Veiligheid

Honingpotten en Honingnetten

Honingpotten en Honingnetten
Een deel van het werk van IT-beveiligingsspecialisten is om te leren over de soorten aanvallen of technieken die door hackers worden gebruikt door ook informatie te verzamelen voor latere analyse om de kenmerken van aanvalspogingen te evalueren. Soms wordt deze verzameling van informatie gedaan door middel van een lokaas, of lokmiddelen die zijn ontworpen om verdachte activiteiten te registreren van potentiële aanvallers die handelen zonder te weten dat hun activiteit wordt gecontroleerd. In IT-beveiliging worden deze lokaas of lokvogels Honeypots genoemd.

Een honeypot kan een applicatie zijn die een doelwit simuleert, wat in feite een recorder is van de activiteit van aanvallers. Meerdere Honeypots die meerdere services, apparaten en gerelateerde applicaties simuleren, worden Honeynets genoemd.

Honeypots en Honeynets slaan geen gevoelige informatie op, maar slaan nep-aantrekkelijke informatie op voor aanvallers om hen te interesseren voor de Honeypots, Honeynets, met andere woorden, we hebben het over hackertraps die zijn ontworpen om hun aanvalstechnieken te leren.

Honeypots melden ons twee soorten voordelen: ten eerste helpen ze ons aanvallen te leren om later ons productieapparaat of netwerk goed te beveiligen. Ten tweede, door honeypots die kwetsbaarheden simuleren naast productieapparaten of netwerk te houden, houden we de aandacht van hackers buiten beveiligde apparaten, omdat ze de honeypots die beveiligingslekken simuleren aantrekkelijker zullen vinden die ze kunnen misbruiken.

Er zijn verschillende soorten Honeypots:

Productie Honeypots:

Dit type honeypots wordt in een productienetwerk geïnstalleerd om informatie te verzamelen over technieken die worden gebruikt om systemen binnen de infrastructuur aan te vallen.  Dit type Honeypots biedt een breed scala aan mogelijkheden, van de locatie van de honeypot binnen een specifiek netwerksegment om interne pogingen van legitieme netwerkgebruikers om toegang te krijgen tot niet-toegestane of verboden bronnen tot een kloon van een website of dienst, identiek aan de origineel als aas. Het grootste probleem van dit soort honeypots is het toestaan ​​van kwaadaardig verkeer tussen legitieme.

Ontwikkeling honeypots:

Dit type honeypots is ontworpen om meer informatie te verzamelen over hacktrends, gewenste doelen door aanvallers en de oorsprong van aanvallen. Deze informatie wordt later geanalyseerd voor het besluitvormingsproces over de implementatie van beveiligingsmaatregelen.

Het belangrijkste voordeel van dit type honeypots is dat, in tegenstelling tot productie-honeypots, de ontwikkeling van honeypots zich binnen een onafhankelijk netwerk bevindt, speciaal bedoeld voor onderzoek. Dit kwetsbare systeem is gescheiden van de productieomgeving, waardoor een aanval vanuit de honeypot zelf wordt voorkomen. Het grootste nadeel is de hoeveelheid middelen die nodig is om het te implementeren.

Er is een 3 subcategorie of verschillende classificatie van honeypots gedefinieerd door de interactie die het heeft met aanvallers.

Honeypots met lage interactie:

Een Honeypot emuleert een kwetsbare dienst, app of systeem.  Dit is heel eenvoudig in te stellen, maar beperkt bij het verzamelen van informatie, enkele voorbeelden van dit type honeypots zijn:

Honingval: het is ontworpen om aanvallen op netwerkdiensten waar te nemen, in tegenstelling tot andere honeypots die zich richten op het vastleggen van malware. Dit type honeypots is ontworpen om exploits te vangen.

Nephentes: emuleert bekende kwetsbaarheden om informatie over mogelijke aanvallen te verzamelen, het is ontworpen om kwetsbaarheden te emuleren die wormen exploiteren om te verspreiden, waarna Nephentes hun code vangt voor latere analyse.

