Parte del lavoro degli specialisti IT della sicurezza consiste nell'apprendere i tipi di attacchi o le tecniche utilizzate dagli hacker raccogliendo informazioni per analisi successive per valutare le caratteristiche dei tentativi di attacco. A volte questa raccolta di informazioni viene effettuata tramite esche o esche progettate per registrare l'attività sospetta di potenziali aggressori che agiscono senza sapere che la loro attività viene monitorata. Nella sicurezza informatica, queste esche o esche sono chiamate Honeypot .
Cosa sono gli honeypot e gli honeynet:
A vaso di miele potrebbe essere un'applicazione che simula un bersaglio che è in realtà un registratore dell'attività degli aggressori. Sono denominati più Honeypot che simulano più servizi, dispositivi e applicazioni Honeynets .
Honeypot e Honeynet non memorizzano informazioni sensibili ma memorizzano false informazioni attraenti per gli aggressori per interessarli agli Honeypot; Gli Honeynet, in altre parole, parlano di trappole per hacker progettate per apprendere le loro tecniche di attacco.
Gli honeypot ci offrono due vantaggi: in primo luogo, ci aiutano ad apprendere gli attacchi per proteggere adeguatamente il nostro dispositivo di produzione o la nostra rete. In secondo luogo, mantenendo gli honeypot che simulano le vulnerabilità accanto ai dispositivi o alle reti di produzione, teniamo l'attenzione degli hacker fuori dai dispositivi protetti. Troveranno più attraenti gli honeypot che simulano le falle di sicurezza che possono sfruttare.
Tipi di miele:
Honeypot di produzione:
Questo tipo di honeypot viene installato in una rete di produzione per raccogliere informazioni sulle tecniche utilizzate per attaccare i sistemi all'interno dell'infrastruttura. Questo tipo di honeypot offre un'ampia varietà di possibilità, dalla localizzazione dell'honeypot all'interno di uno specifico segmento di rete al fine di rilevare tentativi interni da parte di utenti legittimi della rete di accedere a risorse non consentite o vietate a un clone di un sito web o di un servizio, identico al originale come esca. Il problema più grande di questo tipo di honeypot è consentire il traffico dannoso tra quelli legittimi.
Honeypot di sviluppo:
Questo tipo di honeypot è progettato per raccogliere più informazioni sulle tendenze di hacking, sugli obiettivi desiderati dagli aggressori e sulle origini degli attacchi. Queste informazioni vengono successivamente analizzate per il processo decisionale sull'attuazione delle misure di sicurezza.
Il vantaggio principale di questo tipo di honeypot è, contrariamente alla produzione; sviluppo di honeypot gli honeypot si trovano all'interno di una rete indipendente dedicata alla ricerca; questo sistema vulnerabile è separato dall'ambiente di produzione prevenendo un attacco dall'honeypot stesso. Il suo principale svantaggio è il numero di risorse necessarie per implementarlo.
Esistono 3 diverse sottocategorie di honeypot o tipi di classificazione definiti dal livello di interazione che ha con gli aggressori.
Honeypot a bassa interazione:
Un Honeypot emula un servizio, un'app o un sistema vulnerabile. Questo è molto facile da configurare ma limitato quando si raccolgono informazioni; alcuni esempi di questo tipo di honeypot sono:
- Trappola di miele : è progettato per osservare gli attacchi contro i servizi di rete; contrariamente ad altri honeypot, che si concentrano sulla cattura di malware, questo tipo di honeypot è progettato per catturare exploit.
- Nephentes : emula vulnerabilità note per raccogliere informazioni su possibili attacchi; è progettato per emulare le vulnerabilità degli exploit dei worm da propagare, quindi Nephentes acquisisce il loro codice per un'analisi successiva.
- mieleC : identifica i server Web dannosi all'interno della rete emulando diversi client e raccogliendo le risposte del server quando si risponde alle richieste.
