Què és un Honeypot?

Si connecteu un ordinador a Internet obert sense cap tipus de filtre de trànsit d'entrada, normalment començarà a rebre trànsit d'atac en qüestió de minuts. Aquesta és l'escala d'atacs automatitzats i d'escaneig que es produeix constantment a Internet. La gran majoria d'aquest tipus de trànsit està completament automatitzat. Només són robots que escanegen Internet i potser intenten algunes càrregues útils aleatòries per veure si fan alguna cosa interessant.

Per descomptat, si feu servir un servidor web o qualsevol altra forma de servidor, necessiteu el vostre servidor connectat a Internet. Depenent del vostre cas d'ús, és possible que pugueu utilitzar alguna cosa com una VPN per permetre l'accés només als usuaris autoritzats. Tanmateix, si voleu que el vostre servidor sigui accessible públicament, heu d'estar connectat a Internet. Com a tal, el vostre servidor s'enfrontarà a atacs.

Pot semblar que bàsicament només heu d'acceptar això com a paràmetre del curs. Per sort, hi ha algunes coses que pots fer.

Implementar un pot de mel

Un honeypot és una eina dissenyada per atraure els atacants. Promet informació sucosa o vulnerabilitats que podrien conduir a informació, però només és una trampa. Un honeypot està configurat deliberadament per atraure un atacant. Hi ha algunes varietats diferents segons el que vulgueu fer.

Un honeypot d'alta interacció està avançat. És molt complex i ofereix moltes coses per mantenir ocupat l'atacant. S'utilitzen principalment per a investigacions de seguretat. Permeten al propietari veure com actua un atacant en temps real. Això es pot utilitzar per informar les defenses actuals o fins i tot futures. L'objectiu d'un honeypot d'alta interacció és mantenir l'atacant ocupat el màxim de temps possible i no regalar el joc. Amb aquesta finalitat, són complexos d'instal·lar i mantenir.

Un pot de mel de baixa interacció és bàsicament una trampa de lloc i oblidar. Normalment són senzills i no estan dissenyats per ser utilitzats per a investigacions o anàlisis profunds. En canvi, els honeypots de baixa interacció estan destinats a detectar que algú està intentant fer alguna cosa que no hauria de fer i després bloquejar-los completament. Aquest tipus de pot de mel és fàcil de configurar i implementar, però pot ser més propens a falsos positius si no es planifica amb cura.

Un exemple d'un pot de mel de baixa interacció

Si executeu un lloc web, una de les funcionalitats que potser coneixeu és robots.txt. Robots.txt és un fitxer de text que podeu col·locar al directori arrel d'un servidor web. Com a estàndard, els robots, especialment els rastrejadors dels motors de cerca, saben comprovar aquest fitxer. Podeu configurar-lo amb una llista de pàgines o directoris que voleu o no voleu que un bot rastregi i indexi. Els robots legítims, com ara un rastrejador de motors de cerca, respectaran les instruccions d'aquest fitxer.

El format acostuma a ser del tipus "pots mirar aquestes pàgines, però no rastregis res més". De vegades, però, els llocs web tenen moltes pàgines per permetre i només unes poques volen evitar el rastreig. Així, prenen una drecera i diuen "no miris això, però pots gatejar qualsevol altra cosa". La majoria dels pirates informàtics i robots veuran "no miris aquí" i després faran exactament el contrari. Per tant, en lloc d'evitar que Google rastregi la vostra pàgina d'inici de sessió d'administrador, heu apuntat els atacants directament.

Atès que aquest és un comportament conegut, però, és bastant fàcil de manipular. Si configureu un honeypot amb un nom d'aspecte sensible i, a continuació, configureu el fitxer robots.txt perquè digui "no mireu aquí", molts robots i pirates informàtics ho faran exactament. Aleshores, és bastant senzill registrar totes les adreces IP que interactuen amb el honeypot de qualsevol manera i bloquejar-les totes.

Evitar falsos positius

En un bon nombre de casos, aquest tipus de pot ocult pot bloquejar automàticament el trànsit de les adreces IP que emetrien més atacs. S'ha de tenir cura per assegurar-se que els usuaris legítims del lloc no van mai a l'honeypot. Un sistema automatitzat com aquest no pot distingir entre un atacant i un usuari legítim. Com a tal, heu d'assegurar-vos que cap recurs legítim no s'enllaça amb el honeypot.

Podríeu incloure un comentari al fitxer robots.txt que indiqui que l'entrada honeypot és un honeypot. Això hauria de dissuadir els usuaris legítims d'intentar saciar la seva curiositat. També dissuadiria els pirates informàtics que sondegen manualment el vostre lloc i, potencialment, els molestaria. Alguns robots també poden tenir sistemes per intentar detectar aquest tipus de coses.

Un altre mètode per reduir el nombre de falsos positius seria requerir una interacció més profunda amb el pot de mel. En lloc de bloquejar qualsevol persona que fins i tot carregui la pàgina de l'honeypot, podeu bloquejar qualsevol persona que interactuï més amb ella. Una vegada més, la idea és fer que sembli legítim, mentre que en realitat no porta enlloc. Que el vostre honeypot sigui un formulari d'inici de sessió a /admin és una bona idea, sempre que no us pugui iniciar la sessió en res. Si després inicieu sessió en el que sembla un sistema legítim, però que de fet és més profund a l'honeypot, seria més un honeypot d'alta interacció.

Conclusió

Un pot de mel és una trampa. Està dissenyat per semblar que pot ser útil per a un pirata informàtic, mentre que en realitat és inútil. Els sistemes bàsics només bloquegen l'adreça IP de qualsevol persona que interactuï amb el honeypot. Es poden utilitzar tècniques més avançades per conduir el pirata informàtic, potencialment durant un llarg període de temps. El primer s'utilitza normalment com a eina de seguretat. Aquesta última és més una eina d'investigació de seguretat, ja que pot donar informació sobre les tècniques de l'atacant. S'ha de tenir cura d'evitar que els usuaris legítims interactuïn amb l'honeypot. Aquestes accions tindrien com a resultat el bloqueig de l'usuari legítim o bé enfosquir la recollida de dades. Per tant, l'honeypot no hauria d'estar relacionat amb la funcionalitat real, sinó que s'hauria de localitzar amb un esforç bàsic.

Un honeypot també pot ser un dispositiu desplegat en una xarxa. En aquest escenari, està separat de totes les funcionalitats legítimes. De nou, estaria dissenyat per semblar que té dades interessants o sensibles per a algú que escaneja la xarxa, però cap usuari legítim no s'hauria de trobar mai. Per tant, qualsevol persona que interactuï amb el pot de mel és digne de revisió.