Hunajapurkki

Honeypot ( englanniksi - "pot of honey") on resurssi, joka on syötti tunkeutujille.

Honeypotin tehtävänä on hyökätä tai luvaton tutkimus, jonka avulla voit myöhemmin tutkia hyökkääjän strategiaa ja määrittää luettelon keinoista, joilla tosielämän turvaobjekteihin voidaan lyödä. Honeypot-toteutus voi olla joko oma palvelin tai yksittäinen verkkopalvelu, jonka tehtävänä on kiinnittää hakkereiden huomio .

Hunajaruukku on resurssi, joka ei tee mitään vaikuttamatta siihen. Honeypot kerää pienen määrän tietoa analysoituaan, mitkä tilastot perustuvat krakkareiden käyttämiin menetelmiin sekä mahdollisten uusien ratkaisujen olemassaoloon, joita myöhemmin käytetään taistelussa niitä vastaan.

Esimerkiksi verkkopalvelimella , jolla ei ole nimeä ja joka on käytännössä kenellekään tuntematon, ei pitäisi siksi olla vieraita käyttämässä sitä, joten kaikki siihen murtautuvat henkilöt ovat mahdollisia hakkereita. Honeypot kerää tietoa näiden kekseliöiden käyttäytymisestä ja niiden vaikutuksesta palvelimeen . Sen jälkeen tietoturvaasiantuntijat kehittävät strategioita tunkeilijoiden hyökkäysten torjumiseksi.

Ulkoasuhistoria

Honeypot ilmestyi ensimmäisten tietokonetunkeilijoiden kanssa. Hunajaruukut ovat vähintään 20 vuotta vanhoja[ selventää ] niiden luomista ja toteuttamista kehitettiin rinnakkain IDS - tutkimuksen kanssa .

Ensimmäinen dokumentoitu viite oli Clifford Stollin kirja "The Cuckoo's Egg", joka on kirjoitettu vuonna 1990. Kymmenen vuotta myöhemmin, vuonna 2000, hunajaruukuista tuli kaikkialla esiintyviä houkutusjärjestelmiä.

Myöhemmin IDS ja honeypot ovat yksi kokonaisuus yrityksen tietoturvan varmistamiseksi .

Vaihtoehtoiset puolustusmenetelmät

Hunajaruukun ulkopuolella tällä hetkellä[ milloin? ] tietokoneverkkojen suojaamiseen käytetään seuraavia keinoja: honeynet, honeytoken, pehmustettu solu , IDS, IPS. Kaksi viimeistä eivät sovi hunajaruukun määritelmään - ne eivät ole hunajaruukkuja, vaan tunkeutumisen havaitsemis- ja estojärjestelmiä . Samanaikaisesti IDS, tunkeutumisen havainnointijärjestelmä, joka kirjaa kaikki luvattomat yhteydet kohdejärjestelmään, tulee lähimpänä honeypot-konseptia.

Padded Cell on eräänlainen hiekkalaatikkosyötti. Joutuessaan siihen, hyökkääjä ei voi aiheuttaa haittaa järjestelmälle, koska. hän on jatkuvasti eristyksissä.

Honeynet on honeypot-verkosto, katso alla.

Joka tapauksessa, riippumatta siitä, mikä suojausjärjestelmä on asennettu, siinä pitäisi olla syöttinä väärennettyjä tietoja, ei alkuperäistä.

Hunajaruukun tyypit

On olemassa omistetuille palvelimille rakennettuja honeypotteja ja ohjelmistoemuloituja honeypotteja .

Omalle palvelimelle asennettuna Honeypotin avulla voit tuoda sen mahdollisimman lähelle todellista palvelinta, jonka roolia se suorittaa ( tietopalvelin , sovelluspalvelin , välityspalvelin ).

Emuloitu hunajapotti palautuu nopeasti, kun se hakkeroidaan, ja se on myös selvästi erotettu pääkäyttöjärjestelmästä . Se voidaan luoda virtuaalikoneella tai Honeydilla .

Niiden välinen ero on verkon laajuus. Jos kyseessä on esimerkiksi pieni toimistoverkko, ei ole kovin järkevää asentaa erillistä palvelinta verkkoon epäilyttävien tapahtumien kirjaamiseksi. Täällä riittää rajoittuminen virtuaaliseen järjestelmään tai jopa yhteen virtuaaliseen palveluun. Suurissa organisaatioissa käytetään omistettuja palvelimia, joissa on täysin toistetut verkkopalvelut. Yleensä tällaiset palvelut on määritetty väärin tarkoituksella, jotta hyökkääjä voi onnistuneesti murtautua järjestelmään. Tämä on hunajaruukun pääidea - houkutella tunkeilija.

Honeypotin edut

Honeypot-tekniikat tarjoavat analyytikoille useita etuja:

mielekkään tiedon kerääminen;
vaatimaton järjestelmäresursseille;
asennuksen, konfiguroinnin ja käytön helppous;
käyttötarpeen näkyvyyttä.

Honeypotin haitat

Honeypot-tiloilla on useita haittoja. Honeypots eivät korvaa turvamekanismeja; ne vain toimivat ja laajentavat yleistä suojausarkkitehtuuria.