HoningC: identificeert kwaadaardige webservers binnen het netwerk door verschillende clients te emuleren en serverreacties te verzamelen bij het beantwoorden van verzoeken.

honingD: is een daemon die virtuele hosts creëert binnen een netwerk die kunnen worden geconfigureerd om willekeurige services uit te voeren die uitvoering in verschillende besturingssystemen simuleren.

Glastopf: emuleert duizenden kwetsbaarheden die zijn ontworpen om informatie over aanvallen op webapplicaties te verzamelen. Het is eenvoudig in te stellen en eenmaal geïndexeerd door zoekmachines wordt het een aantrekkelijk doelwit voor hackers.

Middelgrote interactie Honeypots:

Deze soorten honeypots zijn minder interactief dan de vorige zonder de interactie op niveau die hoge honeypots mogelijk maken. Enkele Honeypots van dit type zijn:

Kippo: het is een ssh-honeypot die wordt gebruikt om brute force-aanvallen tegen unix-systemen te loggen en de activiteit van de hacker te loggen als de toegang is verkregen. Het werd stopgezet en vervangen door Cowrie.

Kauri: nog een ssh- en telnet-honeypot die brute force-aanvallen en hackers-shell-interactie registreert. Het emuleert een Unix-besturingssysteem en werkt als proxy om de activiteit van de aanvaller te loggen.

Sticky_olifant: het is een PostgreSQL-honeypot.

Horzel: Een verbeterde versie van honeypot-wasp met nep-inloggegevens, ontworpen voor websites met een openbare aanmeldpagina voor beheerders, zoals /wp-admin voor wordpress-sites.

Honeypots met hoge interactie:

In dit scenario zijn Honeypots niet ontworpen om alleen informatie te verzamelen, het is een applicatie die is ontworpen om te communiceren met aanvallers terwijl de interactie-activiteit uitputtend wordt geregistreerd. Het simuleert een doelwit dat in staat is alle antwoorden te bieden die de aanvaller mag verwachten. Sommige honeypots van dit type zijn:

Sebek: werkt als een HIDS (Host-based Intrusion Detection System) waarmee informatie over een systeemactiviteit kan worden vastgelegd. Dit is een server-client-tool die in staat is om honeypots op Linux, Unix en Windows te implementeren die de verzamelde informatie vastleggen en naar de server sturen.

Honingboog: kan worden geïntegreerd met honeypots met lage interactie om de informatieverzameling te vergroten.

HI-HAT (Hoge Interactie Honeypot Analyse Toolkit): zet php-bestanden om in honeypots met hoge interactie met een beschikbare webinterface om de informatie te controleren.

Capture-HPC: vergelijkbaar met HoneyC, identificeert kwaadaardige servers door met hen te communiceren als klanten met behulp van een speciale virtuele machine en door ongeautoriseerde wijzigingen te registreren.

Als je geïnteresseerd bent in Honeypots, is IDS (Intrusion Detection Systems) waarschijnlijk interessant voor je, bij LinuxHint hebben we een aantal interessante tutorials over hen:

Ik hoop dat je dit artikel over Honeypots en Honeynets nuttig vond. Blijf Linux volgen Hint voor meer tips en updates over Linux en beveiliging.

Muis Hoe de muisaanwijzer en cursorgrootte, kleur en schema op Windows 10 te veranderen
Hoe de muisaanwijzer en cursorgrootte, kleur en schema op Windows 10 te veranderen
De muisaanwijzer en cursor in Windows 10 zijn zeer belangrijke aspecten van het besturingssysteem. Dit geldt ook voor andere besturingssystemen, dus i...
Spellen Gratis en open source game-engines voor het ontwikkelen van Linux-games
Gratis en open source game-engines voor het ontwikkelen van Linux-games
Dit artikel behandelt een lijst met gratis en open source game-engines die kunnen worden gebruikt voor het ontwikkelen van 2D- en 3D-games op Linux. E...
Spellen Shadow of the Tomb Raider voor Linux-zelfstudie
Shadow of the Tomb Raider voor Linux-zelfstudie
Shadow of the Tomb Raider is de twaalfde toevoeging aan de Tomb Raider-serie - een actie-avonturengame-franchise gemaakt door Eidos Montreal. De game ...