Honeypot dan Honeynet

Tutorial ini menjelaskan apa itu honeypots dan honeynets dan bagaimana cara kerjanya, termasuk contoh penerapan praktisnya.

Bagian dari tugas profesional TI keamanan adalah mempelajari jenis serangan atau teknik yang digunakan oleh peretas, mengumpulkan informasi untuk analisis lebih lanjut guna menilai karakteristik upaya serangan. Terkadang pengumpulan informasi ini dilakukan melalui umpan atau penipuan yang dirancang untuk menangkap aktivitas mencurigakan dari calon penyerang yang beroperasi tanpa mengetahui bahwa aktivitas mereka sedang dipantau. Dalam keamanan TI, ini disebut umpan atau umpan Honeypot.

Apa itu sarang madu dan sarang madu?

A sarang madu mungkin aplikasi simulasi target yang benar-benar merupakan pencatat aktivitas penyerang. Beberapa Honeypots yang mensimulasikan beberapa layanan, perangkat, dan aplikasi Honeynet.

Honeypots dan Honeynets tidak menyimpan informasi sensitif, melainkan menyimpan informasi palsu yang menarik bagi penyerang agar mereka tertarik pada Honeypots. Dengan kata lain, Honeynets adalah jebakan yang dirancang bagi peretas untuk mempelajari teknik serangan mereka.

Honeypots memberi kita dua keuntungan. pertama, mereka membantu kami mempelajari serangan untuk mengamankan perangkat atau jaringan produksi kami dengan benar. Kedua, dengan menempatkan honeypots simulasi kerentanan di sebelah perangkat atau jaringan produksi, kami menjauhkan perhatian peretas dari perangkat yang dilindungi. Mereka akan merasa lebih tertarik pada honeypots yang mensimulasikan lubang keamanan yang dapat mereka manfaatkan.

Jenis pot madu:

Honeypot Produksi.
Jenis honeypot ditempatkan pada jaringan produksi untuk mengumpulkan informasi tentang teknik yang digunakan untuk menyerang sistem dalam infrastruktur. Jenis honeypot ini menawarkan berbagai kemampuan, mulai dari menempatkan honeypot di area jaringan tertentu hingga mendeteksi upaya internal oleh pengguna jaringan yang sah untuk mengakses sumber daya yang tidak sah atau dilarang hingga mengkloning situs atau layanan yang identik. asli sebagai umpan. Masalah terbesar dengan jenis honeypot ini adalah memungkinkan lalu lintas berbahaya antara yang sah.

Sarang lebah pembangunan.
Jenis honeypot ini dirancang untuk mengumpulkan lebih banyak informasi tentang tren peretasan, target yang diinginkan penyerang, dan asal serangan. Informasi ini dianalisis lebih lanjut untuk proses pengambilan keputusan terkait penerapan langkah-langkah keamanan.
Keuntungan utama dari pot madu jenis ini adalah bertentangan dengan produksi. Honeypots Development Honeypots terletak di jaringan independen yang didedikasikan untuk penelitian; sistem yang rentan ini diisolasi dari lingkungan produksi, mencegah serangan dari honeypot itu sendiri. Kelemahan utamanya adalah jumlah sumber daya yang dibutuhkan untuk mengimplementasikannya.

Ada 3 subkategori atau jenis klasifikasi honeypot berbeda yang ditentukan oleh tingkat interaksi dengan penyerang.

Honeypot interaksi rendah.

