Sådan etablerer du en honeypot på dit netværk
En Honeypot er en informationssystemressource, hvis værdi ligger i uautoriseret eller ulovlig brug af denne ressource. – Lance Spitzner
Som du måske har gættet, er den trafik, der tiltrækkes – og derefter omdirigeres eller studeres nærmere, afhængigt af formålet – af den ondsindede slags; det, der kommer fra hackere, malware og vira.
Hvorfor har du brug for en honeypot på dit netværk?
Hovedårsagen til, at du har brug for en honeypot på dit netværk, er på grund af den information, den giver; noget, som intet indtrængen detektion eller forebyggelsessystem kan give dig. Bevæbnet med informationen og de advarsler, de registrerer, vil netværksadministratorer blive opmærksomme på den slags angreb, de er målrettet mod, og have forviden til at finde ud af, hvad de skal gøre for at styrke deres forsvar.
Når det er sagt, er der to typer honningpotter:
- Firma honningpotte En honningkrukke, der er sat op i et produktionsmiljø og fungerer som værktøj til studere angreb for at bruge viden til yderligere at styrke det interne netværks sikkerhed .
- Forskning honningpotteEn honningkrukke, der bruges af forskere og med forhåbninger omstudere angrebsmetoder og andre karakteristika som motiver for angreb. Så for eksempel at bruge viden til at skabe forsvarsløsninger(antivirus, anti-malware osv.), der kan forhindre lignende angreb i fremtiden.
De datatyper, som honeypots fanger fra (eller om) angriberne kan omfatte, men er ikke begrænset til:
- Detbrugernavne,roller, ogprivilegiersom angriberne bruger
- DetIP-adresseraf netværket eller værten, der bruger til angrebet
- Hvilke data bliver dertilgået,ændretellerslettet
- Detfaktiske tastetrykangriberne skriver ud, hvilket lader administratorer se præcis, hvad de laver
Honeypots hjælper ogsåmed at holde opmærksomhed fra hackere omdirigeret fra hovednetværket,afværge et angrebs fulde kraft, indtil administratorerne er klar til at sætte den passende modaktion på plads.
Til sidst skal vi nævne fordele og ulemper ved at bruge en honeypot på dit netværk (her er en til hver side):
Fordele ved at bruge et honeypot-netværk
- Det er en billig sikkerhedsforanstaltning, der kan give information af høj værdi om dine angribere.
Ulemper ved at bruge et honeypot-netværk
- Det er ikke nemt at sætte op og konfigurere, og det ville være rent vanvid at prøve at gøre det uden en ekspert ved hånden; det kan give bagslag og udsætte det interne netværk for værre angreb.
- Det siger sig selv, at honningpotter uden tvivl erden bedste måde at fange en hacker eller et angreb, lige som det sker.
- Det giver administratorer mulighed for at gennemgå hele processen trin-for-trin og følge det hele i realtidmed hver advarsel.
Hvor kan man finde honeypot installationsvejledning
I denne artikelvi vil fokusere på den strategi, der er nødvendig for succesfuldt at implementere en honeypot på dit netværkfrem for selve trin-for-trin installationen af selve softwareløsningerne. Men for dem, dergørhar brug for at se honeypot-løsningerne blive installeret, er der nogle gode sider og videoer derude. Vores anbefalinger vil være:
- Windows– for det meste af verden er dette det valgte operativsystem (OS). Og kl Analytisk sikkerhed , kan du oprette en honeypot til dette operativsystem og inkorporere skyen (Amazon AWS) i dit netværk.
- Linux– hvis du er den praktiske, Linux-type person, der elsker at gå under taget og pille under motorhjelmen, her er et godt websted, der viser, hvordan en honeypot er installeret i det OS-miljø: Hacking blogs .
Selvfølgelig i dagens verden af Youtube tutorials, kanaler og online digitale fællesskaber som GitHub , det er virkelig ikke så svært at installere en honningpotte. Det er strategien og ledelsen, der i sandhed er den udfordrende del.
Hvad er de bedste honeypot-softwareløsninger derude?
