ส่วนหนึ่งของงานของผู้เชี่ยวชาญด้านไอทีด้านความปลอดภัยคือการเรียนรู้เกี่ยวกับประเภทของการโจมตีหรือเทคนิคที่แฮกเกอร์ใช้โดยการรวบรวมข้อมูลสำหรับการวิเคราะห์ในภายหลังเพื่อประเมินลักษณะการพยายามโจมตี บางครั้งการรวบรวมข้อมูลนี้กระทำโดยใช้เหยื่อล่อหรือตัวล่อที่ออกแบบมาเพื่อลงทะเบียนกิจกรรมที่น่าสงสัยของผู้โจมตีที่อาจกระทำการโดยไม่ทราบว่ากิจกรรมของพวกเขากำลังถูกตรวจสอบ ในการรักษาความปลอดภัยด้านไอที เหยื่อล่อเหล่านี้เรียกว่า หม้อน้ำผึ้ง .
honeypots และ honeynets คืออะไร:
ถึง หม้อน้ำผึ้ง อาจเป็นแอปพลิเคชั่นจำลองเป้าหมายซึ่งเป็นเครื่องบันทึกกิจกรรมของผู้โจมตีจริงๆ Honeypots หลายอันที่จำลองบริการ อุปกรณ์ และแอปพลิเคชันต่างๆ เป็นตัวกำหนด สายน้ำผึ้ง .
Honeypots และ Honeynets ไม่จัดเก็บข้อมูลที่ละเอียดอ่อน แต่เก็บข้อมูลปลอมที่น่าดึงดูดแก่ผู้โจมตีเพื่อให้พวกเขาสนใจ Honeypots กล่าวอีกนัยหนึ่ง Honeynets กำลังพูดถึงกับดักแฮ็กเกอร์ที่ออกแบบมาเพื่อเรียนรู้เทคนิคการโจมตี
Honeypot ให้ประโยชน์สองประการแก่เรา: ประการแรกช่วยให้เราเรียนรู้การโจมตีเพื่อรักษาความปลอดภัยอุปกรณ์การผลิตหรือเครือข่ายของเราอย่างเหมาะสม ประการที่สอง โดยการรักษา honeypots ที่จำลองช่องโหว่ไว้ข้างๆ อุปกรณ์ที่ใช้งานจริงหรือเครือข่าย เราป้องกันไม่ให้แฮ็กเกอร์สนใจอุปกรณ์ที่มีการรักษาความปลอดภัย พวกเขาจะพบว่า honeypots ที่น่าดึงดูดยิ่งขึ้นซึ่งจำลองช่องโหว่ด้านความปลอดภัยที่พวกเขาสามารถใช้ประโยชน์ได้
ประเภท Honeypot:
การผลิต Honeypots:
honeypot ประเภทนี้ได้รับการติดตั้งในเครือข่ายการผลิตเพื่อรวบรวมข้อมูลเกี่ยวกับเทคนิคที่ใช้โจมตีระบบภายในโครงสร้างพื้นฐาน honeypot ประเภทนี้มีความเป็นไปได้หลากหลาย ตั้งแต่ตำแหน่งของ honeypot ภายในส่วนเครือข่ายเฉพาะ เพื่อตรวจจับความพยายามภายในโดยผู้ใช้เครือข่ายที่ถูกต้องตามกฎหมายในการเข้าถึงทรัพยากรที่ไม่ได้รับอนุญาตหรือต้องห้ามไปยังโคลนของเว็บไซต์หรือบริการที่เหมือนกันกับ เดิมเป็นเหยื่อล่อ ปัญหาที่ใหญ่ที่สุดของ honeypot ประเภทนี้คือการอนุญาตทราฟฟิกที่เป็นอันตรายระหว่างคนที่ถูกกฎหมาย
การพัฒนา honeypots:
