Kas yra Honeypot?

Jei prijungiate kompiuterį prie atvirojo interneto be jokio gaunamo srauto filtro, jis paprastai pradeda gauti atakos srautą per kelias minutes. Toks yra nuolat internete vykstančių automatinių atakų ir nuskaitymo mastas. Didžioji dalis tokio srauto yra visiškai automatizuota. Tai tik robotai, kurie nuskaito internetą ir galbūt bando atsitiktinius krovinius, kad pamatytų, ar jie daro ką nors įdomaus.

Žinoma, jei naudojate žiniatinklio serverį ar bet kokios kitos formos serverį, jums reikia, kad serveris būtų prijungtas prie interneto. Priklausomai nuo naudojimo atvejo, galbūt galėsite naudoti kažką panašaus į VPN, kad suteiktumėte prieigą tik įgaliotiems vartotojams. Tačiau jei norite, kad jūsų serveris būtų viešai prieinamas, turite būti prisijungę prie interneto. Taigi jūsų serveris susidurs su atakomis.

Gali atrodyti, kad iš esmės turite tai priimti kaip kurso lygiavertį. Laimei, yra keletas dalykų, kuriuos galite padaryti.

Įdiekite medaus puodą

Medaus puodas yra įrankis, skirtas užpuolikams privilioti. Tai žada sultingą informaciją arba pažeidžiamumą, dėl kurio gali būti gauta informacija, bet tai tik spąstai. Medaus vazonas yra specialiai sukurtas užpuolikui privilioti. Priklausomai nuo to, ką norite daryti, yra keletas skirtingų veislių.

Didelės sąveikos medaus puodas yra pažangus. Tai labai sudėtinga ir siūlo daug dalykų, kad užpuolikas būtų užimtas. Jie dažniausiai naudojami saugumo tyrimams. Jie leidžia savininkui pamatyti, kaip užpuolikas veikia realiu laiku. Tai gali būti naudojama informuojant esamą ar net būsimą gynybą. Didelės sąveikos medaus puodo tikslas yra kuo ilgiau išlaikyti puolėją užimtą ir neatiduoti žaidimo. Tuo tikslu juos sudėtinga nustatyti ir prižiūrėti.

Mažai sąveikaujantis medaus puodas iš esmės yra vietos ir pamiršimo spąstai. Paprastai jie yra paprasti ir nėra skirti naudoti giliems tyrimams ar analizei. Vietoj to, mažos sąveikos medaus puodukai yra skirti aptikti, kad kažkas bando daryti tai, ko neturėtų, ir tiesiog visiškai juos užblokuoti. Tokį medaus puodą lengva nustatyti ir įdiegti, tačiau, jei jis nėra kruopščiai suplanuotas, gali būti daugiau klaidingų teigiamų rezultatų.

Mažos sąveikos medaus puodo pavyzdys

Jei naudojate svetainę, dalis funkcijų, kurias galbūt žinote, yra robots.txt. Robots.txt yra tekstinis failas, kurį galite įdėti į pagrindinį žiniatinklio serverio katalogą. Standartiškai robotai, ypač paieškos sistemų tikrintuvai, žino patikrinti šį failą. Galite sukonfigūruoti jį naudodami puslapių arba katalogų, kuriuos norite arba nenorite, kad robotas tikrintų ir indeksuotų, sąrašą. Teisėti robotai, pvz., paieškos variklio tikrinimo programa, laikysis šiame faile pateiktų nurodymų.

Formatas paprastai yra toks: „galite žiūrėti šiuos puslapius, bet nieko daugiau nenuskaityti“. Tačiau kartais svetainėse yra daug puslapių, kuriuos galima leisti, ir tik keli jie nori neleisti tikrinti. Taigi jie pasirenka spartųjį klavišą ir sako „nežiūrėk į tai, bet tu gali nuskaityti bet ką kitą“. Dauguma įsilaužėlių ir robotų matys „nežiūrėk čia“, o tada elgsis visiškai priešingai. Taigi, užuot neleidę „Google“ tikrinti jūsų administratoriaus prisijungimo puslapio, nukreipėte užpuolikus tiesiai į jį.

