Što je Honeypot?

Ako povežete računalo s otvorenim internetom bez ikakvog filtera ulaznog prometa, ono će obično početi primati napadni promet u roku od nekoliko minuta. Toliki je razmjer automatiziranih napada i skeniranja koji se neprestano događaju na internetu. Velika većina ove vrste prometa potpuno je automatizirana. To su samo roboti koji skeniraju internet i možda pokušavaju nasumično učitati podatke da vide rade li nešto zanimljivo.

Naravno, ako koristite web poslužitelj ili bilo koji drugi oblik poslužitelja, vaš poslužitelj treba biti spojen na Internet. Ovisno o vašem slučaju upotrebe, možda ćete moći koristiti nešto poput VPN-a da omogućite pristup samo ovlaštenim korisnicima. Međutim, ako želite da vaš poslužitelj bude javno dostupan, morate biti povezani na Internet. Kao takav, vaš će se poslužitelj suočiti s napadima.

Moglo bi se činiti da ovo jednostavno morate prihvatiti kao dio tečaja. Srećom, postoje neke stvari koje možete učiniti.

Implementirajte honeypot

Honeypot je alat koji je dizajniran da namami napadače. Obećava sočne informacije ili ranjivosti koje bi mogle dovesti do informacija, ali je samo zamka. Honeypot je namjerno postavljen da namami napadača. Postoji nekoliko različitih varijanti ovisno o tome što želite učiniti.

Honeypot visoke interakcije je napredan. Vrlo je kompleksan i nudi puno stvari kojima napadač može biti zaposlen. Oni se uglavnom koriste za sigurnosna istraživanja. Omogućuju vlasniku da vidi kako se napadač ponaša u stvarnom vremenu. Ovo se može koristiti za informiranje trenutne ili čak buduće obrane. Cilj honeypota visoke interakcije je zadržati napadača okupiranim što je duže moguće i ne odati igru. Zbog toga su složeni za postavljanje i održavanje.

Honeypot s niskom interakcijom u osnovi je zamka za mjesto i zaborav. Obično su jednostavni i nisu dizajnirani za dubinsko istraživanje ili analizu. Umjesto toga, honeypotovi s niskom interakcijom namijenjeni su otkrivanju da netko pokušava učiniti nešto što ne bi trebao i da ih zatim potpuno blokiraju. Ovu vrstu honeypota lako je postaviti i implementirati, ali može biti sklonija lažnim pozitivnim rezultatima ako nije pažljivo planirana.

Primjer honeypota niske interakcije

Ako imate web stranicu, dio funkcionalnosti koji vam je možda poznat je robots.txt. Robots.txt je tekstualna datoteka koju možete smjestiti u korijenski direktorij web poslužitelja. Kao standard, botovi, posebno pretraživači za tražilice znaju provjeriti ovu datoteku. Možete ga konfigurirati s popisom stranica ili direktorija za koje želite ili ne želite da bot indeksira i indeksira. Legitimni botovi, kao što je tražilica za indeksiranje, poštivat će upute u ovoj datoteci.

Format je obično u skladu s "možete pogledati ove stranice, ali nemojte indeksirati ništa drugo". Međutim, ponekad web-mjesta imaju mnogo stranica koje treba dopustiti, a samo nekoliko žele spriječiti indeksiranje. Stoga idu prečacem i kažu “ne gledaj ovo, ali možeš puzati bilo što drugo”. Većina hakera i botova vidjet će "ne gledaj ovdje", a zatim će učiniti upravo suprotno. Dakle, umjesto da spriječite da Google indeksira vašu administratorsku stranicu za prijavu, vi ste napadače usmjerili ravno na nju.

S obzirom na to da je ovo poznato ponašanje, prilično je lako manipulirati njime. Ako postavite honeypot s osjetljivim imenom, a zatim konfigurirate datoteku robots.txt da kaže "ne gledajte ovdje", mnogi roboti i hakeri će učiniti upravo to. Zatim je vrlo jednostavno prijaviti sve IP adrese koje na bilo koji način komuniciraju s honeypotom i jednostavno ih sve blokirati.

Izbjegavanje lažno pozitivnih rezultata

U velikom broju slučajeva, ova vrsta skrivenog honeypota može automatski blokirati promet s IP adresa što bi izazvalo daljnje napade. Ipak, mora se paziti da legitimni korisnici stranice nikada ne odu u honeypot. Ovakav automatizirani sustav ne može razlikovati napadača od legitimnog korisnika. Stoga morate biti sigurni da nijedan legitimni izvor uopće ne povezuje s honeypotom.

Možete uključiti komentar u datoteku robots.txt koji pokazuje da je honeypot unos honeypot. Ovo bi trebalo odvratiti legitimne korisnike od pokušaja zadovoljenja svoje znatiželje. To bi također odvratilo hakere koji ručno pretražuju vašu stranicu i potencijalno ih razljutilo. Neki botovi također mogu imati sustave koji pokušavaju otkriti takve stvari.

Druga metoda za smanjenje broja lažno pozitivnih rezultata bila bi zahtijevanje dublje interakcije s honeypotom. Umjesto da blokirate bilo koga tko čak i učita honeypot stranicu, možete blokirati svakoga tko potom s njom dalje komunicira. Opet, ideja je učiniti da izgleda legitimno, dok zapravo ne vodi nikamo. Dobra je ideja da vaš honeypot bude obrazac za prijavu na /admin, sve dok vas zapravo ne može prijaviti ni na što. Ako se zatim prijavi u ono što izgleda kao legitiman sustav, ali je zapravo samo dublje u honeypotu, više bi to bio honeypot visoke interakcije.

Zaključak

Lonac za med je zamka. Dizajniran je tako da izgleda kao da bi mogao biti od koristi hakeru, dok je zapravo beskoristan. Osnovni sustavi samo blokiraju IP adresu bilo koga tko komunicira s honeypotom. Naprednije tehnike mogu se koristiti za navođenje hakera, potencijalno na dulje vremensko razdoblje. Prvi se obično koristi kao sigurnosni alat. Potonji je više alat za sigurnosno istraživanje jer može dati uvid u tehnike napadača. Mora se paziti da se legitimnim korisnicima spriječi interakcija s honeypotom. Takve bi radnje rezultirale ili blokiranjem legitimnog korisnika ili ometanjem prikupljanja podataka. Stoga honeypot ne bi trebao biti povezan sa stvarnom funkcionalnošću, ali bi se trebao moći pronaći uz određeni osnovni napor.

Honeypot također može biti uređaj postavljen na mreži. U ovom je scenariju odvojen od svih legitimnih funkcija. Opet, bilo bi dizajnirano da nekome tko skenira mrežu izgleda kao da ima zanimljive ili osjetljive podatke, ali niti jedan legitimni korisnik ne bi s tim trebao susresti. Stoga je svatko tko komunicira s honeypotom vrijedan pregleda.