Mikä on Honeypot?

Jos yhdistät tietokoneen avoimeen Internetiin ilman minkäänlaista saapuvan liikenteen suodatinta, se alkaa yleensä vastaanottaa hyökkäysliikennettä muutamassa minuutissa. Tällainen on Internetissä jatkuvasti tapahtuvien automatisoitujen hyökkäysten ja skannauksen laajuus. Suurin osa tällaisesta liikenteestä on täysin automatisoitua. Botit vain skannaavat Internetiä ja ehkä kokeilevat satunnaisia ​​hyötykuormia nähdäkseen, tekevätkö ne jotain mielenkiintoista.

Tietenkin, jos käytät web-palvelinta tai muuta palvelinta, tarvitset palvelimesi Internetiin. Käyttötapauksestasi riippuen saatat pystyä käyttämään jotain VPN:ää sallimaan pääsyn vain valtuutetuille käyttäjille. Jos kuitenkin haluat palvelimesi olevan julkisesti käytettävissä, sinun on kuitenkin oltava yhteydessä Internetiin. Näin ollen palvelimesi joutuu kohtaamaan hyökkäyksiä.

Saattaa tuntua, että sinun on periaatteessa vain hyväksyttävä tämä kurssin pariksi. Onneksi on joitain asioita, joita voit tehdä.

Toteuta hunajaruukku

Honeypot on työkalu, joka on suunniteltu houkuttelemaan hyökkääjiä. Se lupaa mehukkaita tietoja tai haavoittuvuuksia, jotka voivat johtaa tietoon, mutta on vain ansa. Hunajaruukku on tarkoituksella perustettu syöttimään hyökkääjän sisään. On olemassa muutamia erilaisia ​​​​lajikkeita riippuen siitä, mitä haluat tehdä.

Korkean vuorovaikutuksen hunajapotti on edistynyt. Se on erittäin monimutkainen ja tarjoaa paljon asioita, jotka pitävät hyökkääjän kiireisenä. Näitä käytetään enimmäkseen turvallisuustutkimukseen. Niiden avulla omistaja voi nähdä, kuinka hyökkääjä toimii reaaliajassa. Tätä voidaan käyttää tiedottamaan nykyisistä tai jopa tulevista puolustuksista. Vuorovaikutteisen hunajapotin tavoitteena on pitää hyökkääjä kiireisenä mahdollisimman pitkään ja olla antamatta peliä pois. Tätä varten ne ovat monimutkaisia ​​asentaa ja ylläpitää.

Vähän vuorovaikutteinen hunajapotti on pohjimmiltaan paikka ja unohda -ansa. Ne ovat yleensä yksinkertaisia, eikä niitä ole suunniteltu käytettäväksi syvälliseen tutkimukseen tai analysointiin. Sen sijaan vähävuorovaikutteisten hunajapottien tarkoituksena on havaita, että joku yrittää tehdä jotain, mitä hänen ei pitäisi, ja sitten vain estää ne kokonaan. Tällainen hunajaruukku on helppo asentaa ja toteuttaa, mutta se voi olla alttiimpi väärille positiivisille tuloksille, jos sitä ei suunnitella huolellisesti.

Esimerkki vähän vuorovaikutteisesta hunajapotista

Jos sinulla on verkkosivusto, osa toiminnallisuutta, joka saatat olla tuttu, on robots.txt. Robots.txt on tekstitiedosto, jonka voit sijoittaa verkkopalvelimen juurihakemistoon. Normaalisti robotit, erityisesti hakukoneiden indeksointirobotit, osaavat tarkistaa tämän tiedoston. Voit määrittää sen luettelolla sivuista tai hakemistoista, jotka haluat tai et halua botin indeksoivan ja indeksoivan. Lailliset robotit, kuten hakukoneindeksointirobotti, noudattavat tämän tiedoston ohjeita.

Muoto on tyypillisesti seuraavanlainen: "voit katsoa näitä sivuja, mutta älä indeksoi mitään muuta". Joskus verkkosivustoilla on kuitenkin paljon sallittuja sivuja, ja vain muutaman ne haluavat estää indeksoinnin. Siten he valitsevat pikakuvakkeen ja sanovat "älä katso tätä, mutta voit indeksoida mitä tahansa muuta". Useimmat hakkerit ja robotit näkevät "älä katso täältä" ja tekevät sitten päinvastoin. Sen sijaan, että estäisit Googlea indeksoimasta järjestelmänvalvojan kirjautumissivuasi, olet ohjannut hyökkääjät suoraan siihen.

