Mis on Honeypot?

Kui ühendate arvuti avatud Internetiga ilma sissetuleva liikluse filtrita, hakkab see tavaliselt rünnakuliiklust vastu võtma mõne minuti jooksul. Selline on Internetis pidevalt toimuvate automatiseeritud rünnakute ja skannimise ulatus. Valdav osa seda tüüpi liiklusest on täielikult automatiseeritud. Need on lihtsalt robotid, kes skannivad Internetti ja proovivad võib-olla juhuslikke koormusi, et näha, kas nad teevad midagi huvitavat.

Muidugi, kui kasutate veebiserverit või muud tüüpi serverit, on teil vaja Interneti-ühendust. Olenevalt teie kasutusjuhtumist võite kasutada midagi sellist nagu VPN, et võimaldada juurdepääsu ainult volitatud kasutajatele. Kui soovite, et teie server oleks avalikult juurdepääsetav, peab teil olema Interneti-ühendus. Sellisena seisab teie server silmitsi rünnakutega.

Võib tunduda, et peate selle lihtsalt kursuse jaoks aktsepteerima. Õnneks on mõned asjad, mida saate teha.

Rakenda meepott

Meepott on tööriist, mis on loodud ründajate meelitamiseks. See lubab mahlast teavet või turvaauke, mis võivad teabeni viia, kuid on lihtsalt lõks. Meepott on sihilikult seatud ründaja söötmiseks. Sõltuvalt sellest, mida soovite teha, on mitu erinevat sorti.

Suure interaktsiooniga meepott on täiustatud. See on väga keeruline ja pakub ründaja tegevuses hoidmiseks palju asju. Neid kasutatakse enamasti turvauuringuteks. Need võimaldavad omanikul reaalajas näha, kuidas ründaja tegutseb. Seda saab kasutada praeguste või isegi tulevaste kaitsemeetmete teavitamiseks. Suure interaktsiooniga meepoti eesmärk on hoida ründajat võimalikult kaua hõivatud ja mitte anda mängu käest. Selleks on neid keeruline seadistada ja hooldada.

Vähese interaktsiooniga meepott on põhimõtteliselt koht ja unusta lõks. Need on tavaliselt lihtsad ega ole mõeldud kasutamiseks põhjalikuks uurimiseks või analüüsiks. Selle asemel on vähese interaktsiooniga meepotid mõeldud selleks, et tuvastada, et keegi üritab teha midagi, mida ta ei peaks, ja seejärel need täielikult blokeerida. Seda tüüpi meepotti on lihtne üles seada ja rakendada, kuid kui seda ei ole hoolikalt planeeritud, võib see olla tõenäolisem valepositiivsete tulemuste saamiseks.

Näide vähese interaktsiooniga meepotist

Kui haldate veebisaiti, on fail robots.txt teile tuttav. Robots.txt on tekstifail, mille saate paigutada veebiserveri juurkataloogi. Tavaliselt teavad robotid, eriti otsingumootorite roomajad, seda faili kontrollida. Saate selle konfigureerida lehtede või kataloogide loendiga, mida te ei soovi või soovite, et robot roomaks ja indekseeriks. Õiguspärased robotid, nagu otsingumootori roomaja, järgivad selles failis olevaid juhiseid.

Vorming on tavaliselt sarnane "saate neid lehti vaadata, kuid ärge roomake midagi muud". Mõnikord on veebisaitidel lubamiseks palju lehti ja ainult väheseid soovivad nad roomamist takistada. Seetõttu valivad nad otsetee ja ütlevad: "Ära vaata seda, aga võite roomata kõike muud". Enamik häkkereid ja roboteid näevad „ära vaata siia” ja teevad siis täpselt vastupidist. Selle asemel, et takistada Google'i oma administraatori sisselogimislehe roomamist, olete juhtinud ründajad otse sellele.

Arvestades, et see käitumine on teada, on sellega üsna lihtne manipuleerida. Kui seadistate tundliku välimusega nimega meepoti ja seejärel konfigureerite faili robots.txt ütlema „ära vaata siit”, teevad paljud robotid ja häkkerid täpselt seda. Seejärel on üsna lihtne logida kõik IP-aadressid, mis meepotiga mingil viisil suhtlevad, ja need kõik lihtsalt blokeerida.

Valepositiivsete tulemuste vältimine

Paljudel juhtudel võib selline peidetud meepott automaatselt blokeerida IP-aadressidelt tuleva liikluse, mis tekitaks edasisi rünnakuid. Siiski tuleb hoolitseda selle eest, et saidi seaduslikud kasutajad ei läheks kunagi meepotti. Selline automatiseeritud süsteem ei suuda teha vahet ründajal ja seaduslikul kasutajal. Seetõttu peate veenduma, et ükski seaduslik ressurs ei lingiks meepotiga.

Saate lisada faili robots.txt kommentaari, mis näitab, et meepoti kirje on meepott. See peaks heidutama seaduslikke kasutajaid oma uudishimu rahuldamast. See heidutaks ka häkkereid, kes teie saiti käsitsi uurivad ja võivad neid ärritada. Mõnel robotil võib olla ka süsteeme, mis proovivad seda tüüpi asju tuvastada.

Teine meetod valepositiivsete tulemuste arvu vähendamiseks oleks nõuda põhjalikumat suhtlemist meepotiga. Selle asemel, et blokeerida igaüks, kes isegi meepoti lehe laadib, võite blokeerida kõik, kes sellega edasi suhtlevad. Jällegi on idee muuta see seaduslikuks, kuigi see tegelikult ei vii kuhugi. Hea mõte on, et teie honeypot on sisselogimisvorm saidil /admin, kuni see ei saa teid tegelikult üldse kuhugi sisse logida. Kui see logiks sisse süsteemi, mis näib olevat seaduslik, kuid asub tegelikult sügavamal meepotis, oleks see pigem suure interaktsiooniga meepott.

Järeldus

Meepott on lõks. See on loodud välja nägema nii, et sellest võib häkkerile kasu olla, kuigi see on tegelikult kasutu. Põhisüsteemid lihtsalt blokeerivad kõigi meepotiga suhtlevate inimeste IP-aadressi. Täiustatud tehnikaid saab kasutada häkkeri edasiviimiseks, potentsiaalselt pikaks ajaks. Esimest kasutatakse tavaliselt turvavahendina. Viimane on pigem turva-uuringute tööriist, kuna see võib anda ülevaate ründaja tehnikatest. Tuleb hoolitseda selle eest, et seaduslikud kasutajad meepotiga ei suhtleks. Selliste toimingute tulemuseks oleks seadusliku kasutaja blokeerimine või andmete kogumine. Seega ei tohiks meepott olla seotud tegeliku funktsionaalsusega, vaid peaks olema lihtsa vaevaga leitav.

Meepott võib olla ka võrku juurutatud seade. Selle stsenaariumi korral on see kõigist seaduslikest funktsioonidest eraldi. Jällegi peaks see välja nägema nii, et sellel on võrku skanniva inimese jaoks huvitavaid või tundlikke andmeid, kuid ükski seaduslik kasutaja ei tohiks seda kunagi kohata. Seega on ülevaatamist väärt igaüks, kes meepotiga suhtleb.