Mi az a Honeypot?

Ha egy számítógépet bármilyen bejövő forgalomszűrő nélkül csatlakoztat a nyílt internethez, az általában perceken belül megkezdi a támadó forgalom fogadását. Ilyen mértékűek az interneten folyamatosan zajló automatizált támadások és ellenőrzések. Az ilyen jellegű forgalom túlnyomó többsége teljesen automatizált. Csak a robotok az internetet pásztázzák, és esetleg véletlenszerű rakományt próbálnak ki, hátha csinálnak valami érdekeset.

Természetesen, ha webszervert vagy bármilyen más kiszolgálót futtat, akkor a szervernek az internethez kell csatlakoznia. Használati esetétől függően előfordulhat, hogy valami olyasmit használhat, mint például a VPN, amely csak a jogosult felhasználók számára engedélyezi a hozzáférést. Ha azonban azt szeretné, hogy szervere nyilvánosan elérhető legyen, csatlakoznia kell az internethez. Ennek megfelelően a szervere támadásokkal szembesül.

Úgy tűnhet, hogy ezt alapvetően el kell fogadnod a tanfolyamon. Szerencsére van néhány dolog, amit megtehetsz.

Valósítson meg egy mézesedényt

A mézesedény olyan eszköz, amelyet arra terveztek, hogy becsábítsa a támadókat. Szaftos információkat vagy sebezhetőségeket ígér, amelyek információhoz vezethetnek, de csak csapda. A mézesedényt szándékosan úgy állítják be, hogy becsapja a támadót. Különböző fajták léteznek attól függően, hogy mit szeretnél csinálni.

A nagy interakciós mézesedény fejlett. Nagyon összetett, és rengeteg dolgot kínál a támadó elfoglaltságára. Ezeket leginkább biztonsági kutatásokra használják. Lehetővé teszik a tulajdonos számára, hogy valós időben lássa, hogyan viselkedik a támadó. Ez felhasználható a jelenlegi vagy akár a jövőbeli védekezések tájékoztatására. A nagy interakciós honeypot célja, hogy a támadót a lehető leghosszabb ideig lefoglalja, és ne adja ki a játékot. Ebből a célból bonyolult beállítani és karbantartani.

Az alacsony kölcsönhatású mézesedény alapvetően egy hely és felejt csapda. Általában egyszerűek, és nem arra tervezték, hogy mélyreható kutatásra vagy elemzésre használják őket. Ehelyett az alacsony kölcsönhatású mézesedények arra valók, hogy észleljék, hogy valaki olyasmit próbál megtenni, amit nem kellene, majd egyszerűen blokkolja őket. Ez a fajta mézesedény könnyen felállítható és kivitelezhető, de hajlamosabb lehet a hamis pozitív eredményekre, ha nem tervezik meg alaposan.

Példa egy alacsony kölcsönhatású mézesedényre

Ha webhelyet üzemeltet, akkor a robots.txt egy olyan funkció, amelyet ismerhet. A Robots.txt egy szöveges fájl, amelyet a webszerver gyökérkönyvtárába helyezhet el. Általánosságban elmondható, hogy a robotok, különösen a keresőmotorok bejárói tudják ellenőrizni ezt a fájlt. Beállíthatja azon oldalak vagy könyvtárak listájával, amelyeket szeretne vagy nem szeretne, hogy egy bot feltérképezze és indexelje. A törvényes robotok, például a keresőrobotok tiszteletben tartják az ebben a fájlban található utasításokat.

A formátum jellemzően a következő: „megnézheti ezeket az oldalakat, de mást ne térképezzen fel”. Néha azonban a webhelyek sok oldalt engedélyezhetnek, és csak néhányat akarnak megakadályozni a feltérképezésben. Így egy parancsikont választanak, és azt mondják, hogy „ne ezt nézd, de bármi mást feltérképezhetsz”. A legtöbb hacker és bot azt fogja látni, hogy „ne nézz ide”, majd pont az ellenkezőjét teszik. Tehát ahelyett, hogy megakadályozta volna, hogy a Google feltérképezze az adminisztrátori bejelentkezési oldalt, a támadókat egyenesen arra irányította.

