Като се има предвид, че това е известно поведение, то е доста лесно за манипулиране. Ако настроите honeypot с чувствително изглеждащо име и след това конфигурирате файла си robots.txt да казва „не гледайте тук“, много ботове и хакери ще направят точно това. След това е доста лесно да регистрирате всички IP адреси, които взаимодействат с honeypot по някакъв начин и просто да ги блокирате всички.

Избягване на фалшиви положителни резултати

В голям брой случаи този вид скрит honeypot може автоматично да блокира трафика от IP адреси, което би предизвикало допълнителни атаки. Трябва да се внимава, за да се гарантира, че законните потребители на сайта никога няма да отидат в honeypot. Автоматизирана система като тази не може да направи разликата между нападател и легитимен потребител. Като такъв трябва да се уверите, че никакви легитимни ресурси изобщо не се свързват с honeypot.

Можете да включите коментар във файла robots.txt, показващ, че записът honeypot е honeypot. Това трябва да разубеди законните потребители да се опитват да задоволят любопитството си. Това също би разубедило хакерите, които ръчно изследват вашия сайт и потенциално би ги раздразнило. Някои ботове може също да имат системи, за да се опитат да открият подобни неща.

Друг метод за намаляване на броя на фалшивите положителни резултати би бил изискването на по-задълбочено взаимодействие с honeypot. Вместо да блокирате всеки, който дори зареди страницата на honeypot, можете да блокирате всеки, който след това взаимодейства с нея допълнително. Отново, идеята е да изглежда легитимно, докато всъщност не води до никъде. Вашият honeypot да бъде форма за влизане в /admin е добра идея, стига да не може да ви влезе в нищо. След това да влезете в това, което изглежда като легитимна система, но всъщност е просто по-дълбоко в honeypot, би било по-скоро honeypot с високо взаимодействие.

Заключение

Гърне с мед е капан. Проектиран е така, че да изглежда така, сякаш може да бъде полезен за хакер, но всъщност е безполезен. Основните системи просто блокират IP адреса на всеки, който взаимодейства с honeypot. Могат да се използват по-напреднали техники, за да се насочи хакерът, потенциално за дълъг период от време. Първият обикновено се използва като инструмент за сигурност. Последният е по-скоро инструмент за изследване на сигурността, тъй като може да даде представа за техниките на нападателя. Трябва да се внимава да се предотврати взаимодействието на легитимни потребители с honeypot. Подобни действия биха довели или до блокиране на законния потребител, или до замъгляване на събирането на данни. Следователно honeypot не трябва да е свързан с действителната функционалност, но трябва да може да се намира с някои основни усилия.

Honeypot може също да бъде устройство, разположено в мрежа. В този сценарий той е отделен от всички законни функции. Отново ще бъде проектирано да изглежда така, сякаш има интересни или чувствителни данни за някой, който сканира мрежата, но никой законен потребител не трябва да го среща. По този начин всеки, който взаимодейства с honeypot, заслужава преглед.