For enhver, der søger, er der et utal af softwareløsninger at vælge imellem, når det kommer til honeypot-løsninger. Nedenfor har vi tre af de mere populære, som du kan vælge imellem:
KFSensor
En Windows-baseret honeypot, der begynder at overvåge dit netværk, så snart det er blevet sat op. Det er et fuldgyldigt værktøjssæt, der er designet til at efterligne en honeypot – blandt mange andre nyttige funktioner . Men den indtagende karakter af dette værtsbaserede indtrængningsdetektionssystem ( IDS ) er, at det er meget konfigurerbart, hvilket gør det lettere for administratorer at forsvare deres individuelle netværk.
Glastop
Det bedste ved denne honeypot er, at det er en open source softwareløsning, hvilket betyder, at det, som alle samarbejdsløsninger, er hjernearbejdet fra mange eksperter, der også vil fortsætte med at udvikle sig og forbedres over tid. Glastopf er en Python-webapplikation virtuel honeypot, der er en netværksemulator med lav interaktion. Et interessant træk ved dette værktøj er, at det endda kan efterligne applikationer, der er sårbare over for SQL-injektionsangreb .
Ghost USB
Det, der får denne honeypot til at skille sig ud, er, at den specifikt fokuserer sin opmærksomhed på malware, der spredes via USB-lagerenheder. Dette er en stor ting i betragtning af, at USB-drev, der bruges af medarbejdere og autoriserede brugere, fortsat forårsager alvorlige bekymringer .
Når det er installeret, emulerer Ghost USB en USB-lagerenhed og udsender sig selv over det interne netværk, med det formål at narre enhver malware – der forplanter sig ved hjælp af lignende enheder – til at inficere den. Når først det er opdaget og i al hemmelighed observeret, bliver det nemt for administratorer at tage de nødvendige skridt og forholdsregler.
Selvom disse tre honeypot-løsninger dækker de fleste netværkssikkerhedsbehov, kan du finde en mere udtømmende liste over løsninger til forskellige netværks- og cybersikkerhedsbehov her .
Honeypot strategier
Der er to typer honeypot-implementeringsstrategier, du kan anvende:
Lav-interaktionsmetode
I denne metode vil du bruge falske data, mapper og databaser som lokkemad med den hensigt at overvåge angreb for at se, hvad der ville ske i et virkeligt databrudsscenarie . Selvfølgelig ville de have adgang til andre perifere informationssæt som IP-adresser, brugernavne og adgangskoder - som administratorerne holder et godt øje med. Dette er, hvad du vil gøre, hvis du for eksempel vil teste nogle aspekter af dit interne netværks perifere gennemtrængelighed og sikkerheden af dine autorisationsprocesser.
Højinteraktionsmetode
I denne opsætning ville dutillade angriberne at interagere med data, software (inklusive OS), tjenester og hardware, der ser ud til at være så realistiske som muligt. Hensigten her er at måle og fange angribernes færdigheder. Denne opsætning bruges mest i forskningsscenarier, hvor resultaterne af undersøgelserne bruges til at forbedre forsvarsegenskaberne for antivirus og anti-malware.
Pas på!
Lige, lad os nu se på nogle problemer, du skal være opmærksom på og forsigtig med, før du går i gang med at implementere din honeypot.
Juridiske problemer
Uanset om det er for at dække dit bagland, hvis du bliver sagsøgt af dine klienter for tab af deres data eller for at sikre, at eventuelle anklager, du rejser mod ubudne gæster, holder fast, skal du have løst dine juridiske ledninger. Selvom vi ikke er en juridisk enhed, kan vi stadig fortælle dig, at du skal være opmærksom på og omhyggelig med disse tre juridiske aspekter:
- Indfangning- ubudne gæster kan hævde, at de ikke vidste, at de ikke skulle få adgang til dit interne netværk eller aktiver og data på det. De kunne modpåstå, at du ikke mærkede det tydeligt nok, og at tage det endnu længere, bruge ' indespærring ” forsvar.
- Privatliv–implementering af en honeypot skal ske med ekstrem forsigtighed;dette punkt kan ikke understreges nok. En port efterladt åben ved en fejltagelse, eller en administratorkonto, der er blevet kompromitteret, kan åbne sluserne for angreb på dit hovednetværk. Dette kan til gengæld bringe personlige data for enhver af dine kunder i fare. Skulle det lykkes angriberne at dele det med verden, kan du blive mål for en retssag for tillidsbrud fordi kunderne siger, at de ikke har givet dig tilladelse til at dele deres data.
