Шта је Хонеипот?

Ако повежете рачунар на отворени Интернет без икаквог филтера улазног саобраћаја, он ће обично почети да прима напад напада за неколико минута. Такве су размере аутоматизованих напада и скенирања који се стално дешавају на Интернету. Огромна већина ове врсте саобраћаја је потпуно аутоматизована. То су само ботови који скенирају Интернет и можда покушавају неке насумичне податке да виде да ли раде нешто занимљиво.

Наравно, ако користите веб сервер или било који други облик сервера, потребно је да ваш сервер буде повезан на Интернет. У зависности од вашег случаја коришћења, можда ћете моћи да користите нешто попут ВПН-а да бисте дозволили приступ само овлашћеним корисницима. Међутим, ако желите да ваш сервер буде јавно доступан, морате бити повезани на Интернет. Као такав, ваш сервер ће се суочити са нападима.

Могло би изгледати као да у основи морате да прихватите ово као део курса. Срећом, постоје неке ствари које можете учинити.

Имплементирајте хонеипот

Хонеипот је алат који је дизајниран да намами нападаче. Обећава сочне информације или рањивости које би могле довести до информација, али је само замка. Хонеипот је намерно постављен да привуче нападача. Постоји неколико различитих варијанти у зависности од тога шта желите да урадите.

Хонеипот са високом интеракцијом је напредан. Веома је сложен и нуди много ствари да заокупи нападача. Они се углавном користе за безбедносна истраживања. Они омогућавају власнику да види како нападач делује у реалном времену. Ово се може користити за информисање садашње или чак будуће одбране. Циљ хонеипот-а са високом интеракцијом је да задржи нападача заузетим што је дуже могуће и да не одустане од игре. У том циљу, они су сложени за постављање и одржавање.

Хонеипот са мало интеракције је у основи замка за место и заборави. Обично су једноставни и нису дизајнирани да се користе за дубоко истраживање или анализу. Уместо тога, хонеипотс са малом интеракцијом имају за циљ да открију да неко покушава да уради нешто што не би требало и да их једноставно потпуно блокирају. Ова врста хонеипот-а је једноставна за постављање и имплементацију, али може бити склонија лажним позитивним резултатима ако није пажљиво планирана.

Пример меденице са малом интеракцијом

Ако покрећете веб локацију, део функционалности који вам је можда познат је роботс.ткт. Роботс.ткт је текстуална датотека коју можете поставити у основни директоријум веб сервера. Као стандард, ботови, посебно претраживачи за претраживаче, знају да провере ову датотеку. Можете га конфигурисати са листом страница или директоријума које желите или не желите да бот пописује и индексира. Легитимни ботови, као што је претраживач претраживача, поштоваће упутства у овој датотеци.

Формат је типично „можете да погледате ове странице, али немојте да индексирате ништа друго“. Међутим, понекад веб локације имају пуно страница које треба дозволити и само неколико желе да спрече индексирање. Тако користе пречицу и кажу „не гледај ово, али можеш да пузиш било шта друго“. Већина хакера и ботова ће видети „не гледајте овде“ и онда ће учинити управо супротно. Дакле, уместо да спречите да Гоогле попише вашу администраторску страницу за пријављивање, ви сте усмерили нападаче право на њу.

С обзиром да је ово познато понашање, прилично је лако манипулисати. Ако подесите хонеипот са именом које изгледа осетљиво, а затим конфигуришете датотеку роботс.ткт да каже „не гледајте овде“, многи ботови и хакери ће учинити управо то. Тада је прилично једноставно евидентирати све ИП адресе које на било који начин комуницирају са хонеипотом и једноставно их све блокирати.

Избегавање лажних позитивних резултата

У великом броју случајева, ова врста скривеног хонеипота може аутоматски блокирати саобраћај са ИП адреса које би изазвале даље нападе. Ипак, мора се водити рачуна да легитимни корисници сајта никада не оду у меду. Овакав аутоматизовани систем не може да направи разлику између нападача и легитимног корисника. Због тога морате да се уверите да се никакви легитимни ресурси уопште не повезују са медом.

Можете да укључите коментар у датотеку роботс.ткт који указује да је унос хонеипот хонеипот. Ово би требало да одврати легитимне кориснике да покушају да задовоље своју радозналост. То би такође одвратило хакере који ручно истражују вашу веб локацију и потенцијално их разбеснели. Неки ботови такође могу имати системе који покушавају да открију овакве ствари.

Други метод за смањење броја лажних позитивних резултата био би да се захтева дубља интеракција са медом. Уместо да блокирате свакога ко чак и учита хонеипот страницу, можете блокирати свакога ко са њом даље ступа у интеракцију. Опет, идеја је да то изгледа легитимно, док заправо не води никуда. Да ваш хонеипот буде формулар за пријаву на /админ је добра идеја, све док вас заправо не може пријавити ни на шта. Када би се затим пријавио на оно што изгледа као легитиман систем, али је у ствари само дубље у хонеипот, то би више представљало меденицу са високом интеракцијом.

Закључак

Хонеипот је замка. Дизајниран је тако да изгледа као да би могао бити од користи хакеру, док је заправо бескорисан. Основни системи само блокирају ИП адресу свакога ко је у интеракцији са хонеипотом. Напредније технике се могу користити да би се хакер водио, потенцијално на дужи временски период. Први се обично користи као сигурносни алат. Ово друго је више алат за истраживање безбедности јер може дати увид у технике нападача. Мора се водити рачуна да се спречи да легитимни корисници ступе у интеракцију са хонеипотом. Такве радње би или довеле до блокирања легитимног корисника или би замутиле прикупљање података. Према томе, хонеипот не би требало да буде повезан са стварном функционалношћу, већ би требало да буде лоциран уз неки основни напор.

Хонеипот такође може бити уређај постављен на мрежи. У овом сценарију, то је одвојено од свих легитимних функција. Опет, било би дизајнирано да изгледа као да има занимљиве или осетљиве податке за некога ко скенира мрежу, али ниједан легитимни корисник никада не би требало да се сусреће са тим. Дакле, свако ко ступи у интеракцију са медом вредан је прегледа.