Cum să stabiliți o miere în rețeaua dvs.

Cum să stabiliți o miere în rețeaua dvs.

Honeypot este o resursă a sistemului informațional a cărei valoare constă în utilizarea neautorizată sau ilicită a resursei respective. - Lance Spitzner

După cum ați putut ghici, traficul care este atras - și apoi deviat sau studiat mai îndeaproape, în funcție de scopul - este de un fel rău intenționat; cea care provine de la hackeri, malware și viruși.

De ce ai nevoie de un pot de miere în rețeaua ta?

Motivul principal pentru care ai nevoie de o miere în rețeaua ta este din cauza informațiilor pe care le furnizează; ceva care nu vă poate oferi niciun sistem de detecție sau de prevenire a intruziunilor. Înarmați cu informațiile și alertele pe care le înregistrează, administratorii de rețea vor conștientiza tipul de atacuri pentru care sunt vizați și vor avea cunoștințele anterioare pentru a-și da seama ce trebuie să facă pentru a-și consolida apărarea.

Acestea fiind spuse, există două tipuri de miere:

Miere corporativă - acesta este un vas de miere care este configurat într-un mediu de producție și servește ca un instrument pentru studierea atacurilor cu scopul de a utiliza cunoștințele pentru a consolida și mai mult securitatea rețelei.

Cercetare miere - acesta este un vas de miere care este utilizat de cercetători și cu speranțele de studierea metodologiilor de atac și a altor caracteristici precum motivele atacurilor. Apoi, de exemplu, folosind cunoștințele pentru a crea soluții de apărare (antivirusuri, anti-malware, etc.) care pot preveni atacuri similare în viitor.

Tipurile de date pe care pot să le capteze mierele (sau despre) atacatorii pot include, dar nu se limitează la:

  • nume de utilizator, rolurile, și privilegii pe care atacatorii o folosesc
  • Adrese IP a rețelei sau a gazdei care utilizează pentru atac
  • Ce date sunt accesate, modificată sau şters
  • apăsări de taste reale atacatorii scriu, ceea ce permite administratorilor să vadă exact ce fac

Păi de miere ajută, de asemenea cu păstrarea atenția hackerilor a deviat din rețeaua principală, evitarea forței depline a unui atac, până când administratorii vor fi gata să pună în aplicare contra-acțiunea corespunzătoare.

În cele din urmă, trebuie să menționăm avantajele și contra contra utilizării unui pot de miere în rețeaua dvs. (aici este unul pentru fiecare parte):

Beneficiile utilizării unei rețele de miere

Este o măsură de securitate cu costuri reduse care ar putea oferi informații de mare valoare despre atacatorii tăi.

Contra de a utiliza o rețea de miere

Nu este ușor de configurat și configurat și ar fi pură nebunie să încercați să faceți acest lucru fără un expert în mână; s-ar putea să respingă și să expună o rețea la atacuri mai grave. Cu toate acestea, este imposibil să spun că poturile de miere sunt în mod cert cel mai bun mod de a prinde un hacker sau un atac la fel cum se întâmplă. Permite administratorilor să parcurgă pas cu pas întregul proces, urmându-l în timp real cu fiecare alertă.

Unde găsiți instrucțiunile de instalare a cazanelor

În acest articol ne vom concentra pe strategia necesară pentru a implementa cu succes un pot de miere în rețeaua ta mai degrabă decât instalarea propriu-zisă pas cu pas a soluțiilor software în sine. Dar, pentru aceia dintre voi care trebuie să vadă că sunt instalate soluțiile de potasi, există câteva site-uri și videoclipuri grozave. Recomandările noastre ar fi:

  • ferestre - pentru majoritatea lumii, acesta este sistemul de operare (OS) la alegere. Și la Analitica Securitate, trebuie să configurați un punct de miere pentru acest sistem de operare și să încorporați cloud (Amazon AWS) în rețeaua dvs..
  • Linux - dacă sunteți o persoană personală, tipul Linux care iubește să treacă sub acoperiș și să tinker sub capotă, iată un site bun care arată cum este instalat un pot de miere în acel mediu de operare: Hacking Blogs.

Desigur, în lumea de astăzi a tutoriale, canale și comunități digitale online, cum ar fi GitHub, nu este chiar atât de dificil să instalezi un pot de miere. Strategia și managementul sunt partea cu adevărat provocatoare.