Honeypot menyamar sebagai layanan, aplikasi, atau sistem yang rentan. Ini sangat mudah diatur, tetapi terbatas dalam mengumpulkan informasi. Beberapa contoh pot madu jenis ini adalah:

• Jebakan maduitu dirancang untuk memantau serangan terhadap layanan jaringan; tidak seperti honeypot lain yang fokus menangkap malware, honeypot jenis ini dirancang untuk menangkap eksploitasi.
• Sesuatu yg memberi ketenanganmeniru kerentanan yang diketahui untuk mengumpulkan informasi tentang potensi serangan; itu dirancang untuk meniru kerentanan yang digunakan worm untuk menyebar, dan kemudian Nephentes menangkap kode mereka untuk analisis lebih lanjut.
• MaduC:. mengidentifikasi server web jahat dalam jaringan dengan meniru klien yang berbeda dan mengumpulkan respons server saat menanggapi permintaan.
• SayangD:Adalah daemon yang membuat host virtual di dalam jaringan yang dapat dikonfigurasi untuk menjalankan layanan sewenang-wenang yang mensimulasikan kinerja pada OS yang berbeda.
• Glastoppfmensimulasikan ribuan kerentanan yang dirancang untuk mengumpulkan informasi tentang serangan terhadap aplikasi web. Mudah diatur dan sekali diindeks oleh mesin pencari. itu menjadi target yang menarik bagi para peretas.

Honeypot Interaksi Rata-Rata.

Dalam skenario ini, honeypot tidak hanya untuk mengumpulkan informasi; adalah aplikasi yang dirancang untuk berkomunikasi dengan penyerang sambil mencatat aktivitas interaksi secara mendalam; itu mensimulasikan target yang dapat menawarkan semua respons yang diharapkan kepada penyerang; Beberapa pot madu jenis ini adalah:

• Cowrie. ssh dan telnet honeypot yang mencatat serangan brute force dan interaksi hacker shell. Itu mengemulasi OS Unix dan bekerja sebagai proxy untuk merekam aktivitas penyerang. Setelah bagian ini, Anda dapat menemukan petunjuk untuk mengimplementasikan Cowrie.
• sticker_elephantitu adalah honeypot PostgreSQL.
• PikatVersi perbaikan dari honeypot-wasp dengan permintaan kredensial palsu yang dirancang untuk situs dengan halaman login publik untuk admin, seperti /wp-admin untuk situs WordPress.

Honeypot interaksi tinggi.

Dalam skenario ini, honeypot tidak hanya untuk mengumpulkan informasi; adalah aplikasi yang dirancang untuk berkomunikasi dengan penyerang sambil mencatat aktivitas interaksi secara mendalam; itu mensimulasikan target yang dapat menawarkan semua respons yang diharapkan kepada penyerang; Beberapa pot madu jenis ini adalah:

• SebekBekerja sebagai HIDS (Sistem Deteksi Intrusi Berbasis Host) yang memungkinkan Anda mengumpulkan informasi tentang aktivitas sistem. Ini adalah alat server-klien yang mampu menyebarkan honeypots di Linux, Unix, dan Windows yang mengumpulkan dan mengirimkan informasi yang terkumpul ke server.
• Honey Bowdapat diintegrasikan dengan honeypot interaksi rendah untuk meningkatkan pengumpulan informasi.
• HI-HAT (Alat Analisis Honeypot Interaksi Tinggi)Mengubah file PHP menjadi honeypots yang sangat interaktif dengan antarmuka web yang tersedia untuk memantau informasi.
• Tangkap-HPC:Mirip dengan HoneyC, ini mengidentifikasi server jahat dengan berkomunikasi dengan klien melalui mesin virtual khusus dan mencatat perubahan yang tidak sah.

Di bawah ini adalah contoh kerja rata-rata interaksi Honeypot.

Menyebarkan Cowrie untuk mengumpulkan data tentang serangan SSH.

Seperti yang dinyatakan sebelumnya, Cowrie adalah honeypot yang digunakan untuk mencatat informasi tentang serangan yang ditargetkan pada layanan ssh. Cowrie menyamar sebagai server ssh yang rentan yang memungkinkan penyerang masuk ke terminal palsu, mensimulasikan serangan yang berhasil sambil mencatat aktivitas penyerang.

Agar Cowrie mensimulasikan server rentan palsu, kita perlu menetapkannya ke port 22. Jadi kita perlu mengubah port ssh kita yang sebenarnya dengan mengedit file tersebut. /etc/ssh/sshd_config seperti yang ditunjukkan di bawah ini.