- Ansvar– en anden måde, hvorpå du kan få dig selv (eller dit netværk) i varmt vand, er, hvis de ubudne gæster beslutter sig for at vende forbrydelsen tilbage på dig ved at gemme ondsindet indhold på dine kompromitterede servere og, endnu værre, guide legitim trafik mod dine IP-adresser. Lagring og distribution af indhold som børnepornografi kan få dig til at se indersiden af en retssal rigtig hurtigt.
Ord af råd: hvis du finder noget sådant belastende indhold på dine servere eller bliver tilgået via dit netværk, er det første du skal gøre at kontakte myndighederne.
Bliver opdaget - af ubudne gæster
Opsætning af et honeypot-miljø kræver anonymitet for det rigtige netværk det ligger bag. Intet ville udgøre en større risiko for det, end at de ubudne gæster opdagede, at det faktisk er en honningpot, de har at gøre med, snarere end den virkelige vare. Fordi, med den erkendelse, kunne de tage det som en udfordring at fortsætte med at finde en måde at bryde det interne hovednetværk. Og derfor bliver det afgørende, at ingen afslørende tegn advarer dem om, at de bliver overvåget på et honeypot-netværk. De almindelige tegn, der normalt afslører tricket – og derfor bør undgås – er:
- Hvis netværket er for nemt at angribe eller få adgang til, vil det gøre dem mistænksomme eller få dem til at tro, at det ikke er relevant nok til at berettige deres indsats.
- Hvis der kører for mange unødvendige tjenester, eller en for mange porte er åbne,det ville være i modstrid med virkeligheden, hvor normale internet-vendte enheder normalt er frataget ikke-relevante tjenester og kun har de nødvendige porte åbne.
- Hvis konfigurationerne af de kørende softwareløsninger stadig er i deres standardindstillinger, hvilket næsten aldrig forekommer i et live-netværk.
- Hvis der er lidt til ingen trafik, der passerer gennem netværkethvilket indikerer, at der ikke er noget af interesse på det og alligevel tilhører et stort mærke.
- Hvis der er lagt for mange kræfter i at få det til at se ud som om de gik ind i en slikbutikmed mapper med navnet 'Adgangskoder', 'Fortroligt' eller 'Brugernavne'.
- Hvis de servere, der er tilsluttet netværket, ser ud til at være tomme, eller der er en masse ledig diskpladsdet ville vise, at de ikke er værdiløse.
Kort sagt bør dit honeypot-netværk og enhederne på det efterligne en virkelig forbindelse, dog med falske data og trafik. Sæt dig selv i angribernes sted og se på dit netværk fra deres perspektiv.
Beskyt dig selv godt!
Glem ikke, at du træder ind i løvens hule, når du vælger en honeypot-opsætning. Derfor er her et par punkter, du skal altid sikre dig, er dækket:
- Brug aldrig rigtige data- det er ligegyldigt, hvilken slags det kan være, opret skralddata detudseendeægte og bruge det som lokkemad.
- Tilslut aldrig din honeypot til dit hovednetværk– der burde ikke være nogen måde, at angriberne kunne hoppe på dit netværk via din honeypot; sørg for, at det er isoleret, og hold det sådan.
- Brug virtuelle maskiner– den sikreste hardware, du kan sætte på din honeypot, er virtuel; hvis du bliver ramt, skal du blot genstarte og genskabe den.
- Firewalls og routere burde være den eneste måde at komme til din honeypot på– al indgående trafik skal passere gennem dem, før de kommer på det falske netværk; konfigurere ALLE portnumre på dem for at pege på honningkrukken.
- Brugernavne og roller skal være unikke for honeypot– det ville være sindssygt at bruge de samme, som har adgang til dit hovednetværk; oprette nye legitimationsoplysninger og kun bruge dem til honeypot.
- Test, test og test altid– lad aldrig en honningpotte gå live uden at smide alt, hvad du har efter den; faktisk inviter eksperter til at prøve at bryde igennem det og ind på dit hovednetværk, før du lader det stå på internettet.
En god strategi at vedtage her er atsørg for, at ingen undtagen en administrator kan få adgang til honeypot, og selv da bør de bruge en dedikeret login-konto, der har nul privilegier på det rigtige netværk. Eller endnu bedre, en der slet ikke eksisterer på den.
Placering af honningpotten
Det ideelle sted at skabe din honeypot er uden tvivl i den demilitariserede zone ( DMZ ). Dette er det område, der er uden for dit hovednetværk, men stadig bag en router, der vender mod internettet.
