HoneyPots e Honeynets

HoneyPots e Honeynets
Este tutorial explica o que são HoneyPots e Honeynets e como eles funcionam, incluindo um exemplo de implementação prática.

Parte do trabalho dos especialistas em TI de segurança é aprender sobre os tipos de ataques ou técnicas usadas por hackers coletando informações para análises posteriores para avaliar as características das tentativas de ataque. Às vezes, essa coleção de informações é feita por meio de iscas ou chamarizes projetados para registrar a atividade suspeita de invasores em potencial que agem sem saber que sua atividade está sendo monitorada. Na segurança de TI, essas iscas ou chamarizes são chamados Honeypots.

O que são Honeypots e Honeynets:

A pote de mel pode ser um aplicativo simulando um alvo que é realmente um gravador da atividade dos atacantes. Vários Honeypots simulando vários serviços, dispositivos e aplicativos são denominados Honeynets.

HoneyPots e Honeynets não armazenam informações confidenciais, mas armazenam informações atraentes falsas aos atacantes para interessá -los nos Honeypots; Honeynets, em outras palavras, estão falando sobre armadilhas de hackers projetadas para aprender suas técnicas de ataque.

Os honeypots nos dão dois benefícios: primeiro, eles nos ajudam a aprender ataques para proteger nosso dispositivo de produção ou rede adequadamente. Segundo, ao manter Honeypots simulando vulnerabilidades próximas a dispositivos ou redes de produção, mantemos a atenção dos hackers fora de dispositivos seguros. Eles acharão mais atraente os honeypots simulando os orifícios de segurança que podem explorar.

Tipos de honeypot:

Honeypots de produção:
Esse tipo de honeypot está instalado em uma rede de produção para coletar informações sobre técnicas usadas para atacar sistemas dentro da infraestrutura. Esse tipo de honeypot oferece uma ampla variedade de possibilidades, desde a localização do honeypot em um segmento de rede específico, a fim de detectar tentativas internas de usuários legítimos de rede de acessar recursos não permitidos ou proibidos a um clone de um site ou serviço, idêntico ao original como isca. A maior questão desse tipo de honeypot é permitir o tráfego malicioso entre os legítimos.

Desenvolvimento Honeypots:
Esse tipo de honeypot foi projetado para coletar mais informações sobre tendências de hackers, alvos desejados por atacantes e origens de ataque. Esta informação é analisada posteriormente para o processo de tomada de decisão sobre a implementação de medidas de segurança.
A principal vantagem desse tipo de honeypots é, ao contrário da produção; HoneyPots Development HoneyPots estão localizados em uma rede independente dedicada à pesquisa; Este sistema vulnerável é separado do ambiente de produção, impedindo um ataque do próprio Honeypot. Sua principal desvantagem é o número de recursos necessários para implementá -lo.

Existem 3 subcategorias ou tipos diferentes de classificação definidos pelo nível de interação que possui com os atacantes.

Honeypots de baixa interação:

Um honeypot emula um serviço, aplicativo ou sistema vulnerável. Isso é muito fácil de configurar, mas limitado ao coletar informações; Alguns exemplos desse tipo de honeypots são:

  • Armadilha de mel: Ele foi projetado para observar ataques contra serviços de rede; Ao contrário de outros HoneyPots, que se concentram em capturar malware, esse tipo de honeypot foi projetado para capturar explorações.
  • Nefentes: Emula vulnerabilidades conhecidas para coletar informações sobre possíveis ataques; Ele foi projetado para imitar explorações de vermes de vulnerabilidades para se propagar, então Nefentes captura seu código para análise posterior.
  • Honeyc: Identifica servidores da Web maliciosos dentro da rede, imitando diferentes clientes e coletando respostas ao servidor ao responder às solicitações.
  • Honeyd: é um daemon que cria hosts virtuais em uma rede que pode ser configurada para executar serviços arbitrários, simulando a execução em diferentes sistemas operacionais.
  • GLASTOPF: Emula milhares de vulnerabilidades projetadas para coletar informações de ataque contra aplicativos da Web. É fácil de configurar e, uma vez indexado pelos mecanismos de pesquisa; Torna -se um alvo atraente para hackers.

Interação média HoneyPots:

Nesse cenário, os honeypots não foram projetados para coletar apenas informações; É um aplicativo projetado para interagir com os atacantes enquanto registra exaustivamente a atividade de interação; Ele simula um alvo capaz de oferecer todas as respostas que o invasor pode esperar; Alguns honeypots deste tipo são:

  • Cowrie: um honeypot ssh e telnet que registra ataques de força bruta e interação com shell. Emula um OS Unix e funciona como um proxy para registrar a atividade do invasor. Após esta seção, você pode encontrar instruções para a implementação de Cowrie.
  • Sticky_elephant: é um honeypot postgreSql.
  • Hornet: Uma versão aprimorada do honeypot-wasp com credenciais falsas prompt projetadas para sites com página de login de acesso público para administradores como /wp-admin para sites do WordPress.

Honeypots de alta interação:

Nesse cenário, os honeypots não foram projetados para coletar apenas informações; É um aplicativo projetado para interagir com os atacantes enquanto registra exaustivamente a atividade de interação; Ele simula um alvo capaz de oferecer todas as respostas que o invasor pode esperar; Alguns honeypots deste tipo são:

  • Sebek: funciona como um HIDS (sistema de detecção de intrusões baseado em host), permitindo capturar informações sobre a atividade do sistema. Esta é uma ferramenta servidor-cliente capaz de implantar HoneyPots no Linux, Unix e Windows que capturam e enviam as informações coletadas para o servidor.
  • Honeybow: pode ser integrado com honeypots de baixa interação para aumentar a coleta de informações.
  • Hi-HAT (Kit de ferramentas de análise de honeypot de alta interação): Converte arquivos PHP em HoneyPots de alta interação com uma interface da Web disponível para monitorar as informações.
  • Capture-hpc: Semelhante ao honeyc, identifica servidores maliciosos interagindo com os clientes usando uma máquina virtual dedicada e registrando alterações não autorizadas.

