Medaus puodas gali būti taikinys, imituojantis taikinį, kuris iš tikrųjų yra užpuolikų veiklos registratorius. Keli „Honeypots“, imituojantys kelias susijusias paslaugas, įrenginius ir programas, yra vadinami „Honeynets“.
„Honeypots“ ir „Honeynets“ nesaugo neskelbtinos informacijos, tačiau saugo suklastotai patrauklią informaciją užpuolikams, kad jie susidomėtų „Honeypots“, „Honeynets“, kitaip tariant, mes kalbame apie įsilaužėlių spąstus, skirtus išmokti jų atakos metodus.
„Honeypots“ praneša apie dviejų rūšių privalumus: pirmiausia jie padeda mums išmokti atakų, kad vėliau tinkamai apsaugotume savo gamybos įrenginį ar tinklą. Antra, laikydami pažeidžiamumą imituojančius vazonus šalia gamybos įrenginių ar tinklo, įsilaužėlių dėmesį nekreipiame į saugius įrenginius, nes jiems bus patraukliau medaus puodams, imituojantiems saugumo spragas, kurias jie gali išnaudoti.
Yra įvairių tipų „Honeypots“:
Gamybos medaus puodai:
Šio tipo medaus puodai įrengiami gamybos tinkle, kad būtų renkama informacija apie metodus, naudojamus atakuojant infrastruktūros sistemas. Šio tipo „Honeypots“ siūlo daugybę galimybių, pradedant nuo medaus puodo vietos konkrečiame tinklo segmente, siekiant nustatyti teisėtų tinklo vartotojų vidinius bandymus pasiekti neleistinus ar draudžiamus išteklius prie svetainės ar paslaugos klono, identiško originalus kaip jaukas. Didžiausia tokio tipo medaus puodų problema yra leisti neteisėtam srautui tarp teisėto.
Vystymo puodai:
Šio tipo medaus puodai skirti surinkti kuo daugiau informacijos apie įsilaužimo tendencijas, norimus užpuolikų taikinius ir išpuolių kilmę. Vėliau ši informacija analizuojama sprendimų dėl saugumo priemonių įgyvendinimo priėmimo procese.
Pagrindinis šios rūšies medaus puodų privalumas yra tas, kad, priešingai nei gamybos medaus vazonuose, medaus vazonai yra nepriklausomame tyrimams skirtame tinkle, ši pažeidžiama sistema yra atskirta nuo gamybos aplinkos, užkertant kelią paties medaus puodui. Pagrindinis jo trūkumas yra tam reikalingų išteklių kiekis.
Yra 3 pakategorės arba kitokia medaus puodų klasifikacija, apibrėžta sąveikos su užpuolikais.
Mažos sąveikos medaus puodai:
„Honeypot“ mėgdžioja pažeidžiamą paslaugą, programą ar sistemą. Tai labai lengva nustatyti, tačiau renkant informaciją yra nedaug, keletas šio tipo vazonėlių pavyzdžių:
Medaus gaudyklė: jis skirtas stebėti išpuolius prieš tinklo paslaugas, priešingai nei kiti medaus puodai, kuriuose daugiausia dėmesio skiriama kenkėjiškų programų užfiksavimui, šio tipo vazonai yra skirti užfiksuoti išnaudojimus.
Nefentai: mėgdžioja žinomus pažeidžiamumus, kad surinktų informaciją apie galimas atakas, jis skirtas imituoti pažeidžiamumus, kuriuos kirminai išnaudoja skleisdami, tada Nefentai užfiksuoja savo kodą vėlesnei analizei.
MedusC: identifikuoja kenkėjiškus tinklo serverius tinkle imituodamas skirtingus klientus ir rinkdamas serverio atsakymus atsakydamas į užklausas.
MedusD: yra demonas, kuris sukuria virtualius pagrindinius kompiuterius tinkle, kuriuos galima sukonfigūruoti vykdyti savavališkas paslaugas, imituojančias vykdymą skirtingose OS.
Glastopf: mėgdžioja tūkstančius pažeidžiamumų, skirtų rinkti informaciją apie išpuolius prieš žiniatinklio programas. Tai lengva sukonfigūruoti, o paieškos sistemoms indeksavus, jis tampa patraukliu įsilaužėlių taikiniu.
Vidutinės sąveikos medaus puodai:
Šie medaus puodų tipai yra mažiau interaktyvūs nei ankstesni, neleidžiant aukšto lygio vazonams sąveikos lygio. Kai kurie šio tipo „Honeypots“ yra:
Kippo: tai ssh medaus puodas, naudojamas užregistruoti žiaurios jėgos išpuolius prieš „unix“ sistemas ir registruoti įsilaužėlio veiklą, jei prieiga buvo gauta. Jis buvo nutrauktas ir pakeistas Cowrie.
Cowrie: dar vienas „ssh“ ir „telnet“ medaus puodas, registruojantis žiaurios jėgos išpuolius ir įsilaužėlių kiautų sąveiką. Jis imituoja „Unix“ OS ir veikia kaip tarpininkas užregistruojant užpuoliko veiklą.
„Sticky_elephant“: tai „PostgreSQL“ medaus puodas.
Širšė: Patobulinta „honeypot-wasp“ versija su padirbtais kredencialais, skirta svetainėms su viešos prieigos prisijungimo puslapiu administratoriams, pvz., „/ Wp-admin“, skirta „WordPress“ svetainėms.
Didelės sąveikos medaus puodai:
Pagal šį scenarijų „Honeypots“ nėra skirti tik informacijai rinkti, tai yra programa, skirta sąveikauti su užpuolikais ir išsamiai registruoti sąveikos veiklą. Ji imituoja taikinį, galintį pasiūlyti visus užpuoliko tikėtinus atsakymus
Sebekas: veikia kaip HIDS (pagrindinio kompiuterio įsibrovimo aptikimo sistema), leidžianti užfiksuoti informaciją apie sistemos veiklą. Tai yra serverio-kliento įrankis, galintis įdiegti „Linux“, „Unix“ ir „Windows“ medaus puodus, kurie užfiksuoja ir siunčia surinktą informaciją į serverį.
Medaus lankas: gali būti integruotas su mažai sąveikaujančiais vazonėliais, siekiant padidinti informacijos rinkimą.
HI-HAT (didelės sąveikos „Honeypot“ analizės įrankių rinkinys): paverčia php failus į didelės sąveikos medaus puodus su žiniatinklio sąsaja, kuria galima stebėti informaciją.
„Capture-HPC“: panašus į „HoneyC“, identifikuoja kenksmingus serverius sąveikaudamas su jais kaip klientais, naudojančiais specialią virtualią mašiną ir registruodamas neteisėtus pakeitimus.
Jei jus domina „Honeypots“, tikriausiai IDS (įsibrovimo aptikimo sistemos) gali būti įdomus jums, „LinuxHint“ turime keletą įdomių pamokų apie juos:
- Konfigūruokite „Snort“ IDS ir sukurkite taisykles
- Darbo su OSSEC (įsibrovimo aptikimo sistema) pradžia
Tikiuosi, kad šis straipsnis apie „Honeypots“ ir „Honeynets“ jums buvo naudingas. Toliau sekite „LinuxHint“, kad gautumėte daugiau patarimų ir atnaujinimų apie „Linux“ ir saugumą.