Koska tämä on kuitenkin tunnettua käytöstä, sitä on melko helppo manipuloida. Jos määrität honeypotin herkän näköisellä nimellä ja määrität sitten robots.txt-tiedostosi sanomaan "älä katso täältä", monet robotit ja hakkerit tekevät juuri niin. Sitten on melko helppoa kirjata kaikki IP-osoitteet, jotka ovat vuorovaikutuksessa honeypotin kanssa millään tavalla, ja vain estää ne kaikki.

Väärien positiivisten tulosten välttäminen

Monissa tapauksissa tällainen piilotettu hunajapotti voi automaattisesti estää liikenteen IP-osoitteista, jotka aiheuttaisivat uusia hyökkäyksiä. On kuitenkin huolehdittava siitä, että sivuston lailliset käyttäjät eivät koskaan mene hunajapotille. Tällainen automatisoitu järjestelmä ei pysty erottamaan hyökkääjää ja laillista käyttäjää. Sellaisenaan sinun on varmistettava, että mikään laillinen resurssi ei linkitä hunajapottiin ollenkaan.

Voit lisätä robots.txt-tiedostoon kommentin, joka osoittaa, että honeypot-merkintä on honeypotti. Tämän pitäisi saada lailliset käyttäjät luopumaan yrittämästä tyydyttää uteliaisuuttaan. Se myös luopuisi hakkereista, jotka tutkivat sivustoasi manuaalisesti ja saattaisivat ärsyttää heidät. Joillakin boteilla voi myös olla järjestelmiä, jotka yrittävät havaita tämänkaltaisia ​​asioita.

Toinen tapa vähentää väärien positiivisten tulosten määrää olisi vaatia syvällisempää vuorovaikutusta hunajaruukun kanssa. Sen sijaan, että estäisit kenen tahansa, joka jopa lataa Honeypot-sivun, voit estää kenet tahansa, joka sitten on vuorovaikutuksessa sen kanssa. Taas ajatuksena on saada se näyttämään oikeutetulta, vaikka se ei itse asiassa johda mihinkään. Honeypotin käyttäminen sisäänkirjautumislomakkeena osoitteessa /admin on hyvä idea, kunhan se ei voi kirjata sinua mihinkään. Jos se sitten kirjautuu sisään järjestelmään, joka näyttää lailliselta, mutta on itse asiassa vain syvemmälle hunajapotissa, se olisi enemmän vuorovaikutteista hunajapottia.

Johtopäätös

Hunajaruukku on ansa. Se on suunniteltu näyttämään siltä, ​​että siitä voisi olla hyötyä hakkereille, vaikka se on itse asiassa hyödytön. Perusjärjestelmät vain estävät kenen tahansa Honeypotin kanssa vuorovaikutuksessa olevan IP-osoitteen. Edistyneempiä tekniikoita voidaan käyttää hakkerin ohjaamiseen, mahdollisesti pitkäksi aikaa. Ensin mainittua käytetään tyypillisesti turvatyökaluna. Jälkimmäinen on enemmän tietoturvatutkimustyökalu, koska se voi antaa käsityksen hyökkääjän tekniikoista. On huolehdittava siitä, että lailliset käyttäjät eivät ole vuorovaikutuksessa hunajapotin kanssa. Tällaiset toimet johtaisivat joko laillisen käyttäjän estämiseen tai tietojen keräämisen häiritsemiseen. Siten hunajapotin ei pitäisi liittyä varsinaiseen toimivuuteen, vaan sen pitäisi olla paikannettavissa jollain perustoimenpiteellä.

Honeypot voi olla myös verkkoon asennettu laite. Tässä skenaariossa se on erillinen kaikista laillisista toiminnoista. Jälleen se olisi suunniteltu näyttämään siltä, ​​että siinä on kiinnostavia tai arkaluontoisia tietoja jollekulle, joka skannaa verkkoa, mutta kukaan laillinen käyttäjä ei saa koskaan kohdata niitä. Näin ollen jokainen, joka on vuorovaikutuksessa honeypotin kanssa, on tarkastelun arvoinen.