Edit baris dan ubah ke port antara 49152 dan 65535.

Mulai ulang dan periksa apakah layanan berfungsi dengan benar.

Instal semua perangkat lunak yang diperlukan untuk langkah selanjutnya pada distribusi Linux berbasis Debian:

Tambahkan pengguna non-istimewa bernama cowrie dengan menjalankan perintah di bawah ini.

Pada distribusi Linux berbasis Debian, instal authbind dengan menjalankan perintah berikut:

Jalankan perintah di bawah ini.

Ubah kepemilikan dengan menjalankan perintah di bawah ini.

Ubah izin.

Masuk sebagai menutupi

Pergi ke direktori home Cowrie.

Unduh honeypot cowrie menggunakan git seperti yang ditunjukkan di bawah ini.

Pindah ke direktori Cowrie.

Buat file konfigurasi baru berdasarkan default dengan menyalinnya dari file /etc/cowrie.cfg.dist ke cowrie.cfg dengan menjalankan perintah di bawah ini di direktori Cowrie/

Edit file yang dibuat.

Temukan baris di bawah ini.

Edit baris tersebut dengan mengganti port 2222 dengan port 22 seperti gambar di bawah ini.

Simpan dan keluar dari nano.

Jalankan perintah di bawah ini untuk membuat lingkungan python:

Aktifkan lingkungan virtual.

Perbarui pip dengan menjalankan perintah berikut:

Instal semua persyaratan dengan menjalankan perintah berikut:

Jalankan cowrie dengan perintah berikut:

Jalankan untuk memverifikasi bahwa honeypot mendengarkan.

Upaya untuk mengakses port 22 sekarang akan dicatat di file var/log/cowrie/cowrie.log di direktori cowrie.

Seperti yang dikatakan sebelumnya, Anda dapat menggunakan Honeypot untuk membuat shell rentan palsu. Cowries menyertakan file tempat Anda dapat menentukan “pengguna yang diizinkan” untuk mengakses shell. Ini adalah daftar nama pengguna dan kata sandi yang dapat digunakan peretas untuk mengakses shell palsu.

Format menu ditunjukkan pada gambar di bawah ini.

Anda dapat mengganti nama daftar Cowrie default untuk tujuan pengujian dengan menjalankan perintah di bawah ini dari direktori cowries. Ini akan memungkinkan pengguna untuk masuk sebagai root menggunakan kata sandi akar atau 123456.

Hentikan dan mulai ulang Cowrie dengan menjalankan perintah di bawah ini:

Sekarang uji dengan mencoba masuk melalui ssh menggunakan nama pengguna dan kata sandi yang disertakan dengannya userdb.txt: Daftar.

Seperti yang Anda lihat, Anda akan memiliki akses ke shell palsu. Dan semua operasi di shell ini dapat dipantau dari log Cowrie seperti yang ditunjukkan di bawah ini.

Seperti yang Anda lihat, Cowrie berhasil dieksekusi. Anda dapat mempelajari lebih lanjut tentang Cowrie di https://github.com/cowrie/ .

Kesimpulan:

Menerapkan honeypots bukanlah ukuran keamanan yang umum, tetapi seperti yang Anda lihat, ini adalah cara yang bagus untuk memperketat keamanan jaringan. Pengenalan honeypots adalah bagian penting dari pengumpulan data yang ditujukan untuk meningkatkan keamanan dengan mengubah peretas menjadi kolaborator dengan mengungkap aktivitas, teknik, kredensial, dan target mereka. Ini juga merupakan cara yang buruk untuk memberikan informasi palsu kepada peretas.

Jika Anda tertarik dengan Honeypots, mungkin IDS (Sistem Deteksi Intrusi) mungkin menarik bagi Anda; Kami memiliki beberapa tutorial menarik tentang mereka di LinuxHint.

Saya harap Anda menemukan artikel tentang Honeypots dan Honeynets ini bermanfaat. Nantikan Tinjauan Linux untuk tips dan tutorial Linux lainnya.