honeypot ประเภทนี้ออกแบบมาเพื่อรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับแนวโน้มการแฮ็ก เป้าหมายที่ผู้โจมตีต้องการ และแหล่งที่มาของการโจมตี ข้อมูลนี้จะถูกวิเคราะห์ในภายหลังสำหรับกระบวนการตัดสินใจเกี่ยวกับการดำเนินการตามมาตรการรักษาความปลอดภัย
ข้อได้เปรียบหลักของ honeypots ประเภทนี้คือตรงกันข้ามกับการผลิต การพัฒนา honeypots honeypots ตั้งอยู่ในเครือข่ายอิสระที่อุทิศให้กับการวิจัย ระบบที่เปราะบางนี้แยกออกจากสภาพแวดล้อมการผลิตเพื่อป้องกันการโจมตีจาก honeypot ข้อเสียเปรียบหลักคือจำนวนทรัพยากรที่จำเป็นในการนำไปใช้
มี 3 หมวดหมู่ย่อยหรือประเภทการจำแนกประเภทย่อยของ honeypot ที่กำหนดโดยระดับการโต้ตอบที่มีกับผู้โจมตี
Honeypots โต้ตอบต่ำ:
Honeypot เลียนแบบบริการ แอพ หรือระบบที่มีช่องโหว่ ตั้งค่าได้ง่ายมากแต่มีข้อจำกัดในการรวบรวมข้อมูล ตัวอย่างของ honeypots ประเภทนี้คือ:
- กับดักน้ำผึ้ง : ออกแบบมาเพื่อสังเกตการโจมตีบริการเครือข่าย ตรงกันข้ามกับ honeypots อื่น ๆ ที่เน้นการจับมัลแวร์ honeypot ประเภทนี้ออกแบบมาเพื่อดักจับช่องโหว่
- Nephentes : จำลองช่องโหว่ที่รู้จักเพื่อรวบรวมข้อมูลเกี่ยวกับการโจมตีที่เป็นไปได้ มันถูกออกแบบมาเพื่อเลียนแบบช่องโหว่ที่เวิร์มหาประโยชน์เพื่อเผยแพร่ จากนั้น Nephentes จะรวบรวมรหัสสำหรับการวิเคราะห์ในภายหลัง
- น้ำผึ้งC : ระบุเว็บเซิร์ฟเวอร์ที่เป็นอันตรายภายในเครือข่ายโดยจำลองไคลเอนต์ที่แตกต่างกันและรวบรวมการตอบสนองของเซิร์ฟเวอร์เมื่อตอบกลับคำขอ
- น้ำผึ้งD : เป็นภูตที่สร้างโฮสต์เสมือนภายในเครือข่ายที่สามารถกำหนดค่าให้เรียกใช้บริการที่กำหนดเองโดยจำลองการดำเนินการในระบบปฏิบัติการที่แตกต่างกัน
- Glastopf : จำลองช่องโหว่นับพันที่ออกแบบมาเพื่อรวบรวมข้อมูลการโจมตีจากเว็บแอปพลิเคชัน ตั้งค่าได้ง่าย และเมื่อสร้างดัชนีโดยเครื่องมือค้นหาแล้ว มันกลายเป็นเป้าหมายที่น่าดึงดูดสำหรับแฮกเกอร์
Honeypots ปฏิสัมพันธ์ปานกลาง:
ในสถานการณ์สมมตินี้ Honeypots ไม่ได้ออกแบบมาเพื่อรวบรวมข้อมูลเท่านั้น เป็นแอปพลิเคชั่นที่ออกแบบมาเพื่อโต้ตอบกับผู้โจมตีในขณะที่ลงทะเบียนกิจกรรมการโต้ตอบอย่างละเอียดถี่ถ้วน มันจำลองเป้าหมายที่สามารถให้คำตอบทั้งหมดที่ผู้โจมตีคาดหวัง honeypots ประเภทนี้ ได้แก่ :
