Honeypots i Honeynets

Part dels treballs dels especialistes en TI de seguretat consisteix a aprendre sobre els tipus d’atacs o tècniques utilitzades pels pirates informàtics mitjançant la recopilació d’informació per a una anàlisi posterior per avaluar les característiques dels intents d’atac. De vegades, aquesta recopilació d’informació es fa mitjançant esquers o enganys dissenyats per registrar l’activitat sospitosa dels possibles atacants que actuen sense saber que s’està supervisant la seva activitat. En seguretat informàtica, es denomina aquests esquers o enganys Honeypots .

Què són les olles de mel i les xarxes de mel?

A pot de mel pot ser una aplicació que simuli un objectiu que realment registri l’activitat dels atacants. Es denominen diversos Honeypots que simulen diversos serveis, dispositius i aplicacions Xarxes de mel .

Honeypots i Honeynets no emmagatzemen informació sensible, sinó que emmagatzemen informació atractiva falsa per als atacants perquè els interessi els Honeypots; Honeynets, en altres paraules, parlen de trampes per a pirates informàtics dissenyades per aprendre les seves tècniques d’atac.

Els Honeypots ens ofereixen dos avantatges: primer, ens ajuden a aprendre atacs per protegir correctament el nostre dispositiu de producció o xarxa. En segon lloc, mantenint els punts de mel que simulen vulnerabilitats al costat de dispositius o xarxes de producció, mantenim l’atenció dels pirates informàtics fora dels dispositius protegits. Trobaran més atractius els melots simulant forats de seguretat que poden explotar.

Tipus de pots de mel:

Producció Honeypots:
Aquest tipus de honeypot s’instal·la en una xarxa de producció per recollir informació sobre les tècniques que s’utilitzen per atacar sistemes de la infraestructura. Aquest tipus de mel pot oferir una àmplia varietat de possibilitats, des de la ubicació del mel dins d’un segment de xarxa específic per tal de detectar intents interns per part d’usuaris legítims de la xarxa d’accedir a recursos prohibits o prohibits a un clon d’un lloc web o servei, idèntic al original com a esquer. El problema més important d’aquest tipus de test és permetre el trànsit maliciós entre els legítims.

Paquets de desenvolupament:
Aquest tipus de mel està dissenyat per recopilar més informació sobre les tendències de pirateria informàtica, els objectius desitjats pels atacants i els orígens dels atacs. Aquesta informació s’analitzarà posteriorment per al procés de presa de decisions sobre la implementació de mesures de seguretat.
El principal avantatge d’aquest tipus de tests és, contràriament a la producció; el desenvolupament de pots de mel es troba dins d'una xarxa independent dedicada a la investigació; aquest sistema vulnerable està separat de l'entorn de producció evitant un atac des del propi test. El seu principal desavantatge és el nombre de recursos necessaris per implementar-lo.

Hi ha 3 subcategories o tipus de classificació diferents de pots de mel definits pel nivell d’interacció que té amb els atacants.

Honeypots de baixa interacció:

Un Honeypot emula un servei, una aplicació o un sistema vulnerables. Això és molt fàcil d’instal·lar, però es limita a l’hora de recopilar informació; Alguns exemples d'aquest tipus de testos són:

• Trampa de mel : està dissenyat per observar atacs contra serveis de xarxa; al contrari que altres gots de mel, que se centren en la captura de programari maliciós, aquest tipus de gots de mel està dissenyat per capturar explotacions.
• Nephentes : emula vulnerabilitats conegudes per tal de recollir informació sobre possibles atacs; està dissenyat per emular les vulnerabilitats que els cucs exploten per propagar-se, i després Nephentes captura el seu codi per a una anàlisi posterior.
• HoneyC : identifica servidors web maliciosos dins de la xarxa emulant diferents clients i recopilant respostes del servidor en respondre a les sol·licituds.
• HoneyD : és un dimoni que crea amfitrions virtuals dins d'una xarxa que es pot configurar per executar serveis arbitraris simulant l'execució en diferents sistemes operatius.
• Glastopf : emula milers de vulnerabilitats dissenyades per recopilar informació d'atacs contra aplicacions web. És fàcil de configurar i un cop indexat pels motors de cerca; es converteix en un objectiu atractiu per als pirates informàtics.

Honeypots d'interacció mitjana:

En aquest escenari, els Honeypots no estan dissenyats només per recopilar informació; és una aplicació dissenyada per interactuar amb atacants mentre es registra exhaustivament l'activitat d'interacció; simula un objectiu capaç d'oferir totes les respostes que l'atacant pugui esperar; algunes taques d'aquest tipus són:

• Cowrie: un pot ssh i telnet que registra atacs de força bruta i interacció de pirates informàtics. Emula un sistema operatiu Unix i funciona com a servidor intermediari per registrar l'activitat de l'atacant. Després d'aquesta secció, podeu trobar instruccions per a la implementació de Cowrie.
• Sticky_elephant : és un pot de PostgreSQL.
• Hornet : Una versió millorada de honeypot-wasp amb sol·licitud de credencials falses dissenyada per a llocs web amb pàgina d'inici de sessió d'accés públic per a administradors com / wp-admin per a llocs de WordPress.