- mieleD : è un demone che crea host virtuali all'interno di una rete che può essere configurato per eseguire servizi arbitrari simulando l'esecuzione in diversi OS.
- Glastopf : emula migliaia di vulnerabilità progettate per raccogliere informazioni sugli attacchi contro le applicazioni web. È facile da configurare e una volta indicizzato dai motori di ricerca; diventa un bersaglio attraente per gli hacker.
Honeypot di interazione media:
In questo scenario, gli Honeypot non sono progettati solo per raccogliere informazioni; è un'applicazione progettata per interagire con gli aggressori registrando in modo esaustivo l'attività di interazione; simula un bersaglio in grado di offrire tutte le risposte che l'attaccante può aspettarsi; alcuni honeypot di questo tipo sono:
- Cowrie: un honeypot ssh e telnet che registra gli attacchi di forza bruta e l'interazione della shell degli hacker. Emula un sistema operativo Unix e funziona come proxy per registrare l'attività dell'attaccante. Dopo questa sezione, puoi trovare le istruzioni per l'implementazione di Cowrie.
- elefante_appiccicoso : è un honeypot PostgreSQL.
- calabrone : Una versione migliorata di honeypot-wasp con richiesta di credenziali false progettata per siti Web con pagina di accesso ad accesso pubblico per amministratori come /wp-admin per siti WordPress.
Honeypot ad alta interazione:
In questo scenario, gli Honeypot non sono progettati solo per raccogliere informazioni; è un'applicazione progettata per interagire con gli aggressori registrando in modo esaustivo l'attività di interazione; simula un bersaglio in grado di offrire tutte le risposte che l'attaccante può aspettarsi; alcuni honeypot di questo tipo sono:
- Ferite : funziona come HIDS (Host-based Intrusion Detection System), consentendo di acquisire informazioni sull'attività del sistema. Questo è uno strumento client-server in grado di distribuire honeypot su Linux, Unix e Windows che acquisiscono e inviano le informazioni raccolte al server.
- HoneyBow : può essere integrato con honeypot a bassa interazione per aumentare la raccolta di informazioni.
- HI-HAT (Toolkit di analisi Honeypot ad alta interazione) : converte i file PHP in honeypot ad alta interazione con un'interfaccia web disponibile per monitorare le informazioni.
- Cattura-HPC : simile a HoneyC, identifica i server dannosi interagendo con i client utilizzando una macchina virtuale dedicata e registrando modifiche non autorizzate.
Di seguito puoi trovare un esempio pratico di honeypot di interazione media.
Distribuzione di Cowrie per raccogliere dati sugli attacchi SSH:
Come detto in precedenza, Cowrie è un honeypot utilizzato per registrare informazioni sugli attacchi mirati al servizio ssh. Cowrie simula un server ssh vulnerabile che consente a qualsiasi aggressore di accedere a un terminale falso, simulando un attacco riuscito mentre registra l'attività dell'attaccante.
Affinché Cowrie possa simulare un falso server vulnerabile, dobbiamo assegnarlo alla porta 22. Quindi dobbiamo cambiare la nostra porta ssh reale modificando il file /etc/ssh/sshd_config come mostrato di seguito.
sudo nano /eccetera/ssh/sshd_configModifica la linea e cambiala per una porta tra 49152 e 65535.
Porta22 
Riavvia e verifica che il servizio funzioni correttamente:
sudoriavvio systemctlsshsudostato systemctlssh
Installa tutto il software necessario per i passaggi successivi, su distribuzioni Linux basate su Debian eseguite:
sudoadattoinstallare -epython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindandare 
Aggiungi un utente non privilegiato chiamato cowrie eseguendo il comando seguente.
sudoAggiungi utente--password-disabilitataciprea 
Sulle distribuzioni Linux basate su Debian, installare authbind eseguendo il seguente comando:
sudoadattoinstallareauthbindEsegui il comando qui sotto.
sudo tocco /eccetera/authbind/byport/22Modifica la proprietà eseguendo il comando seguente.
