Hvað er Honeypot?

Ef þú tengir tölvu við opna internetið án nokkurrar síu á innleið, byrjar hún venjulega að fá árásarumferð innan nokkurra mínútna. Svona er umfang sjálfvirkra árása og skönnunar sem eru stöðugt að gerast á netinu. Mikill meirihluti þessarar tegundar umferðar er algjörlega sjálfvirkur. Þetta eru bara vélmenni sem skanna netið og reyna kannski eitthvað af handahófi til að sjá hvort þeir gera eitthvað áhugavert.

Auðvitað, ef þú rekur vefþjón eða annars konar netþjón þarftu að netþjóninn þinn sé tengdur við internetið. Það fer eftir notkunartilviki þínu að þú gætir notað eitthvað eins og VPN til að leyfa aðeins viðurkenndum notendum aðgang. Ef þú vilt að þjónninn þinn sé aðgengilegur almenningi þarftu hins vegar að vera tengdur við internetið. Sem slíkur mun þjónninn þinn verða fyrir árásum.

Það gæti virst eins og þú þurfir bara að samþykkja þetta sem par fyrir námskeiðið. Sem betur fer eru nokkrir hlutir sem þú getur gert.

Settu fram hunangspott

Honeypot er tæki sem er hannað til að lokka inn árásarmenn. Það lofar safaríkum upplýsingum eða veikleikum sem gætu leitt til upplýsinga en er bara gildra. Hunangspottur er vísvitandi settur upp til að beita árásarmanni. Það eru nokkrar mismunandi afbrigði eftir því hvað þú vilt gera.

Honeypot með mikilli samvirkni er háþróaður. Það er mjög flókið og býður upp á fullt af hlutum til að halda árásarmanninum uppteknum. Þetta er aðallega notað til öryggisrannsókna. Þeir leyfa eigandanum að sjá hvernig árásarmaður bregst við í rauntíma. Þetta er hægt að nota til að upplýsa núverandi eða jafnvel framtíðar varnir. Markmiðið með hunangspotti með miklum samskiptum er að halda árásarmanninum uppteknum eins lengi og mögulegt er og gefa ekki leikinn frá sér. Í því skyni eru þau flókin í uppsetningu og viðhaldi.

Hunangspottur með litlum samskiptum er í grundvallaratriðum stað-og-gleyma gildra. Þau eru venjulega einföld og ekki hönnuð til að nota fyrir djúpar rannsóknir eða greiningar. Í staðinn er hunangspottum með litlum samskiptum ætlað að greina að einhver sé að reyna að gera eitthvað sem hann ætti ekki að gera og loka þá bara alveg. Auðvelt er að setja upp og útfæra þessa tegund af hunangspotti en getur verið líklegri til að fá rangar jákvæðar ef ekki er vandlega skipulagt.

Dæmi um hunangspott með litlum samskiptum

Ef þú rekur vefsíðu er virkni sem þú gætir kannast við robots.txt. Robots.txt er textaskrá sem þú getur sett í rótarmöppu vefþjóns. Sem staðalbúnaður vita vélmenni, sérstaklega vefskriðarar fyrir leitarvélar, að athuga þessa skrá. Þú getur stillt það með lista yfir síður eða möppur sem þú gerir eða vilt ekki að láni skríði og skrái. Lögmætir vélmenni, eins og leitarvélarskrið, virða leiðbeiningar í þessari skrá.

Snið er venjulega í samræmi við "þú getur skoðað þessar síður, en ekki skríðið neitt annað". Stundum hafa vefsíður þó fullt af síðum til að leyfa og aðeins fáar sem þær vilja koma í veg fyrir skrið. Þannig taka þeir flýtileið og segja "ekki horfa á þetta, en þú getur skriðað hvað sem er annað". Flestir tölvuþrjótar og vélmenni munu sjá „ekki líta hingað“ og gera síðan nákvæmlega hið gagnstæða. Þannig að í stað þess að koma í veg fyrir að Google skriði innskráningarsíðu stjórnanda þinnar hefurðu bent árásarmönnum beint á hana.