Tekintettel arra, hogy ez ismert viselkedés, meglehetősen könnyen manipulálható. Ha érzékenynek tűnő névvel állít be egy honeypotot, majd úgy konfigurálja a robots.txt fájlt, hogy „ne ide nézzen”, sok bot és hacker pontosan ezt fogja tenni. Ezután nagyon egyszerű naplózni az összes IP-címet, amely bármilyen módon kölcsönhatásba lép a honeypottal, és egyszerűen blokkolja őket.

A hamis pozitív eredmények elkerülése

Sok esetben ez a fajta rejtett honeypot automatikusan blokkolhatja az olyan IP-címekről érkező forgalmat, amelyek további támadásokat indítanának el. Ügyelni kell arra, hogy az oldal jogos felhasználói soha ne menjenek a mézesedénybe. Egy ilyen automatizált rendszer nem tud különbséget tenni a támadó és a jogos felhasználó között. Ennek megfelelően meg kell győződnie arról, hogy semmilyen legitim forrás nem kapcsolódik a honeypothoz.

A robots.txt fájlba megjegyzést is beilleszthet, amely jelzi, hogy a honeypot bejegyzés egy honeypot. Ez eltántorítja a jogos felhasználókat attól, hogy megpróbálják kielégíteni kíváncsiságukat. Ez eltántorítaná azokat a hackereket is, akik manuálisan vizsgálják az Ön webhelyét, és esetleg felkavarják őket. Előfordulhat, hogy egyes robotok olyan rendszerekkel is rendelkeznek, amelyek megpróbálják észlelni az ilyesmit.

Egy másik módszer a hamis pozitív eredmények számának csökkentésére az lenne, ha mélyebb interakciót igényelne a mézesedény. Ahelyett, hogy blokkolna bárkit, aki akár betölti is a honeypot oldalt, letilthat bárkit, aki ezután tovább lép vele. Az ötlet ismét az, hogy legitimnek tűnjön, miközben valójában nem vezet sehova. Jó ötlet, hogy a honeypot egy bejelentkezési űrlap legyen a /admin oldalon, mindaddig, amíg valójában nem tud bejelentkezni semmibe. Ha azután bejelentkezik egy olyan rendszerbe, amely legitimnek tűnik, de valójában csak mélyebben van a mézesedényben, az inkább egy nagy interakciós mézesedény lenne.

Következtetés

A mézesedény csapda. Úgy tervezték, hogy úgy nézzen ki, mintha egy hacker számára hasznos lenne, miközben valójában haszontalan. Az alaprendszerek csak blokkolják bárki IP-címét, aki kapcsolatba lép a honeypottal. Fejlettebb technikák is használhatók a hacker előrevezetésére, potenciálisan hosszú ideig. Az előbbit jellemzően biztonsági eszközként használják. Ez utóbbi inkább egy biztonsági kutatási eszköz, mivel betekintést engedhet a támadó technikáiba. Gondoskodni kell arról, hogy a jogos felhasználók ne léphessenek kapcsolatba a honeypottal. Az ilyen intézkedések vagy a jogos felhasználó letiltását, vagy az adatgyűjtés zavarását eredményeznék. Így a honeypotnak nem szabad a tényleges funkcionalitással kapcsolódnia, hanem bizonyos alapvető erőfeszítésekkel lokalizálhatónak kell lennie.

A honeypot lehet hálózaton telepített eszköz is. Ebben a forgatókönyvben ez elkülönül minden legitim funkciótól. Ismét úgy tervezték, hogy érdekes vagy érzékeny adatokkal rendelkezzenek a hálózatot vizsgáló személyek számára, de ezekkel soha nem találkozhat jogos felhasználó. Így bárki, aki kapcsolatba kerül a mézesedénnyel, megérdemli a felülvizsgálatot.