Hvad er en Honeypot?

Hvis du tilslutter en computer til det åbne internet uden nogen form for indgående trafikfilter, vil den typisk begynde at modtage angrebstrafik inden for få minutter. Sådan er omfanget af automatiske angreb og scanninger, der konstant sker på internettet. Langt størstedelen af ​​denne form for trafik er fuldstændig automatiseret. Det er bare bots, der scanner internettet og måske prøver nogle tilfældige nyttelaster for at se, om de gør noget interessant.

Hvis du kører en webserver eller en anden form for server, skal du selvfølgelig have din server forbundet til internettet. Afhængigt af dit brugstilfælde kan du muligvis bruge noget som en VPN til kun at tillade adgang til autoriserede brugere. Hvis du vil have din server til at være offentligt tilgængelig, skal du dog have forbindelse til internettet. Som sådan vil din server blive udsat for angreb.

Det kan virke som om, du dybest set bare skal acceptere dette som par for kurset. Heldigvis er der nogle ting, du kan gøre.

Implementer en honningpotte

En honeypot er et værktøj, der er designet til at lokke angribere ind. Det lover saftig information eller sårbarheder, der kan føre til information, men som blot er en fælde. En honeypot er bevidst sat op til at lokke en angriber i. Der er et par forskellige varianter alt efter hvad du vil gøre.

En honeypot med høj interaktion er avanceret. Det er meget komplekst og byder på mange ting for at holde angriberen beskæftiget. Disse bruges mest til sikkerhedsforskning. De giver ejeren mulighed for at se, hvordan en angriber handler i realtid. Dette kan bruges til at informere nuværende eller endda fremtidige forsvar. Målet med en honeypot med høj interaktion er at holde angriberen beskæftiget så længe som muligt og ikke at give spillet væk. Til det formål er de komplekse at opsætte og vedligeholde.

En honeypot med lav interaktion er dybest set en sted-og-glem-fælde. De er typisk enkle og ikke designet til at blive brugt til dyb forskning eller analyse. I stedet er det meningen, at honeypots med lav interaktion skal opdage, at nogen forsøger at gøre noget, de ikke burde, og så bare blokere dem fuldstændigt. Denne form for honeypot er nem at sætte op og implementere, men kan være mere tilbøjelig til falske positiver, hvis den ikke er nøje planlagt.

Et eksempel på en honningkrukke med lav interaktion

Hvis du driver et websted, er en funktionalitet, du måske kender, robots.txt. Robots.txt er en tekstfil, som du kan placere i rodmappen på en webserver. Som standard ved bots, især crawlere til søgemaskiner, at tjekke denne fil. Du kan konfigurere den med en liste over sider eller mapper, som du gør eller ikke ønsker, at en bot skal gennemgå og indeksere. Legitime bots, såsom en søgemaskinecrawler, vil respektere instruktionerne i denne fil.

Formatet er typisk i stil med "du kan se på disse sider, men ikke crawle andet". Nogle gange har websteder dog mange sider, som de skal tillade, og kun få vil de forhindre gennemgang. Derfor tager de en genvej og siger "se ikke på det her, men du kan kravle alt andet". De fleste hackere og bots vil se "se ikke her" og derefter gøre det stik modsatte. Så i stedet for at forhindre din admin-loginside i at blive crawlet af Google, har du peget angribere direkte på den.

Da dette dog er kendt adfærd, er det ret nemt at manipulere. Hvis du opretter en honeypot med et følsomt udseende navn og derefter konfigurerer din robots.txt-fil til at sige "se ikke her", vil mange bots og hackere gøre præcis det. Det er så ganske enkelt at logge alle IP-adresser, der interagerer med honeypot på nogen måde, og blot blokere dem alle.

Undgå falske positiver

I et stort antal tilfælde kan denne form for skjulte honeypot automatisk blokere trafik fra IP-adresser, der ville udsende yderligere angreb. Der skal dog udvises omhu for at sikre, at legitime brugere af webstedet aldrig går til honeypotten. Et automatiseret system som dette kan ikke kende forskel på en angriber og en legitim bruger. Som sådan skal du sikre dig, at der overhovedet ikke er nogen legitime ressourcer forbundet med honningpotten.

Du kan inkludere en kommentar i robots.txt-filen, der angiver, at honeypot-posten er en honeypot. Dette bør afholde legitime brugere fra at forsøge at stille deres nysgerrighed. Det ville også afskrække hackere, der manuelt undersøger dit websted og potentielt irritere dem. Nogle bots kan også have systemer på plads til at forsøge at opdage denne slags ting.

En anden metode til at reducere antallet af falske positiver ville være at kræve mere dybdegående interaktion med honningpotten. I stedet for at blokere enhver, der selv indlæser honeypot-siden, kan du blokere enhver, der derefter interagerer med den yderligere. Igen er tanken at få det til at se legitimt ud, mens det faktisk ikke fører nogen vegne. At have din honeypot til at være en login-formular på /admin er en god idé, bare så længe den faktisk ikke kan logge dig på noget overhovedet. At have det derefter logge ind på, hvad der ligner et legitimt system, men som faktisk bare er dybere nede i honeypot, ville være mere en høj-interaktion honeypot.

Konklusion

En honningkrukke er en fælde. Det er designet til at se ud som om det kan være nyttigt for en hacker, mens det faktisk er ubrugeligt. Grundlæggende systemer blokerer bare IP-adressen på enhver, der interagerer med honeypot. Mere avancerede teknikker kan bruges til at lede hackeren videre, potentielt i en længere periode. Førstnævnte bruges typisk som et sikkerhedsværktøj. Sidstnævnte er mere et sikkerhedsforskningsværktøj, da det kan give indsigt i angriberens teknikker. Der skal udvises forsigtighed for at forhindre legitime brugere i at interagere med honningpotten. Sådanne handlinger vil enten resultere i blokering af den legitime bruger eller mudre dataindsamlingen. Honningpotten bør derfor ikke være relateret til faktisk funktionalitet, men bør kunne lokaliseres med en vis grundlæggende indsats.

En honeypot kan også være en enhed, der er installeret på et netværk. I dette scenarie er det adskilt fra al lovlig funktionalitet. Igen ville det være designet til at se ud som om det har interessante eller følsomme data for nogen, der scanner netværket, men ingen legitim bruger bør nogensinde støde på det. Derfor er enhver, der interagerer med honningpotten, værd at anmelde.