Abaixo você pode encontrar um exemplo prático de interação média do honeypot.

Implantando Cowrie para coletar dados sobre ataques SSH:

Como dito anteriormente, Cowrie é um honeypot usado para gravar informações sobre ataques direcionados ao serviço SSH. Cowrie simula um servidor SSH vulnerável, permitindo que qualquer invasor acesse um terminal falso, simulando um ataque bem -sucedido enquanto grava a atividade do invasor.

Para Cowrie simular um servidor vulnerável falso, precisamos atribuí -lo à porta 22. Assim, precisamos mudar nossa porta SSH real editando o arquivo /etc/ssh/sshd_config como mostrado abaixo.

sudo nano/etc/ssh/sshd_config

Edite a linha e altere -a para uma porta entre 49152 e 65535.

Porta 22

Reinicie e verifique se o serviço está sendo executado corretamente:

sudo systemctl reiniciar ssh
SUDO SYSTEMCTL STATUS SSH

Instale todo o software necessário para as próximas etapas, nas distribuições Linux baseadas no Debian Run:

sudo apt install -y python-virtualenv libssl-dev libffi-dev edifício-essencial libpython3-dev python3-minimal authbind git

Adicione um usuário sem privilégios chamado Cowrie, executando o comando abaixo.

sudo adduser-cowrie de-passa-deficiência

Sobre as distribuições Linux baseadas em Debian, instale o authbind executando o seguinte comando:

Sudo Apt Apt Authbind

Execute o comando abaixo.

sudo touch/etc/authbind/byport/22

Alterar a propriedade executando o comando abaixo.

sudo chown cowrie: cowrie/etc/authbind/byport/22

Alterar permissões:

sudo chmod 770/etc/authbind/byport/22

Faça login como Cowrie

sudo su cowrie

Entre no diretório doméstico de Cowrie.

CD ~

Baixe o cowrie honeypot usando o git como mostrado abaixo.

clone git https: // github.com/micheloosterhof/cowrie

Mudar -se para o Diretório Cowrie.

CD Cowrie/

Crie um novo arquivo de configuração com base no padrão, copiando -o do arquivo /etc/cowrie.cfg.Dist to Cowrie.cfg Executando o comando mostrado abaixo no diretório de Cowrie/

CP etc/cowrie.cfg.Dist etc/cowrie.cfg

Edite o arquivo criado:

nano etc/cowrie.cfg

Encontre a linha abaixo.

out_endpoints = tcp: 2222: interface = 0.0.0.0

Edite a linha, substituindo a porta 2222 por 22, como mostrado abaixo.

out_endpoints = tcp: 22: interface = 0.0.0.0

Salvar e sair nano.

Execute o comando abaixo para criar um ambiente Python:

Virtualenv Cowrie-env

Habilite um ambiente virtual.

Fonte Cowrie-env/bin/ativação

Atualize o PIP executando o seguinte comando.

pip install -upgrade pip

Instale todos os requisitos executando o seguinte comando.

Requisitos de instalação do PIP -atualizador.TXT

Execute Cowrie com o seguinte comando:

Bin/Cowrie Start

Verifique se o honeypot está ouvindo correndo.

netstat -tan

Agora, as tentativas de login da porta 22 serão registradas no arquivo var/log/cowrie/cowrie.registro no diretório de Cowrie.

Como dito anteriormente, você pode usar o honeypot para criar uma concha vulnerável falsa. Cowries incluem um arquivo no qual você pode definir "usuários permitidos" para acessar o shell. Esta é uma lista de nomes de usuário e senhas através das quais um hacker pode acessar o shell falso.

O formato da lista é mostrado na imagem abaixo:

Você pode renomear a lista padrão de Cowrie para fins de teste, executando o comando abaixo do diretório Cowries. Ao fazer isso, os usuários poderão fazer login como root usando senha raiz ou 123456.

MV etc/userdb.exemplo etc/userdb.TXT

Pare e reinicie Cowrie executando os comandos abaixo:

Bin/Cowrie Stop
Bin/Cowrie Start

Agora teste tentando acessar através do SSH usando um nome de usuário e senha incluídos no UserDB.TXT lista.

Como você pode ver, você acessará uma concha falsa. E toda a atividade feita neste shell pode ser monitorada a partir do log de Cowrie, como mostrado abaixo.

Como você pode ver, Cowrie foi implementado com sucesso. Você pode aprender mais sobre Cowrie em https: // github.com/cowrie/.

Conclusão:

A implementação do HoneyPots não é uma medida de segurança comum, mas como você pode ver, é uma ótima maneira de endurecer a segurança da rede. A implementação do HoneyPots é uma parte importante da coleta de dados com o objetivo de melhorar a segurança, transformando hackers em colaboradores, revelando suas atividades, técnicas, credenciais e metas. É também uma maneira formidável de fornecer aos hackers informações falsas.

Se você estiver interessado em honeypots, provavelmente o IDS (sistemas de detecção de intrusões) pode ser interessante para você; Na Linuxhint, temos alguns tutoriais interessantes sobre eles:

  • Configure IDs de Snort e crie regras
  • Introdução ao OSSEC (sistema de detecção de intrusões)

Espero que você tenha encontrado este artigo sobre HoneyPots e Honeynets úteis. Continue seguindo o Linux Dint para mais dicas e tutoriais do Linux.