sudo chownciprea: ciprea/eccetera/authbind/byport/22Modifica autorizzazioni:
sudo chmod 770 /eccetera/authbind/byport/22 
Accedi come ciprea
sudo suocipreaVai nella home directory di cowrie.
cd~Scarica cowrie honeypot usando git come mostrato di seguito.
git clonehttps://github.com/micheloosterhof/cipreaSpostati nella directory della ciprea.
cdciprea/ 
Crea un nuovo file di configurazione basato su quello predefinito copiandolo dal file /etc/cowrie.cfg.dist a cowrie.cfg eseguendo il comando mostrato di seguito all'interno della directory di cowrie/
cpeccetera/cowrie.cfg.dist ecc/ciprea.cfg 
Modifica il file creato:
nanoeccetera/ciprea.cfgTrova la riga qui sotto.
listen_endpoints = tcp:2222:interfaccia= 0.0.0.0Modifica la linea, sostituendo la porta 2222 con 22 come mostrato di seguito.
listen_endpoints = tcp:22:interfaccia= 0.0.0.0 
Salva ed esci da nano.
Esegui il comando seguente per creare un ambiente Python:
virtualenv cowrie-env 
Abilita un ambiente virtuale.
fonteciprea-env/sono/attivare 
Aggiorna pip eseguendo il comando seguente.
pipìinstallare --aggiornamentopipì 
Installa tutti i requisiti eseguendo il comando seguente.
pipìinstallare --upgraderrequisiti.txt 
Esegui cowrie con il seguente comando:
sono/inizio ciprea 
Controlla che l'honeypot sia in ascolto eseguendo.
netstat -così 
Ora i tentativi di accesso alla porta 22 verranno registrati nel file var/log/cowrie/cowrie.log all'interno della directory di cowrie.
Come detto in precedenza, puoi usare l'Honeypot per creare una finta shell vulnerabile. Le cipree includono un file in cui è possibile definire gli utenti autorizzati ad accedere alla shell. Questo è un elenco di nomi utente e password attraverso i quali un hacker può accedere alla falsa shell.
Il formato dell'elenco è mostrato nell'immagine seguente:
È possibile rinominare l'elenco predefinito di cowrie a scopo di test eseguendo il comando seguente dalla directory cowries. In questo modo, gli utenti saranno in grado di accedere come root utilizzando la password radice o 123456 .
mveccetera/userdb.example ecc/userdb.txt 
Arrestare e riavviare Cowrie eseguendo i comandi seguenti:
sono/fermata cipreasono/inizio ciprea
Ora prova a provare ad accedere tramite ssh usando un nome utente e una password inclusi nel userdb.txt elenco.
Come puoi vedere, accederai a una falsa shell. E tutte le attività svolte in questa shell possono essere monitorate dal registro della ciprea, come mostrato di seguito.
Come puoi vedere, Cowrie è stato implementato con successo. Puoi saperne di più su Cowrie su https://github.com/cowrie/ .
Conclusione:
L'implementazione di Honeypot non è una misura di sicurezza comune, ma come puoi vedere, è un ottimo modo per rafforzare la sicurezza della rete. L'implementazione di Honeypot è una parte importante della raccolta di dati che mira a migliorare la sicurezza, trasformando gli hacker in collaboratori rivelando la loro attività, tecniche, credenziali e obiettivi. È anche un modo formidabile per fornire agli hacker informazioni false.
Se sei interessato agli Honeypot, probabilmente IDS (Intrusion Detection Systems) potrebbe essere interessante per te; su LinuxHint, abbiamo un paio di tutorial interessanti su di loro:
- Configura Snort IDS e crea regole
- Iniziare con OSSEC (Sistema di rilevamento delle intrusioni)
Spero che questo articolo su Honeypot e Honeynet ti sia stato utile. Continua a seguire Linux Hint per ulteriori suggerimenti e tutorial su Linux.