Care sunt cele mai bune soluții software de tip miere acolo?

Pentru oricine este în căutare, există o mulțime de soluții software din care să alegeți când vine vorba de soluții pentru poturi de miere. Mai jos, avem trei dintre cele mai populare, dintre care puteți alege dintre:

  • Senzor KF - acesta este un pot de miere bazat pe Windows care începe să vă monitorizeze rețeaua imediat ce a fost configurată. Este un set de instrumente complet, care a fost conceput pentru a imita o miere - printre multe alte caracteristici utile. Dar, caracterul minunat al acestui sistem de detecție a intruziunilor (IDS) bazat pe gazdă este faptul că este foarte configurabil, ceea ce face mai ușor pentru administratori să-și apere rețelele individuale.
  • Glastopf - cel mai bun lucru despre această miere este că este o soluție software open-source, ceea ce înseamnă că, la fel ca toate soluțiile de colaborare, este creierul multor experți care va continua să evolueze și să se îmbunătățească în timp.

Glastopf este un dispozitiv de miere a aplicației web Python care este un emulator de rețea cu interacțiune scăzută. O caracteristică interesantă a acestui instrument este aceea că poate emula chiar și aplicații vulnerabile la atacurile de injecție SQL.

  • Ghost USB - ceea ce face ca acest punct de miere să iasă în evidență este faptul că își concentrează în mod special atenția asupra programelor malware care se răspândesc prin dispozitive de stocare USB. Acest lucru este foarte mare, având în vedere că unitățile USB utilizate de angajați și utilizatori autorizați continuă să provoace îngrijorări grave.

Odată instalat, Ghost USB emulează un dispozitiv de stocare USB și se difuzează prin rețea, cu intenția de a păcăli orice malware - care se propagă folosind dispozitive similare - pentru a-l infecta. După ce a fost detectat și observat în secret, devine ușor pentru administratori să ia măsurile și precauțiile necesare.

Deși aceste trei soluții de tip hipo acoperă majoritatea nevoilor de securitate a rețelei, puteți găsi aici o listă mai exhaustivă de soluții pentru diverse nevoi de securitate și rețea..

Strategii de tip honeypot

Puteți adopta două tipuri de strategii de implementare a potului de miere:

Metoda de interacțiune scăzută

În această metodă veți folosi date false, foldere și baze de date ca momeală cu intenția de a monitoriza atacurile pentru a vedea ce s-ar întâmpla într-un scenariu de încălcare a datelor din viața reală. Desigur, acestea ar avea acces la alte seturi de informații periferice, cum ar fi adresele IP, numele de utilizator și parolele - peste care administratorii sunt atent. Aceasta este ceea ce ați dori să faceți dacă ați dori să testați anumite aspecte ale penetrabilității periferice a rețelei dvs. și a securității proceselor de autorizare, de exemplu.

Metoda de interacțiune înaltă

În această configurație ai face permite atacatorilor să interacționeze cu date, software (inclusiv sistemul de operare), servicii și hardware care par cât se poate de realiste. Intenția de aici este de a măsura și capta abilitățile atacatorilor. Această configurare este utilizată în cea mai mare parte în scenarii de cercetare în care rezultatele studiilor sunt utilizate pentru a îmbunătăți capacitățile de apărare ale anti-virusurilor și anti-malware.

Ai grijă!

Acum, să ne uităm la câteva aspecte de care va trebui să fiți conștienți și atenți înainte de a merge la punerea în aplicare a potului de miere.

Probleme legale

Indiferent dacă este vorba de a vă acoperi în spate în cazul în care veți fi dat în judecată de clienții dvs. pentru pierderea datelor lor sau pentru a vă asigura că orice acuzații pe care le aduceți împotriva intrusilor, va trebui să vă detașați firele legale. Deși nu suntem o persoană juridică, vă putem spune în continuare că va trebui să fiți conștienți și atenți cu aceste trei aspecte juridice:

  • prinderea - intrusii pot afirma că nu știau că nu trebuiau să acceseze rețeaua dvs. sau la activele și datele de pe aceasta. Aceștia ar putea pretinde că nu ați etichetat-o ​​suficient de clar și, luând-o și mai departe, utilizați „apărarea”.
  • intimitate - implementarea unui vas de miere trebuie făcut cu precauție extremă; acest punct nu poate fi suficient de subliniat. Un port lăsat deschis din greșeală sau un cont de administrator care a fost compromis ar putea deschide porțile de inundații pentru atacuri în rețeaua principală. La rândul său, acest lucru ar putea pune datele personale ale oricăruia dintre clienții dvs. în pericol. În cazul în care atacatorii reușesc să-l împărtășească lumii, puteți găsi dvs. ținta unui proces pentru încălcarea încrederii, deoarece clienții spun că nu v-au dat permisiunea de a-i împărtăși datele.
  • Răspundere - un alt mod în care te-ai putea plasa (sau rețeaua ta) în apă fierbinte este dacă intrusii decid să arunce infracțiunea chiar la tine, stocând conținut rău intenționat pe serverele tale compromise și, chiar mai rău, să ghidezi traficul către adresele tale IP. Stocarea și distribuirea conținutului precum pornografia infantilă te-ar putea face să vezi rapid interiorul unei săli de judecată.

Cuvânt de sfat: dacă găsiți un astfel de conținut incriminator pe serverele dvs. sau sunteți accesat prin rețeaua dvs., primul lucru pe care trebuie să îl faceți este să contactați autoritățile.

Fiind descoperit - de către intruși

Configurarea unui vas de miere necesită anonimat pentru rețeaua reală asta e în spatele ei. Nimic nu ar reprezenta un risc mai mare pentru acesta decât descoperirea intrusilor că este într-adevăr un punct de miere cu care au de-a face mai degrabă decât afacerea reală. Pentru că, cu această realizare, ar putea lua ca o provocare să continue să găsească o cale pentru a încălca rețeaua principală. Și astfel, devine crucial faptul că niciun semn indicativ nu îi avertizează asupra faptului că sunt monitorizați într-o rețea de miere. Semnele comune care de obicei renunță la planșa - și ar trebui astfel evitate - sunt:

  • Dacă rețeaua este prea ușor de atacat sau accesați, le va face suspecte sau le va face să creadă că nu este suficient de relevant pentru a-și justifica eforturile.
  • Dacă există prea multe servicii inutile în funcțiune sau unul prea multe porturi sunt deschise, ar fi contrar realității în care dispozitivele normale care se confruntă pe Internet sunt de obicei dezafectate de servicii nerelevante și au doar porturile necesare.
  • Dacă configurațiile soluțiilor software care rulează sunt încă în setările lor implicite, care aproape niciodată nu apare într-o rețea live.
  • În cazul în care trece prin rețea traficul puțin ceea ce indică faptul că nu există nimic interesant asupra acesteia și totuși aparține unui brand important.
  • Dacă s-au depus prea multe eforturi pentru ca acesta să pară într-un magazin de bomboane cu folderele denumite „Parole”, „Confidențial” sau „Nume utilizator”.
  • Dacă serverele conectate la rețea par să fie goale sau există mult disc liberspaţiu ar arăta că nu au nicio valoare.

Pe scurt, rețeaua ta de miere și dispozitivele de pe aceasta ar trebui să imite o conexiune reală, deși date false și trafic. Pune-te în pantofii atacatorilor și privește rețeaua ta din perspectiva lor.

Protejează-te bine!

Nu uitați că pășești în tâmpenia leului atunci când optezi pentru o configurare a potului de miere. Prin urmare, iată câteva puncte de care trebuie să vă asigurați întotdeauna că sunt acoperite:

  • Nu folosiți niciodată date reale - nu contează ce fel ar putea fi, creează date despre gunoi care arată reale și folosește-le ca momeală.
  • Nu conectați niciodată potul de miere la rețeaua principală - nu ar trebui să existe nicio modalitate prin care atacatorii ar putea să urce în rețeaua ta prin intermediul mării tale; asigurați-vă că este izolat și păstrați-l astfel.
  • Utilizați mașini virtuale - cel mai sigur hardware pe care îl puteți pune pe potul de miere este unul virtual; dacă sunteți lovit, tot ce trebuie să faceți este să îl reporniți și să îl recreați.
  • Firewall-urile și routerele ar trebui să fie singura modalitate de a ajunge la miere - tot traficul de intrare ar trebui să treacă prin ele înainte de a intra pe rețeaua falsă; configurați TOATE numerele de port de pe ele pentru a indica punctul de miere.
  • Numele de utilizator și rolurile ar trebui să fie unice pentru miere - ar fi nebunesc să le folosiți pe aceleași care au acces la rețeaua dvs. principală; creează noi credențiale și folosește-le doar pentru potul de miere.
  • Întotdeauna testează, testează și testează - nu lăsați niciodată un vas de miere să trăiască fără să arunce tot ce aveți la el; de fapt, invitați experții să încerce să-l străbată și pe rețeaua principală înainte de a-l lăsa pe Internet.