Í ljósi þess að þetta er þekkt hegðun þó, það er frekar auðvelt að vinna með hana. Ef þú setur upp hunangspott með viðkvæmu nafni og stillir síðan robots.txt skrána þína þannig að hún segi „ekki líta hingað“ munu margir vélmenni og tölvuþrjótar gera nákvæmlega það. Það er þá frekar einfalt að skrá allar IP tölur sem hafa samskipti við honeypot á einhvern hátt og loka þeim bara öllum.

Forðastu rangar jákvæðar

Í mörgum tilfellum getur þessi tegund af falnum hunangspotti sjálfkrafa lokað fyrir umferð frá IP-tölum sem myndu gefa út frekari árásir. Gæta þarf þess að lögmætir notendur síðunnar fari aldrei í hunangspottinn. Sjálfvirkt kerfi eins og þetta getur ekki greint muninn á árásarmanni og lögmætum notanda. Sem slíkur þarftu að ganga úr skugga um að engin lögmæt úrræði tengist hunangspottinum yfirleitt.

Þú gætir sett athugasemd í robots.txt skrána sem gefur til kynna að honeypot færslan sé honeypot. Þetta ætti að fæla lögmæta notendur frá því að reyna að seðja forvitni sína. Það myndi líka draga úr tölvuþrjótum sem eru að rannsaka síðuna þína handvirkt og hugsanlega pirra þá. Sumir vélmenni gætu líka verið með kerfi til að reyna að greina svona hluti.

Önnur aðferð til að fækka fölskum jákvæðum væri að krefjast ítarlegri samskipta við hunangspottinn. Í stað þess að loka á alla sem jafnvel hlaða honeypot-síðunni, gætirðu lokað á hvern sem er sem hefur síðan samskipti við hana frekar. Aftur, hugmyndin er að láta það líta lögmætt, á meðan það leiðir í raun hvergi. Að láta honeypot þinn vera innskráningareyðublað á /admin er góð hugmynd, bara svo framarlega sem það getur í raun ekki skráð þig inn á neitt. Að hafa það síðan að skrá sig inn í það sem lítur út eins og lögmætt kerfi en er í raun bara dýpra í hunangspottinum væri meira hunangspottur með miklum samskiptum.

Niðurstaða

Hunangspottur er gildra. Það er hannað til að líta út eins og það gæti verið gagnlegt fyrir tölvuþrjóta, á meðan það er í raun gagnslaust. Grunnkerfi loka bara fyrir IP tölu allra sem hafa samskipti við hunangspottinn. Hægt er að nota fullkomnari tækni til að leiða tölvuþrjótann áfram, hugsanlega í langan tíma. Hið fyrra er venjulega notað sem öryggistæki. Hið síðarnefnda er meira öryggisrannsóknartæki þar sem það getur gefið innsýn í tækni árásarmannsins. Gæta þarf þess að koma í veg fyrir að lögmætir notendur hafi samskipti við hunangspottinn. Slíkar aðgerðir myndu annaðhvort leiða til þess að lögmætur notandi yrði lokaður eða gagnasöfnunin drullast til. Hunangspotturinn ætti því ekki að vera tengdur raunverulegri virkni heldur ætti að vera hægt að staðsetja hann með nokkurri undirstöðu fyrirhöfn.

Hunangspottur getur líka verið tæki sem er notað á neti. Í þessari atburðarás er það aðskilið frá allri lögmætri virkni. Aftur, það væri hannað til að líta út eins og það hafi áhugaverð eða viðkvæm gögn fyrir einhvern sem skannar netið, en enginn lögmætur notandi ætti nokkurn tíma að lenda í því. Þannig að allir sem hafa samskipti við hunangspottinn eru verðugir endurskoðunar.