- Cowrie: honeypot ssh และ telnet ซึ่งบันทึกการโจมตีด้วยกำลังเดรัจฉานและการโต้ตอบกับเชลล์ของแฮ็กเกอร์ มันจำลองระบบปฏิบัติการ Unix และทำงานเป็นพร็อกซีเพื่อบันทึกกิจกรรมของผู้โจมตี หลังจากส่วนนี้ คุณจะพบคำแนะนำสำหรับการใช้งาน Cowrie
- Sticky_elephant : เป็น honeypot ของ PostgreSQL
- แตน : เวอร์ชันปรับปรุงของ honeypot-wasp ที่มีข้อมูลประจำตัวปลอม ออกแบบมาสำหรับเว็บไซต์ที่มีหน้าเข้าสู่ระบบการเข้าถึงแบบสาธารณะสำหรับผู้ดูแลระบบ เช่น /wp-admin สำหรับไซต์ WordPress
Honeypots ปฏิสัมพันธ์สูง:
ในสถานการณ์สมมตินี้ Honeypots ไม่ได้ออกแบบมาเพื่อรวบรวมข้อมูลเท่านั้น เป็นแอปพลิเคชั่นที่ออกแบบมาเพื่อโต้ตอบกับผู้โจมตีในขณะที่ลงทะเบียนกิจกรรมการโต้ตอบอย่างละเอียดถี่ถ้วน มันจำลองเป้าหมายที่สามารถให้คำตอบทั้งหมดที่ผู้โจมตีคาดหวัง honeypots ประเภทนี้ ได้แก่ :
- บาดแผล : ทำงานเป็น HIDS (Host-based Intrusion Detection System) ทำให้สามารถดักจับข้อมูลเกี่ยวกับกิจกรรมของระบบ นี่คือเครื่องมือเซิร์ฟเวอร์-ไคลเอนต์ที่สามารถปรับใช้ honeypots บน Linux, Unix และ Windows ที่ดักจับและส่งข้อมูลที่รวบรวมไปยังเซิร์ฟเวอร์
- ฮันนี่โบว์ : สามารถรวมเข้ากับ honeypots ที่มีปฏิสัมพันธ์ต่ำเพื่อเพิ่มการรวบรวมข้อมูล
- HI-HAT (ชุดเครื่องมือวิเคราะห์ Honeypot แบบโต้ตอบสูง) : แปลงไฟล์ PHP เป็น honeypots ที่มีปฏิสัมพันธ์สูงด้วยเว็บอินเตอร์เฟสที่พร้อมใช้งานเพื่อตรวจสอบข้อมูล
- จับภาพ-HPC : คล้ายกับ HoneyC ระบุเซิร์ฟเวอร์ที่เป็นอันตรายโดยการโต้ตอบกับไคลเอนต์โดยใช้เครื่องเสมือนเฉพาะและลงทะเบียนการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต
ด้านล่างนี้ คุณจะพบตัวอย่างการใช้งานจริงของ honeypot ที่มีปฏิสัมพันธ์ปานกลาง
ปรับใช้ Cowrie เพื่อรวบรวมข้อมูลเกี่ยวกับการโจมตี SSH:
ดังที่ได้กล่าวไว้ก่อนหน้านี้ Cowrie เป็น honeypot ที่ใช้ในการบันทึกข้อมูลการโจมตีที่กำหนดเป้าหมายบริการ ssh Cowrie จำลองเซิร์ฟเวอร์ ssh ที่มีช่องโหว่ โดยอนุญาตให้ผู้โจมตีเข้าถึงเทอร์มินัลปลอม จำลองการโจมตีที่ประสบความสำเร็จในขณะที่บันทึกกิจกรรมของผู้โจมตี
เพื่อให้ Cowrie จำลองเซิร์ฟเวอร์ปลอมที่มีช่องโหว่ เราจำเป็นต้องกำหนดให้กับพอร์ต 22 ดังนั้น เราจำเป็นต้องเปลี่ยนพอร์ต ssh จริงของเราด้วยการแก้ไขไฟล์ /etc/ssh/sshd_config ดังที่แสดงด้านล่าง