O strategie bună de adoptat aici este să asigurați-vă că nimeni, cu excepția unui administrator nu poate accesa punctul de miere și chiar atunci, ar trebui să utilizeze un cont de conectare dedicat, care are zero privilegii în rețeaua reală. Sau, mai bine zis, unul care nu există deloc.

Amplasarea căldării

În mod evident, locul ideal pentru a vă crea vasul de miere este în zona demilitarizată (DMZ). Aceasta este zona care se află în afara rețelei dvs. principale, dar care se află în spatele unui router care se confruntă cu internetul.

Cum să stabiliți o miere în rețeaua dvs.

Atribuirea imaginii: ro: Utilizator: Pbroks13 [Domeniu public], prin Wikimedia Commons

Atunci din nou, ar trebui să știți că nu toate atacurile provin de pe Internet. De fapt, studiile au arătat că statisticile privind „amenințările privilegiate” - cele care vin din spatele firewall-urilor și ale persoanelor care sunt autorizate să utilizeze rețeaua dvs. - sunt destul de înfricoșătoare la peste 30 la sută. instalați o miere internă. În acest fel, administratorii de rețea vor avea o perspectivă asupra încercărilor malițioase sau a erorilor umane simple care le provoacă. Următorul videoclip va ajuta la explicarea scopurilor, avantajelor și dezavantajele plasării unui punct de miere în diferite locații dintr-o rețea:

Honeytokens

O modalitate bună de a observa tactica unui intrus este de a plasa un miere pe un server sau o bază de date. Oamenii de miere sunt fișiere sau seturi de date care ar părea interesante pentru atacator, dar sunt de fapt replici false ale acordului real.

mierele de miere pot fi, de asemenea, fișiere sau seturi de date în ceea ce altfel ar părea a fi un server sau o bază de date legitimă. Este ușor pentru administratori să urmărească datele în cazul în care acestea sunt furate - ca de la cine au fost furate și cum au fost furate - deoarece un loc diferit de miere este plasat în fiecare locație.

Exemple de astfel de tipuri de miere includ adrese de e-mail și nume de utilizator sau ID-uri de autentificare. Dacă un atacator câștigă acces la aceste informații, ar fi ușor să știe ce bază de date a încălcat, ceea ce, la rândul său, ar ajuta la înțelegerea modului în care a reușit să o facă..

Când sunt utilizate în mod corespunzător și configurați într-un număr divers de moduri, pui de miere și miere (două sau mai multe miere din aceeași rețea) pot crea o imagine destul de clară pentru administratori.

Odată ce amenințările au apărut și apoi identificate de către calea de miere, alertele pot fi configurate ca răspuns la încercările de acces, modificare sau ștergere a datelor sau chiar atunci când au fost descoperite pachete și sarcini rău intenționate în rețea..

Gânduri finale despre crearea unui pot de miere în rețeaua ta

După cum am văzut, o miere vă va ajuta să combateți atacurile, desenând o imagine mai clară a atacatorilor dvs. și metodele pe care le-ar putea folosi pentru a încerca o încălcare. Poziționarea acesteia în poziția corectă și configurarea ei bine va ajuta la consolidarea securității rețelei dvs. și orice eroare în acest sens ar putea duce la dispariția rețelei principale..

Așadar,…

Amintiți-vă întotdeauna: un punct de miere nu este, în sine, NU o soluție de securitate a rețelei. Este de fapt un instrument care servește ca mijloc de a ajunge la o soluție de rețea sigură. Aflați de la acesta și strângeți șuruburile folosind alte soluții de monitorizare și protecție a rețelei, asigurându-vă în același timp că aveți alte tensiuni soluții de securitate a rețelei sub formă de copii de rezervă.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 50 = 52

Adblock
detector