Phenquestions
Medus pods var būt lietojumprogramma, kas imitē mērķi, kas patiešām ir uzbrucēju darbības reģistrētājs. Vairāki medus punkti, kas simulē vairākus saistītus pakalpojumus, ierīces un lietojumprogrammas, tiek saukti par Honeynets.
Honeypots un Honeynets neglabā slepenu informāciju, bet gan uzbrucējiem glabā viltotu pievilcīgu informāciju, lai viņus ieinteresētu Honeypots, Honeynets, citiem vārdiem sakot, mēs runājam par hakeru slazdiem, kas paredzēti viņu uzbrukuma tehnikas apguvei.
Medus podi mums ziņo par divu veidu priekšrocībām: vispirms tie palīdz mums iemācīties uzbrukumus, lai vēlāk pareizi aizsargātu mūsu ražošanas ierīci vai tīklu. Otrkārt, paturot medus traukus, kas simulē ievainojamību blakus ražošanas ierīcēm vai tīklam, mēs neiekļaujam hakeru uzmanību no drošām ierīcēm, jo viņiem būs pievilcīgāki medus podi, kas imitē drošības caurumus, kurus viņi var izmantot.
Medus podi ir dažādi:
Ražošanas medus podi:
Šāda veida medus trauki tiek uzstādīti ražošanas tīklā, lai apkopotu informāciju par paņēmieniem, ko izmanto, lai uzbruktu sistēmām infrastruktūrā. Šis Honeypots veids piedāvā plašas iespējas, sākot no medus trauka atrašanās vietas noteiktā tīkla segmentā, lai noteiktu tīkla likumīgo lietotāju iekšējos mēģinājumus piekļūt neatļautiem vai aizliegtiem resursiem vietnes vai pakalpojuma klonam, kas ir identisks oriģināls kā ēsma. Lielākais šāda veida medus trauku veids ir atļaut ļaunprātīgu satiksmi starp likumīgu.
Attīstības trauki:
Šāda veida medus trauki ir paredzēti, lai savāktu pēc iespējas vairāk informācijas par uzlaušanas tendencēm, uzbrucēju vēlamajiem mērķiem un uzbrukumu izcelsmi. Šī informācija vēlāk tiek analizēta lēmumu pieņemšanas procesā par drošības pasākumu ieviešanu.
Galvenā šāda veida medus podu priekšrocība ir tā, ka pretēji ražošanas medus izstrādājumu ražošanai medus podi atrodas neatkarīgā tīklā, kas veltīts pētījumiem, šī neaizsargātā sistēma ir nodalīta no ražošanas vides, novēršot paša medus uzbrukumu. Tās galvenais trūkums ir resursu daudzums, kas nepieciešams tā īstenošanai.
Pastāv 3 apakškategorija vai atšķirīga medus trauku klasifikācija, ko nosaka mijiedarbība ar uzbrucējiem.
Zemas mijiedarbības medus trauki:
Honeypot līdzinās neaizsargātam pakalpojumam, lietotnei vai sistēmai. To ir ļoti viegli uzstādīt, taču, vācot informāciju, tas ir ierobežots, daži šāda veida medus trauku piemēri ir:
Medus slazds: tas ir paredzēts, lai novērotu uzbrukumus tīkla pakalpojumiem, pretēji citiem medus podiem, kas koncentrējas uz ļaunprātīgu programmatūru uztveršanu, šāda veida medus trauki ir paredzēti, lai uztvertu ekspluatācijas gadījumus.
Nefenti: atdarina zināmas ievainojamības, lai savāktu informāciju par iespējamiem uzbrukumiem, tas ir paredzēts, lai atdarinātu ievainojamības, kuras tārpi izmanto, lai izplatītos, un pēc tam Nefenti tver savu kodu vēlākai analīzei.
MedusC: identificē ļaunprātīgos tīmekļa serverus tīklā, atdarinot dažādus klientus un apkopojot servera atbildes, atbildot uz pieprasījumiem.
MedusD: ir dēmons, kas tīklā izveido virtuālos resursdatorus, kurus var konfigurēt, lai palaistu patvaļīgus pakalpojumus, kas simulē izpildi dažādās OS.
Glastopf: atdarina tūkstošiem ievainojamību, kas paredzēti, lai apkopotu informāciju par uzbrukumiem tīmekļa lietojumprogrammām. To ir viegli iestatīt, un pēc meklētājprogrammu indeksēšanas tas kļūst par hakeru pievilcīgu mērķi.
Vidējas mijiedarbības medus trauki:
Šāda veida medus trauki ir mazāk interaktīvi nekā iepriekšējie, neļaujot mijiedarboties ar augstiem medus podiem. Daži šāda veida medus podi ir:
Kippo: tas ir ssh medus pods, ko izmanto, lai reģistrētu brutālu spēku uzbrukumus pret unix sistēmām un reģistrētu hakeru darbību, ja piekļuve tika iegūta. To pārtrauca un aizstāja Kovijs.
Kovijs: vēl viens ssh un telnet honeypot, kas reģistrē brutālu spēku uzbrukumus un hakeru mijiedarbību. Tas līdzinās Unix OS un darbojas kā starpniekserveris, lai reģistrētu uzbrucēja darbību.
Sticky_elephant: tas ir PostgreSQL medus pods.
Hornet: Uzlabota medus lapsenes versija ar viltotiem akreditācijas datiem, kas paredzēta vietnēm ar publiskas piekļuves pieteikšanās lapu administratoriem, piemēram, / wp-admin WordPress vietnēm.
Augstas mijiedarbības medus podi:
Šajā scenārijā Honeypots nav paredzēti tikai informācijas vākšanai, tā ir lietojumprogramma, kas paredzēta mijiedarbībai ar uzbrucējiem, vienlaikus izsmeļoši reģistrējot mijiedarbības darbību, un tā simulē mērķi, kas spēj piedāvāt visas atbildes, kuras uzbrucējs var sagaidīt. Daži šāda veida medus trauki ir:
Sebeks: darbojas kā HIDS (resursdatora balstīta ielaušanās detektēšanas sistēma), kas ļauj uztvert informāciju par sistēmas darbību. Tas ir servera-klienta rīks, kas var izvietot Linux, Unix un Windows medus traukus, kas uztver un nosūta apkopoto informāciju uz serveri.
Medus Loka: var integrēt ar zemas mijiedarbības medus podiem, lai palielinātu informācijas vākšanu.
HI-HAT (augstas mijiedarbības medus punktu analīzes rīku komplekts): pārveido php failus augstas mijiedarbības medos ar tīmekļa saskarni, kas pieejama informācijas uzraudzībai.
Capture-HPC: līdzīgi kā HoneyC, identificē ļaunprātīgos serverus, mijiedarbojoties ar tiem kā klientiem, izmantojot īpašu virtuālo mašīnu un reģistrējot nesankcionētas izmaiņas.
Ja jūs interesē Honeypots, iespējams, IDS (ielaušanās detektēšanas sistēmas) jums var būt interesants, vietnē LinuxHint mums ir pāris interesantas apmācības par tiem:
- Konfigurējiet snort IDS un izveidojiet kārtulas
- Darba sākšana ar OSSEC (ielaušanās detektēšanas sistēma)
Es ceru, ka šis raksts par Honeypots un Honeynets jums šķita noderīgs. Turpiniet sekot LinuxHint, lai iegūtu vairāk padomu un atjauninājumu par Linux un drošību.