Honeypots d'alta interacció:

En aquest escenari, els Honeypots no estan dissenyats només per recopilar informació; és una aplicació dissenyada per interactuar amb atacants mentre es registra exhaustivament l'activitat d'interacció; simula un objectiu capaç d'oferir totes les respostes que l'atacant pugui esperar; algunes taques d'aquest tipus són:

• Ferides : funciona com un HIDS (sistema de detecció d'intrusions basat en host), que permet captar informació sobre l'activitat del sistema. Aquesta és una eina client-servidor capaç de desplegar honeypots a Linux, Unix i Windows que capturen i envien la informació recollida al servidor.
• HoneyBow : es pot integrar amb melodies de baixa interacció per augmentar la recopilació d'informació.
• HI-HAT (joc d’eines d’anàlisi de Honeypot d’alta interacció) : converteix els fitxers PHP en llocs d'interès d'alta interacció amb una interfície web disponible per supervisar la informació.
• Capture-HPC : similar a HoneyC, identifica els servidors maliciosos mitjançant la interacció amb els clients mitjançant una màquina virtual dedicada i el registre de canvis no autoritzats.

A continuació podeu trobar un exemple pràctic de pot d'interacció mitjà.

Desplegament de Cowrie per recopilar dades sobre atacs SSH:

Com es va dir anteriorment, Cowrie és un pot de mel que s’utilitza per registrar informació sobre atacs dirigits al servei ssh. Cowrie simula un servidor ssh vulnerable que permet a qualsevol atacant accedir a un terminal fals, simulant un atac reeixit mentre es registra l’activitat de l’atacant.

Perquè Cowrie simuli un servidor vulnerable fals, l’hem d’assignar al port 22. Per tant, hem de canviar el nostre port ssh real editant el fitxer. / etc / ssh / sshd_config com es mostra a continuació.

Editeu la línia i canvieu-la per un port entre 49152 i 65535.

Reinicieu i comproveu que el servei funciona correctament:

Instal·leu tot el programari necessari per als passos següents, a les distribucions Linux basades en Debian:

Afegiu un usuari sense privilegis anomenat cowrie executant l'ordre següent.

A les distribucions Linux basades en Debian, instal·leu authbind executant l'ordre següent:

Executeu l'ordre següent.

Canvieu de propietat executant l'ordre següent.

Canviar els permisos:

Inicieu la sessió com a covri

Aneu al directori inicial de cowrie.

Descarregueu-vos el glaçó cowrie amb git, tal com es mostra a continuació.

Desplaceu-vos al directori cowrie.

Creeu un fitxer de configuració nou basat en el fitxer per defecte copiant-lo del fitxer /etc/cowrie.cfg.dist a cowrie.cfg executant l'ordre que es mostra a continuació al directori de cowrie /

Editeu el fitxer creat:

Cerqueu la línia següent.

Editeu la línia substituint el port 2222 per 22, tal com es mostra a continuació.

Desar i sortir de nano.

Executeu l'ordre següent per crear un entorn python:

Activeu un entorn virtual.

Actualitzeu pip executant l'ordre següent.

Instal·leu tots els requisits executant l'ordre següent.

Executeu cowrie amb l'ordre següent:

Comproveu que el mel pot escoltar corrent.

Ara els intents d’inici de sessió al port 22 es registraran al fitxer var / log / cowrie / cowrie.log del directori de cowrie.

Com s'ha dit anteriorment, podeu utilitzar Honeypot per crear un intèrpret d'ordres vulnerable i fals. Els cowries inclouen un fitxer en el qual podeu definir els usuaris autoritzats a accedir a l'intèrpret d'ordres. Aquesta és una llista de noms d’usuari i contrasenyes a través dels quals un pirata informàtic pot accedir a l’intèrpret d’ordres fals.

El format de la llista es mostra a la imatge següent:

Podeu canviar el nom de la llista predeterminada de cowrie a efectes de prova executant l'ordre següent des del directori de cowries. En fer-ho, els usuaris podran iniciar sessió com a usuari root mitjançant la contrasenya arrel o bé 123456 .

Atureu i reinicieu Cowrie executant les ordres següents:

Ara proveu d 'accedir mitjançant ssh mitjançant un nom d' usuari i una contrasenya inclosos a userdb.txt llista.

Com podeu veure, accedireu a un intèrpret d’ordres fals. I tota l'activitat realitzada en aquest intèrpret d'ordres es pot supervisar des del registre de cau, com es mostra a continuació.

Com podeu veure, Cowrie es va implementar amb èxit. Podeu obtenir més informació sobre Cowrie a https://github.com/cowrie/ .

Conclusió:

La implementació de Honeypots no és una mesura de seguretat habitual, però, com podeu veure, és una manera fantàstica d’endurir la seguretat de la xarxa. La implementació de Honeypots és una part important de la recopilació de dades amb l'objectiu de millorar la seguretat, convertint els pirates informàtics en col·laboradors revelant la seva activitat, tècniques, credencials i objectius. També és una forma formidable de proporcionar informació falsa als pirates informàtics.

Si esteu interessats en Honeypots, probablement IDS (Intrusion Detection Systems) us pot resultar interessant; a LinuxHint, tenim un parell de tutorials interessants sobre ells:

• Configureu Snort IDS i creeu regles
• Introducció a OSSEC (Intrusion Detection System)

Espero que us hagi estat útil aquest article sobre Honeypots i Honeynets. Seguiu seguint Linux Hint per obtenir més consells i tutorials sobre Linux.