Що таке Honeypot?

Якщо ви підключите комп’ютер до відкритого Інтернету без будь-якого фільтра вхідного трафіку, він зазвичай почне отримувати трафік атаки протягом кількох хвилин. Ось такий масштаб автоматизованих атак і сканування постійно відбувається в Інтернеті. Переважна більшість цього типу трафіку повністю автоматизована. Це просто боти, які сканують Інтернет і, можливо, пробують випадкові корисні навантаження, щоб побачити, чи роблять вони щось цікаве.

Звичайно, якщо ви використовуєте веб-сервер або сервер будь-якої іншої форми, вам потрібен сервер, підключений до Інтернету. Залежно від вашого випадку використання ви можете використовувати щось на зразок VPN, щоб дозволити доступ лише авторизованим користувачам. Однак якщо ви хочете, щоб ваш сервер був загальнодоступним, вам потрібно підключитися до Інтернету. Таким чином ваш сервер зіткнеться з атаками.

Може здатися, що ви просто повинні прийняти це як норму курсу. На щастя, є деякі речі, які ви можете зробити.

Впровадити honeypot

Приманка — це інструмент, призначений для заманювання зловмисників. Він обіцяє цікаву інформацію або вразливі місця, які можуть привести до інформації, але є просто пасткою. Приманка навмисно встановлюється, щоб підманити зловмисника. Є кілька різних різновидів залежно від того, що ви хочете зробити.

Приманка з високою взаємодією вдосконалена. Він дуже складний і пропонує багато речей, щоб зайняти зловмисника. Вони в основному використовуються для дослідження безпеки. Вони дозволяють власнику в режимі реального часу бачити, як діє зловмисник. Це можна використовувати для інформування про поточний або навіть майбутній захист. Мета приманки з високою взаємодією — якомога довше тримати зловмисника зайнятим і не віддавати гру. З цією метою їх складно налаштувати та обслуговувати.

Приманка з низьким рівнем взаємодії — це, по суті, пастка, яку можна помістити й забути. Зазвичай вони прості й не призначені для глибокого дослідження чи аналізу. Натомість приманки з низьким рівнем взаємодії призначені для виявлення того, що хтось намагається зробити щось, чого не слід, а потім просто повністю заблокувати їх. Цей вид приманки легко налаштувати та впровадити, але він може бути більш схильним до помилкових спрацьовувань, якщо його не ретельно спланувати.

Приклад медівниці з низьким рівнем взаємодії

Якщо ви керуєте веб-сайтом, вам може бути знайома функція robots.txt. Robots.txt — це текстовий файл, який можна розмістити в кореневому каталозі веб-сервера. Як правило, боти, особливо сканери для пошукових систем, перевіряють цей файл. Ви можете налаштувати його за допомогою списку сторінок або каталогів, які ви хочете чи не хочете, щоб бот сканував та індексував. Законні боти, такі як сканер пошукової системи, поважатимуть інструкції в цьому файлі.

Формат, як правило, такий: «ви можете переглядати ці сторінки, але не сканувати нічого іншого». Однак іноді на веб-сайтах є багато сторінок, які можна дозволити, і лише деякі вони хочуть запобігти скануванню. Таким чином, вони обирають ярлик і кажуть «не дивіться на це, але ви можете сканувати будь-що інше». Більшість хакерів і ботів побачать «не дивись сюди», а потім зроблять навпаки. Тож замість того, щоб запобігти скануванню вашої сторінки входу адміністратора Google, ви спрямували на неї зловмисників.

Зважаючи на те, що це відома поведінка, нею досить легко маніпулювати. Якщо ви налаштуєте honeypot із делікатною назвою, а потім налаштуєте свій файл robots.txt так, щоб сказати «не дивись сюди», багато ботів і хакерів зроблять саме це. Тоді досить просто зареєструвати всі IP-адреси, які будь-яким чином взаємодіють із honeypot, і просто заблокувати їх усі.

Уникнення помилкових спрацьовувань

У багатьох випадках така прихована приманка може автоматично блокувати трафік з IP-адрес, що призведе до подальших атак. Слід подбати про те, щоб законні користувачі сайту ніколи не переходили до приманки. Така автоматизована система не може відрізнити зловмисника від законного користувача. Таким чином, ви повинні переконатися, що жодні законні ресурси не посилаються на honeypot взагалі.

Ви можете включити коментар у файл robots.txt із зазначенням того, що запис honeypot є honeypot. Це має відмовити законних користувачів від спроб задовольнити свою цікавість. Це також завадить хакерам, які вручну перевіряють ваш сайт, і потенційно розлютить їх. Деякі боти також можуть мати системи, щоб спробувати виявити подібні речі.

Іншим методом зменшення кількості помилкових спрацьовувань було б вимагати більш глибокої взаємодії з приманкою. Замість того, щоб блокувати будь-кого, хто навіть завантажує сторінку honeypot, ви можете заблокувати будь-кого, хто потім взаємодіє з нею далі. Знову ж таки, ідея полягає в тому, щоб це виглядало легітимним, хоча насправді це нікуди не веде. Якщо ваш honeypot буде формою входу в /admin, це гарна ідея, доки ви не можете увійти ні до чого. Якщо він потім увійде в те, що виглядає як законна система, але насправді знаходиться лише глибше в приманці, це буде більше схоже на приманку з високою взаємодією.

Висновок

Медовий горщик - це пастка. Він розроблений так, ніби він може бути корисним для хакера, хоча насправді він марний. Базові системи просто блокують IP-адреси будь-кого, хто взаємодіє з honeypot. Більш просунуті методи можна використовувати, щоб скерувати хакера, потенційно на тривалий період часу. Перший зазвичай використовується як засіб безпеки. Останній є скоріше інструментом дослідження безпеки, оскільки він може давати уявлення про методи зловмисника. Необхідно подбати про те, щоб законні користувачі не могли взаємодіяти з honeypot. Такі дії призведуть або до блокування законного користувача, або до порушення збору даних. Таким чином, приманка не повинна бути пов’язана з фактичною функціональністю, але її потрібно знайти, доклавши певних зусиль.

Honeypot також може бути пристроєм, розгорнутим у мережі. У цьому випадку він відокремлений від усіх законних функцій. Знову ж таки, він буде створений так, щоб хтось, хто сканує мережу, виглядав так, ніби він містить цікаві або конфіденційні дані, але жоден законний користувач ніколи не повинен з цим стикатися. Таким чином, будь-хто, хто взаємодіє з honeypot, вартий огляду.