Turint omenyje, kad toks elgesys yra žinomas, juo gana lengva manipuliuoti. Jei nustatysite medaus puodą jautriu pavadinimu ir sukonfigūruosite failą robots.txt taip, kad būtų pasakyta „nežiūrėk čia“, daugelis robotų ir įsilaužėlių padarys būtent tai. Tada gana paprasta užregistruoti visus IP adresus, kurie bet kokiu būdu sąveikauja su Honeypot ir tiesiog juos visus užblokuoti.

Venkite klaidingų teigiamų rezultatų

Daugeliu atvejų toks paslėptas medaus puodas gali automatiškai blokuoti srautą iš IP adresų, kurie sukeltų tolesnes atakas. Vis dėlto reikia pasirūpinti, kad teisėti svetainės naudotojai niekada nepatektų į medaus puodą. Tokia automatizuota sistema kaip ši negali atskirti užpuoliko ir teisėto vartotojo. Todėl turite įsitikinti, kad jokie teisėti ištekliai nesusiję su medaus puodu.

Į failą robots.txt galite įtraukti komentarą, nurodantį, kad medaus puodo įrašas yra medaus puodo įrašas. Tai turėtų atgrasyti teisėtus vartotojus nuo bandymo patenkinti savo smalsumą. Tai taip pat atgrasytų įsilaužėlius, kurie rankiniu būdu tikrina jūsų svetainę ir gali juos sunerimti. Kai kurie robotai taip pat gali turėti sistemas, kurios bando aptikti tokius dalykus.

Kitas būdas sumažinti klaidingų teigiamų rezultatų skaičių būtų nuodugnesnė sąveika su medaus puodu. Užuot blokavę visus, kurie net įkelia „Honeypot“ puslapį, galite užblokuoti bet kurį asmenį, kuris vėliau su juo sąveikauja. Vėlgi, idėja yra padaryti tai, kad jis atrodytų teisėtas, o iš tikrųjų niekur neveda. Gera idėja, kad jūsų Honeypot būtų prisijungimo forma adresu /admin, jei ji iš tikrųjų negalės jūsų prisijungti prie nieko. Tada prisijungus prie to, kas atrodo kaip teisėta sistema, bet iš tikrųjų tik giliau į medaus puodą, tai būtų labiau sąveikaujantis medaus puodas.

Išvada

Medaus puodas yra spąstai. Jis sukurtas taip, kad atrodytų, kad jis gali būti naudingas įsilaužėliui, nors iš tikrųjų yra nenaudingas. Pagrindinės sistemos tiesiog blokuoja visų, kurie sąveikauja su medaus puodu, IP adresą. Pažangesni metodai gali būti naudojami siekiant paskatinti įsilaužėlį, galbūt ilgą laiką. Pirmoji paprastai naudojama kaip apsaugos priemonė. Pastarasis yra daugiau saugumo tyrimo įrankis, nes jis gali suteikti informacijos apie užpuoliko metodus. Reikia pasirūpinti, kad teisėti vartotojai negalėtų sąveikauti su medaus puodu. Dėl tokių veiksmų teisėtas vartotojas būtų užblokuotas arba sumenkintų duomenų rinkimas. Taigi medaus puodas neturėtų būti susijęs su tikrosiomis funkcijomis, bet turėtų būti randamas su tam tikromis pagrindinėmis pastangomis.

Medaus puodas taip pat gali būti tinkle įdiegtas įrenginys. Pagal šį scenarijų jis yra atskirtas nuo visų teisėtų funkcijų. Vėlgi, jis būtų sukurtas taip, kad jame būtų įdomių ar neskelbtinų duomenų kam nors, kas nuskaito tinklą, bet joks teisėtas vartotojas niekada neturėtų su tuo susidurti. Taigi kiekvienas, kuris bendrauja su medaus puodu, yra vertas peržiūros.