Billedtilskrivning: en:Bruger:Pbroks13 [Offentligt domæne], via Wikimedia Commons
Så igen skal du vide, at ikke alle angreb kommer fra internettet. Faktisk har undersøgelser vist, at statistikken om 'insidertrusler' - dem, der kommer bag dine firewalls og af personer, der er autoriseret til at bruge dit netværk - er ret skræmmende ved 30 procent .Det betyder, at det også giver meninginstallere en intern honningpotte. På denne måde vil netværksadministratorer have et indblik i de ondsindede forsøg – eller de simple menneskelige fejl, der forårsager dem. Følgende video vil hjælpe med at forklare formålene, fordelene og ulemperne ved at placere en honeypot de forskellige steder på et netværk:
Honningtokens
En god måde at observere en ubuden gæsts taktik er at placere et honeytoken på en kontrolserver eller database. Honningtokens er filer eller datasæt, der ser ud til at være interessante for angriberen, men som faktisk er falske kopier af den virkelige vare .
Det honeytokens kan også være indlejrede filer eller datasæt i, hvad der ellers ville se ud til at være en legitim fysisk server eller database . Det gør det nemt for administratorer at holde styr på dataene i tilfælde af, at de bliver stjålet – som hvem de blev stjålet fra, og hvordan de blev stjålet – da en anden honningtoken er placeret på hvert sted.
Eksempler på denne slags honeytoken omfatter e-mail-adresser og brugernavne eller login-id'er. Hvis en angriber får adgang til disse stykker information, ville det være nemt at vide, hvilken database de har brudt, hvilket igen ville hjælpe med at finde ud af, hvordan de formåede at gøre det.
Når det bruges rigtigt og er sat op på en række forskellige måder, honningtokens og honeynets ( to eller flere honningkrukker på samme netværk) kan tegne et ret klart billede for administratorerne.
Når truslerne er opstået og derefter identificeret af honeypot, kan advarsler konfigureres som svar på forsøg på adgang, ændring eller sletning af dataene, eller endda når ondsindede pakker og nyttelast er blevet opdaget på netværket.
Sidste tanker om at etablere en honeypot på dit netværk
Som vi har set, vil en simpel honeypot hjælpe dig med at bekæmpe angreb ved at tegne et klarere billede af dine angribere og de metoder, de kan bruge til at forsøge et brud. At placere det i den rigtige position og konfigurere det godt vil hjælpe med at styrke dit netværks sikkerhed, og eventuelle fejl ved at gøre det kan føre til nedlæggelse af dit hovednetværk.
Også,…
Husk altid: en honeypot er i sig selv IKKE en netværkssikkerhedsløsning. Det er faktisk et værktøj, der tjener som et middel til at nå frem til en sikker netværksløsning. Lær af det, og stram skruerne ved hjælp af andre netværksovervågnings- og beskyttelsesløsninger, mens du sikrer dig, at du har andre live netværkssikkerhedsløsninger som backup.
Sådan opretter du en Honeypot ofte stillede spørgsmål s
Hvorfor er honeypots installeret uden for firewallen?
Ved at placere honeypots uden for firewallen undgår du at skulle oprette firewallregler, der dirigerer trafik til dem. Firewallen vil stadig give effektiv beskyttelse til netværket, hvis en hacker skulle bryde ud af honeypotten.
Er en honningpotte en IDS?
Der findes flere typer honningkrukker. En placeret i netværket sammen med produktionsservere er en del af en IDS-strategi.
Er honeypot en software eller hardware?
Strengt taget er en honningpotte et apparat. Softwareløsninger kaldes virtuelle honeypots.
Vores metode til at vælge honeypot-styringsværktøjer
Vi gennemgik markedet for bedrageriteknologisoftware og analyserede mulighederne ud fra følgende kriterier:
- Et system, der kombinerer konstant unormal netværksaktivitet med bedrageristrategier
- En applikationsemulator med indstillinger, der efterligner forskellige sårbare systemer
- Dækning for alle enheder, der er kendte mål for ondsindede aktiviteter
- En tjeneste, der guider udrulning af honeypot
- Fuld aktivitetslogning for overholdelse af databeskyttelsesstandarder
- En risikofri vurderingsperiode leveret af en gratis prøveperiode eller en pengene-tilbage-garanti
- Effektive værktøjer, der er værd at betale for og til en rimelig pris