sudo นาโน /ฯลฯ/ssh/sshd_configแก้ไขบรรทัดและเปลี่ยนเป็นพอร์ตระหว่าง 49152 ถึง 65535
ท่าเรือ22 
รีสตาร์ทและตรวจสอบว่าบริการทำงานอย่างถูกต้อง:
sudosystemctl รีสตาร์ทsshsudoสถานะ systemctlssh
ติดตั้งซอฟต์แวร์ที่จำเป็นทั้งหมดสำหรับขั้นตอนต่อไป โดยรันการแจกจ่าย Linux ที่ใช้ Debian:
sudoฉลาดติดตั้ง -และpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3- authbind ขั้นต่ำไป 
เพิ่มผู้ใช้ที่ไม่มีสิทธิพิเศษชื่อ cowrie โดยเรียกใช้คำสั่งด้านล่าง
sudoadduser--disabled-รหัสผ่านเบี้ย 
บนลีนุกซ์ที่ใช้ Debian ติดตั้ง authbind โดยรันคำสั่งต่อไปนี้:
sudoฉลาดติดตั้งเอกสารรับรองความถูกต้องเรียกใช้คำสั่งด้านล่าง
sudo สัมผัส /ฯลฯ/เอกสารรับรองความถูกต้อง/บายพอร์ต/22เปลี่ยนความเป็นเจ้าของโดยเรียกใช้คำสั่งด้านล่าง
sudo chowncowrie: cowrie/ฯลฯ/เอกสารรับรองความถูกต้อง/บายพอร์ต/22เปลี่ยนการอนุญาต:
sudo chmod 770 /ฯลฯ/เอกสารรับรองความถูกต้อง/บายพอร์ต/22 
เข้าสู่ระบบในฐานะ เบี้ย
sudo ของมันเบี้ยไปที่โฮมไดเร็กตอรี่ของ cowrie
ซีดี~ดาวน์โหลด cowrie honeypot โดยใช้ git ดังที่แสดงด้านล่าง
git โคลนhttps://github.com/micheloosterhof/เบี้ยย้ายไปที่ไดเรกทอรี cowrie
ซีดีเบี้ย/ 
สร้างไฟล์การกำหนดค่าใหม่ตามค่าเริ่มต้นโดยการคัดลอกจากไฟล์ /etc/cowrie.cfg.dist to cowrie.cfg โดยเรียกใช้คำสั่งที่แสดงด้านล่างภายในไดเรกทอรีของ cowrie/
cpฯลฯ/cowrie.cfg.dist เป็นต้น/cowrie.cfg 
แก้ไขไฟล์ที่สร้างขึ้น:
นาโนฯลฯ/cowrie.cfgค้นหาบรรทัดด้านล่าง
Listen_endpoints = tcp:2222:อินเตอร์เฟซ= 0.0.0.0แก้ไขบรรทัดแทนที่พอร์ต 2222 ด้วย 22 ดังที่แสดงด้านล่าง
Listen_endpoints = tcp:22:อินเตอร์เฟซ= 0.0.0.0 
บันทึกและออกจากนาโน
เรียกใช้คำสั่งด้านล่างเพื่อสร้างสภาพแวดล้อมหลาม:
virtualenv cowrie-env 
เปิดใช้งานสภาพแวดล้อมเสมือน
แหล่งที่มาcowrie-env/เป็น/เปิดใช้งาน 
อัปเดต pip โดยรันคำสั่งต่อไปนี้
pipติดตั้ง --อัพเกรดpip 
ติดตั้งข้อกำหนดทั้งหมดโดยใช้คำสั่งต่อไปนี้
pipติดตั้ง --upgraderข้อกำหนด.txt 
เรียกใช้ cowrie ด้วยคำสั่งต่อไปนี้:
เป็น/cowrie เริ่มต้น 
