Phenquestions
Honeypot mungkin merupakan aplikasi yang mensimulasikan sasaran yang benar-benar menjadi catatan aktiviti penyerang. Multiple Honeypots yang mensimulasikan pelbagai perkhidmatan, peranti dan aplikasi yang berkaitan adalah Honeynets denominasi.
Honeypots dan Honeynets tidak menyimpan maklumat sensitif tetapi menyimpan maklumat menarik palsu kepada penyerang untuk membuat mereka berminat dengan Honeypots, Honeynets, dengan kata lain kita bercakap mengenai perangkap penggodam yang dirancang untuk mempelajari teknik serangan mereka.
Honeypots melaporkan kepada kami dua jenis faedah: pertama ia membantu kami mempelajari serangan untuk mengamankan peranti atau rangkaian pengeluaran kami dengan betul. Kedua, dengan menjaga honeypots yang mensimulasikan kerentanan di sebelah peranti atau rangkaian produksi, kami menjauhkan perhatian penggodam dari peranti yang diamankan, kerana mereka akan lebih menarik lagi honeypots yang mensimulasikan lubang keselamatan yang dapat mereka gunakan.
Terdapat pelbagai jenis Honeypots:
Honeypots Pengeluaran:
Jenis honeypots ini dipasang di rangkaian produksi untuk mengumpulkan maklumat mengenai teknik yang digunakan untuk menyerang sistem dalam infrastruktur. Jenis Honeypots ini menawarkan pelbagai kemungkinan, dari lokasi honeypot dalam segmen rangkaian tertentu untuk mengesan percubaan dalaman oleh pengguna sah rangkaian untuk mengakses sumber yang tidak dibenarkan atau dilarang ke klon laman web atau perkhidmatan, yang serupa dengan asli sebagai umpan. Isu terbesar jenis honeypots ini adalah membenarkan lalu lintas berbahaya antara yang sah.
Honeypots pembangunan:
Jenis honeypots ini dirancang untuk mengumpulkan lebih banyak maklumat mengenai trend penggodaman, sasaran yang diinginkan oleh penyerang dan asal serangan. Maklumat ini kemudian dianalisis untuk proses membuat keputusan mengenai pelaksanaan langkah-langkah keselamatan.
Kelebihan utama jenis honeypots ini adalah, bertentangan dengan pengembangan honeypots honeypots terletak di dalam rangkaian bebas, khusus untuk penyelidikan, sistem yang rentan ini dipisahkan dari persekitaran produksi yang menghalang serangan dari honeypot itu sendiri. Kelemahan utamanya adalah kuantiti sumber yang diperlukan untuk melaksanakannya.
Terdapat 3 subkategori atau klasifikasi honeypots yang berbeza yang ditentukan oleh interaksi yang dimilikinya dengan penyerang.
Honeypots Interaksi Rendah:
Honeypot meniru perkhidmatan, aplikasi atau sistem yang rentan. Ini sangat mudah untuk disiapkan tetapi terhad semasa mengumpulkan maklumat, beberapa contoh jenis honeypots ini adalah:
Lebah madu: ia dirancang untuk memerhatikan serangan terhadap perkhidmatan rangkaian, bertentangan dengan honeypots lain yang fokus pada menangkap malware jenis honeypots ini dirancang untuk menangkap eksploitasi.
Orang Nefen: meniru kerentanan yang diketahui untuk mengumpulkan maklumat mengenai kemungkinan serangan, ia dirancang untuk meniru kerentanan yang dieksploitasi oleh worm, kemudian Nephentes menangkap kod mereka untuk analisis kemudian.
MaduC: mengenal pasti pelayan web yang berniat jahat dalam rangkaian dengan meniru klien yang berbeza dan mengumpulkan respons pelayan ketika membalas permintaan.
MaduD: adalah daemon yang membuat host maya dalam rangkaian yang dapat dikonfigurasi untuk menjalankan perkhidmatan sewenang-wenang yang mensimulasikan pelaksanaan dalam OS yang berbeza.
Glastopf: meniru ribuan kelemahan yang dirancang untuk mengumpulkan maklumat serangan terhadap aplikasi web. Sangat mudah untuk disiapkan dan setelah diindeks oleh mesin pencari ia menjadi sasaran menarik bagi penggodam.
Honeypots Interaksi Sederhana:
Jenis honeypots ini kurang interaktif daripada sebelumnya tanpa membenarkan tahap interaksi honeypots tinggi membenarkan. Beberapa Honeypots jenis ini adalah:
Kippo: ia adalah ssh honeypot yang digunakan untuk mencatat serangan brute force terhadap sistem unix dan mencatat aktiviti penggodam jika akses itu diperoleh. Ia dihentikan dan digantikan oleh Cowrie.
Cowrie: satu lagi ssh dan telnet honeypot yang mencatat serangan kekerasan dan interaksi penggodam. Ia meniru OS Unix dan berfungsi sebagai proksi untuk mencatat aktiviti penyerang.
Gajah melekit: ia adalah honeypot PostgreSQL.
Hornet: Versi honeypot-wasp yang diperbaiki dengan permintaan kelayakan palsu yang direka untuk laman web dengan halaman log masuk akses awam untuk pentadbir seperti / wp-admin untuk laman web wordpress.
Honeypots Interaksi Tinggi:
Dalam senario ini Honeypots tidak dirancang untuk mengumpulkan maklumat sahaja, ia adalah aplikasi yang dirancang untuk berinteraksi dengan penyerang sambil mendaftarkan aktiviti interaksi secara menyeluruh, ia mensimulasikan sasaran yang mampu menawarkan semua jawapan yang diharapkan oleh penyerang, beberapa jenis honeypots seperti ini adalah:
Sebek: berfungsi sebagai HIDS (Sistem Pengesanan Pencerobohan berasaskan Host) yang memungkinkan untuk menangkap maklumat mengenai aktiviti sistem. Ini adalah alat pelayan-pelanggan yang mampu menyebarkan honeypots di Linux, Unix dan Windows yang menangkap dan menghantar maklumat yang dikumpulkan ke pelayan.
HoneyBow: dapat disatukan dengan honeypots interaksi rendah untuk meningkatkan pengumpulan maklumat.
HI-HAT (Kit Analisis Honeypot Interaksi Tinggi): menukar fail php menjadi honeypots berinteraksi tinggi dengan antara muka web yang tersedia untuk memantau maklumat.
Tangkap-HPC: serupa dengan HoneyC, mengenal pasti pelayan yang berniat jahat dengan berinteraksi dengan mereka sebagai pelanggan menggunakan mesin maya khusus dan mendaftarkan perubahan yang tidak dibenarkan.
Sekiranya anda berminat dengan Honeypots mungkin IDS (Intrusion Detection Systems) mungkin menarik untuk anda, di LinuxHint kami mempunyai beberapa tutorial menarik mengenai mereka:
- Konfigurasikan Snort IDS dan buat peraturan
- Bermula dengan OSSEC (Sistem Pengesanan Pencerobohan)
Saya harap anda dapati artikel ini mengenai Honeypots dan Honeynets berguna. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux dan keselamatan.
