Kas ir Honeypot?

Ja pievienojat datoru atvērtam internetam bez ienākošās trafika filtra, tas parasti sāks saņemt uzbrukuma trafiku dažu minūšu laikā. Tāds ir automātisko uzbrukumu un skenēšanas mērogs, kas pastāvīgi notiek internetā. Lielākā daļa šāda veida trafika ir pilnībā automatizēta. Boti vienkārši skenē internetu un varbūt izmēģina dažas nejaušas slodzes, lai redzētu, vai tās nedara kaut ko interesantu.

Protams, ja izmantojat tīmekļa serveri vai jebkura cita veida serveri, serverim ir jābūt savienotam ar internetu. Atkarībā no lietošanas gadījuma, iespējams, varēsit izmantot kaut ko līdzīgu VPN, lai atļautu piekļuvi tikai pilnvarotiem lietotājiem. Tomēr, ja vēlaties, lai jūsu serveris būtu publiski pieejams, jums ir jābūt savienotam ar internetu. Tādējādi jūsu serveris saskarsies ar uzbrukumiem.

Varētu šķist, ka jums tas ir vienkārši jāpieņem kā kursa vērtība. Par laimi, ir dažas lietas, ko varat darīt.

Ieviesiet medus podu

Meduspods ir rīks, kas paredzēts uzbrucēju pievilināšanai. Tas sola sulīgu informāciju vai ievainojamības, kas var novest pie informācijas, bet ir tikai slazds. Meduspods ir apzināti izveidots, lai ēstu uzbrucēju. Atkarībā no tā, ko vēlaties darīt, ir dažas dažādas šķirnes.

Augstas mijiedarbības meduspots ir uzlabots. Tas ir ļoti sarežģīts un piedāvā daudzas lietas, lai uzbrucējs būtu aizņemts. Tos galvenokārt izmanto drošības pētījumiem. Tie ļauj īpašniekam redzēt, kā uzbrucējs darbojas reāllaikā. To var izmantot, lai informētu par pašreizējo vai pat turpmāko aizsardzību. Augstas mijiedarbības meduspota mērķis ir noturēt uzbrucēju pēc iespējas ilgāk un neatdot spēli. Šim nolūkam to uzstādīšana un uzturēšana ir sarežģīta.

Zemas mijiedarbības meduspodiņš būtībā ir vieta un aizmirst slazds. Tie parasti ir vienkārši un nav paredzēti izmantošanai padziļinātai izpētei vai analīzei. Tā vietā zemas mijiedarbības meduspodiņi ir paredzēti, lai noteiktu, ka kāds mēģina darīt kaut ko tādu, ko nevajadzētu darīt, un pēc tam tos pilnībā bloķētu. Šāda veida meduspodu ir viegli iestatīt un ieviest, taču, ja tas nav rūpīgi plānots, tas var būt vairāk pakļauts viltus pozitīvajiem rezultātiem.

Zemas mijiedarbības meduspoda piemērs

Ja izmantojat vietni, funkcionalitāte, kas jums varētu būt pazīstama, ir robots.txt. Robots.txt ir teksta fails, ko varat ievietot tīmekļa servera saknes direktorijā. Parasti robotprogrammatūra, īpaši meklētājprogrammu rāpuļprogrammas, prot pārbaudīt šo failu. Varat to konfigurēt, izmantojot to lapu vai direktoriju sarakstu, kuras vēlaties vai nevēlaties, lai robots pārmeklētu un indeksētu. Likumīgi robotprogrammatūra, piemēram, meklētājprogrammas rāpuļprogramma, ievēros šajā failā sniegtos norādījumus.

Formāts parasti ir šāds: “jūs varat apskatīt šīs lapas, bet nepārmeklēt neko citu”. Tomēr dažreiz vietnēs ir atļauts daudz lapu, un tikai dažas tās vēlas novērst pārmeklēšanu. Tādējādi viņi izmanto īsceļu un saka: “Neskatieties uz šo, bet jūs varat pārmeklēt jebko citu”. Lielākā daļa hakeru un robotprogrammatūru redzēs “neskaties šeit” un pēc tam rīkojas tieši pretēji. Tā vietā, lai neļautu Google pārmeklēt jūsu administratora pieteikšanās lapu, jūs esat norādījis uzbrucējus tieši uz to.