ตรวจสอบว่า honeypot กำลังฟังอยู่โดยวิ่ง
netstat -ดังนั้น 
ตอนนี้ ความพยายามในการเข้าสู่ระบบพอร์ต 22 จะถูกบันทึกไว้ในไฟล์ var/log/cowrie/cowrie.log ภายในไดเรกทอรีของ cowrie
ดังที่กล่าวไว้ก่อนหน้านี้ คุณสามารถใช้ Honeypot เพื่อสร้างเปลือกที่เปราะบางปลอมได้ Cowries รวมไฟล์ที่คุณสามารถกำหนดผู้ใช้ที่ได้รับอนุญาตให้เข้าถึงเชลล์ได้ นี่คือรายการชื่อผู้ใช้และรหัสผ่านที่แฮ็กเกอร์สามารถเข้าถึงเชลล์ปลอมได้
รูปแบบรายการแสดงในภาพด้านล่าง:
คุณสามารถเปลี่ยนชื่อรายการเริ่มต้นของ cowrie เพื่อการทดสอบโดยเรียกใช้คำสั่งด้านล่างจากไดเร็กทอรี cowries โดยการทำเช่นนั้น ผู้ใช้จะสามารถเข้าสู่ระบบในฐานะรูทโดยใช้รหัสผ่าน ราก หรือ 123456 .
mvฯลฯ/userdb.example เป็นต้น/userdb.txt 
หยุดและรีสตาร์ท Cowrie โดยเรียกใช้คำสั่งด้านล่าง:
เป็น/คาวบอยหยุดเป็น/cowrie เริ่มต้น
ตอนนี้ทดสอบพยายามเข้าถึงผ่าน ssh โดยใช้ชื่อผู้ใช้และรหัสผ่านที่รวมอยู่ใน userdb.txt รายการ.
อย่างที่คุณเห็น คุณจะเข้าถึงเปลือกปลอม และกิจกรรมทั้งหมดที่ทำในเปลือกนี้สามารถตรวจสอบได้จากบันทึกของ cowrie ดังที่แสดงด้านล่าง
อย่างที่คุณเห็น Cowrie ประสบความสำเร็จในการใช้งาน คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ Cowrie ได้ที่ https://github.com/cowrie/ .
บทสรุป:
การใช้ Honeypots ไม่ใช่มาตรการรักษาความปลอดภัยทั่วไป แต่อย่างที่คุณเห็น มันเป็นวิธีที่ดีในการทำให้ความปลอดภัยเครือข่ายแข็งแกร่งขึ้น การใช้ Honeypots เป็นส่วนสำคัญของการรวบรวมข้อมูลที่มีเป้าหมายเพื่อปรับปรุงความปลอดภัย โดยเปลี่ยนแฮ็กเกอร์ให้เป็นผู้ทำงานร่วมกันโดยเปิดเผยกิจกรรม เทคนิค ข้อมูลประจำตัว และเป้าหมายของพวกเขา นอกจากนี้ยังเป็นวิธีที่น่าเกรงขามในการให้ข้อมูลปลอมแก่แฮกเกอร์
หากคุณสนใจ Honeypots อาจเป็นเพราะ IDS (ระบบตรวจจับการบุกรุก) อาจน่าสนใจสำหรับคุณ ที่ LinuxHint เรามีบทช่วยสอนที่น่าสนใจสองสามข้อเกี่ยวกับพวกเขา:
- กำหนดค่า Snort IDS และสร้างกฎ
- เริ่มต้นใช้งาน OSSEC (ระบบตรวจจับการบุกรุก)
ฉันหวังว่าคุณจะพบว่าบทความนี้เกี่ยวกับ Honeypots และ Honeynets มีประโยชน์ ปฏิบัติตามคำแนะนำของ Linux สำหรับเคล็ดลับและบทช่วยสอนเพิ่มเติมเกี่ยวกับ Linux