Tärkeimmät Honeypot-varojen ongelmat ovat:

rajoitettu näkökenttä;
mahdollisuus paljastaa Honeypot;
riski hunajapotin hakkerointiin ja kolmansien osapuolien isäntähyökkäykseen.

Hunajaruukun sijainti

Erilaiset honeypot-sijoittelut auttavat antamaan täydellisen kuvan hyökkääjän taktiikoista. Hunajapotin sijoittaminen paikalliseen verkkoon antaa käsityksen verkon sisältä tulevista hyökkäyksistä, ja sen sijoittaminen julkisille palvelimille tässä verkossa tai DMZ:ssä antaa käsityksen turvattomiin verkkopalveluihin, kuten sähköpostipalveluihin, kohdistuvista hyökkäyksistä. , SMB , ftp- palvelimet jne.

honeypot on LAN

honeypot voidaan asentaa paikallisen verkon sisään ( palomuurin jälkeen ) - eli paikallisen verkon tietokoneisiin ja palvelimiin. Jos verkon etähallintaa ei suoriteta, kaikki saapuva ssh -liikenne tulee ohjata honeypottiin. Kun verkkoliikennettä vastaanotetaan , houkutusjärjestelmän on kirjattava kaikki tapahtumat ja alhaisella tasolla. Honeypot ei ole yksinkertainen ohjelma, joka kirjoittaa palvelinlokeja. Jos hyökkääjä pääsi palvelimelle, hänen ei ole vaikeaa poistaa kaikkia lokeja. Ihannetapauksessa kaikki järjestelmän tapahtumat tulisi tallentaa ydintasolla.

honeypot in DMZ

DMZ tai DMZ isännöi julkisia palvelimia. Se voi olla esimerkiksi verkkopalvelin tai sähköpostipalvelin . Koska tällaisten palvelimien läsnäolo herättää usein roskapostittajien ja hakkereiden huomion, on tarpeen varmistaa heidän tietonsa. Honeypotin asentaminen DMZ-palvelimille on yksi ratkaisu tähän ongelmaan.

Jos sinulla ei ole omaa verkkopalvelinta, voit emuloida verkkopalveluita ohjelmistojen honeypottien avulla. Niiden avulla voit toistaa tarkasti olemattoman verkkopalvelimen todellisuudessa ja houkutella tunkeilijaa. Sähköpostin ja muiden verkkopalvelujen emulointia rajoittaa vain tietyn ohjelmistoratkaisun valinta.

Verkkoa, jossa on kaksi, kolme tai useampia hunajaruukkuja, kutsutaan määritelmän mukaan hunajaverkoksi. Sitä voidaan rajoittaa toimivasta verkosta. Hunajaverkkoon tuleva ohjausliikenne on vangittava hunajaverkkoloukuilla.

Honeypot-toteutukset

Kaikki tunnetut hunajaruukut voidaan jakaa kahteen luokkaan - avoimiin ja kaupallisiin

avata	kaupallinen
Bubblegum Proxypot	Patriot Box
Jättipotti	KFS-sensori
BackOfficer ystävällinen	Netbait
Bait-n-Switch (linkki ei saatavilla)	ManTrap
isosilmäinen	Peikko
hunajaverkko	Honeypot Manager
Deception Toolkit
LaBrea Tarpit
Honeyd
Sendmail SPAM Trap
Pieni hunajapotti

Seuraavassa on lyhyt selostus joistakin toteutuksista.

	Kommentti
Deception Toolkit	ensimmäinen avoimen lähdekoodin hunajapotti, päivätty 1997
hunajaverkko	emuloi erilaisia verkkopalveluita
BackOfficer ystävällinen	honeypot Windows-käyttöjärjestelmälle , voidaan käyttää HIPS -muodossa
Honeyd	matalan tason honeypot Linuxille , joka pystyy emuloimaan satoja käyttöjärjestelmiä
Bubblegum Proxypot	avoimen lähdekoodin honeypot, jota käytetään roskapostittajia vastaan
Peikko	kaupallinen matalan tason honeypot Windows-käyttöjärjestelmälle. Emuloi 13 eri käyttöjärjestelmää.
Honeypot Manager	kaupallinen hunajaruukku. Emuloi palvelinta, johon on asennettu Oracle DBMS.

Linkit

Honeypot-ratkaisut

Haittaohjelma
Tarttuva haittaohjelma	Tietokonevirus verkkomato troijalainen käynnistysvirus Erä virus Tarina
Piilotusmenetelmät	Takaovi Tiputin Kirjanmerkki Cryptor zombie tietokone Polymorfismi rootkit
Haittaohjelma voittoa varten	Adware Yksityisyyttä loukkaava ohjelmisto Ransomware ( Trojan.Winlock ) Vakoiluohjelma Bot Bottiverkko Web-uhat Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno Dialer
Käyttöjärjestelmien mukaan	Linuxin haittaohjelma Virukset Palm OS:lle Makrovirus mobiili virus
Suojaus	Puolustava laskenta Virustentorjuntaohjelma Palomuuri Tunkeutumisen tunnistusjärjestelmä Tietovuotojen ehkäisy Antivirusten aikajana
Vastatoimenpiteet	Anti Spyware Coalition tietokonevalvonta hunajapurkki Käyttö: Bot Roast