Tā kā šī ir zināma uzvedība, ar to ir diezgan viegli manipulēt. Ja iestatāt meduspodu ar sensitīvu nosaukumu un pēc tam konfigurējat failu robots.txt, lai teiktu “neskaties šeit”, daudzi roboti un hakeri darīs tieši to. Pēc tam ir pavisam vienkārši reģistrēt visas IP adreses, kas jebkādā veidā mijiedarbojas ar Houspot, un vienkārši bloķēt tās visas.

Izvairīšanās no viltus pozitīviem rezultātiem

Daudzos gadījumos šāda veida slēptā meduspota var automātiski bloķēt trafiku no IP adresēm, kas izraisītu turpmākus uzbrukumus. Tomēr ir jārūpējas, lai vietnes likumīgie lietotāji nekad neapmeklētu meduspodu. Tāda automatizēta sistēma kā šī nevar atšķirt uzbrucēju un likumīgu lietotāju. Tāpēc jums ir jāpārliecinās, ka uz meduspodu vispār nav saistīti likumīgi resursi.

Failā robots.txt varat iekļaut komentāru, norādot, ka meduspoda ieraksts ir meduspoda. Tam vajadzētu atturēt likumīgos lietotājus no mēģinājumiem apmierināt savu zinātkāri. Tas arī atturētu hakerus, kuri manuāli pārbauda jūsu vietni un, iespējams, viņus satrauktu. Dažiem robotiem var būt arī sistēmas, lai mēģinātu atklāt šāda veida lietas.

Vēl viena metode, kā samazināt viltus pozitīvu rezultātu skaitu, būtu padziļinātāka mijiedarbība ar medus podu. Tā vietā, lai bloķētu ikvienu, kurš pat ielādē Houspot lapu, varat bloķēt ikvienu, kas pēc tam ar to mijiedarbojas. Atkal, ideja ir panākt, lai tas izskatītos likumīgi, lai gan patiesībā tas nekur neved. Ir laba ideja, ja jūsu honeypot ir pieteikšanās veidlapa vietnē /admin, ja vien tas nevar jūs faktiski pieteikt. Ja tas pēc tam pieteiktos sistēmā, kas izskatās pēc likumīgas, bet patiesībā atrodas tikai dziļāk meduspodā, tas būtu vairāk kā augstas mijiedarbības meduspoda.

Secinājums

Medus pods ir lamatas. Tas ir izstrādāts tā, lai izskatītos tā, it kā tas varētu būt noderīgs hakeram, lai gan patiesībā tas ir bezjēdzīgi. Pamatsistēmas vienkārši bloķē IP adresi ikvienam, kas mijiedarbojas ar meduspodu. Var izmantot progresīvākas metodes, lai uzlautu hakeru, iespējams, uz ilgu laiku. Pirmo parasti izmanto kā drošības rīku. Pēdējais ir vairāk drošības izpētes rīks, jo tas var sniegt ieskatu uzbrucēja paņēmienos. Jārūpējas, lai likumīgi lietotāji nevarētu mijiedarboties ar meduspodu. Šādu darbību rezultātā vai nu tiktu bloķēts likumīgais lietotājs, vai arī tiktu traucēta datu vākšana. Tādējādi meduspodiņam nevajadzētu būt saistītam ar faktisko funkcionalitāti, bet tai jābūt atrodamai, veicot dažas vienkāršas pūles.

Meduspots var būt arī tīklā izvietota ierīce. Šajā scenārijā tas ir nošķirts no visām likumīgajām funkcijām. Atkal, tas būtu izstrādāts tā, lai kādam, kurš skenē tīklu, būtu interesanti vai sensitīvi dati, taču nevienam likumīgam lietotājam nevajadzētu ar tiem saskarties. Tādējādi ikviens, kas mijiedarbojas ar meduspodu, ir pārskatīšanas vērts.