Hogyan hozzunk létre mézeskalácsot a hálózatán

Hogyan hozzunk létre mézeskalácsot a hálózatán

A Honeypot olyan információs rendszer erőforrás, amelynek értéke az erőforrás jogosulatlan vagy tiltott felhasználásában rejlik. - Lance Spitzner

Mint gondolhatta volna, a vonzott forgalom - amelyet aztán céljától függően elterel, vagy közelebbről tanulmányozott - rosszindulatú; amit hackerek, rosszindulatú programok és vírusok származnak.

Miért van szüksége mézeskannára a hálózatán??

A fő ok, amiért mézeskannára van szüksége a hálózatán, az általa előállított információk miatt van; olyasmit, amit egyetlen behatolás-észlelési vagy -megelőző rendszer sem tud nyújtani Önnek. Az információkkal és a riasztásokkal felfegyverkezve a hálózati rendszergazdák megismerik a támadások fajtáit, amelyekre megcélozzák őket, és előzetes tudással rendelkeznek ahhoz, hogy kitalálják, mit kell tenniük a védekezés megerősítése érdekében..

Ezzel együtt kétféle mézeskanna létezik:

Vállalati mézeskanna - ez egy mézeskanna, amelyet egy termelési környezetben állítottak fel és eszközként szolgál támadások tanulmányozása azzal a céllal, hogy az ismereteket felhasználják a hálózat biztonságának további erősítésére.

Kutatási mézeskanna - ez egy mézeskanna, amelyet a kutatók és a reményeivel használnak a támadási módszerek és más jellemzők, például a támadások motivációjának tanulmányozása. Ezután például a tudás felhasználásával védelmi megoldások létrehozására (antivírusok, rosszindulatú programok, stb.), amelyek megakadályozzák a hasonló támadásokat a jövőben.

Az adattípusok, amelyeket a mézeskannák a támadóktól (vagy körülbelül) elfognak, tartalmazhatnak, de nem korlátozódnak ezekre:

  • Az felhasználónevek, szerep, és jogosultságokat amit a támadók használnak
  • Az IP-címek a támadáshoz használt hálózat vagy gazdagép
  • Milyen adatok vannak igénybe vett, megváltozott vagy törölve
  • Az tényleges billentyűleütések a támadók kiírnak, amely lehetővé teszi az adminisztrátorok számára, hogy pontosan megtapasztalják, mit csinálnak

Mézeskannák is segítnek megtartásával a hackerek figyelme eltérített a fő hálózatról, a támadás teljes erejének megakadályozása, amíg az adminisztrátorok készen állnak a megfelelő ellenintézkedés bevezetésére.

Végül meg kell említenünk a mézeskanna hálózaton történő használatának előnyeit és hátrányait (itt van egy-egy oldal mindkét oldal számára):

Előnyök egy mézeskanálhálózat használatában

Ez egy olcsó biztonsági intézkedés, amely nagy értékű információt szolgáltathat a támadókról.

Hátrányok egy mézeskanál hálózat használatával

A beállítást és a konfigurálást nem könnyű elvégezni, és tiszta őrület lenne ezt megkísérelni szakértő nélkül; visszafordíthat és egy hálózatot ki lehet téve a rosszabb támadásoknak. Magától értetődik azonban, hogy a mézeskannák vitathatatlanul a hackerek vagy támadások elkapásának legjobb módja, amint ez történik. Ez lehetővé teszi az adminisztrátoroknak, hogy lépésről lépésre végigmenjenek az egész folyamaton, valós időben követve minden riasztással.

Hol találhatók mézeskannák telepítési útmutatói

Ebben a cikkben arra a stratégiára összpontosítunk, amely a mézeskanna sikeres megvalósításához szükséges a hálózatán nem maguknak a szoftvermegoldásoknak a tényleges lépésről lépésre történő telepítése. De azoknak, akiknek látniuk kell a mézeskannás megoldások telepítését, vannak kiváló webhelyek és videók. Ajánlásaink a következők lennének:

  • ablakok - a világ nagy részében ez a választott operációs rendszer (OS). Az Analytical Securitynél beállíthat egy mézespotot ehhez az operációs rendszerhez, és beillesztheti a felhőt (Amazon AWS) a hálózatába..
  • Linux - ha gyakorlati, Linux típusú ember vagy, aki szereti a tető alá menni, és a motorháztető alatt gondolni, itt egy jó hely, amely megmutatja, hogyan telepíthető egy mézeskancsó az adott operációs rendszer környezetébe: Blogok hackelése.

Természetesen a mai YouTube oktatóanyagok, csatornák és online digitális közösségek, például a GitHub világában, valójában nem olyan nehéz telepíteni a mézeskalácsot. A stratégia és az irányítás valóban a legnagyobb kihívást jelentő rész.

Melyek a legjobb mézeskalács szoftver megoldások odakint?

Bárki számára, aki keres, rengeteg szoftvermegoldás közül lehet választani, amikor a mézeskalács-megoldásokról van szó. Az alábbiakban három legnépszerűbb közül választhat:

  • KF-érzékelő - ez egy Windows-alapú mézeskalács, amely a hálózat beállítása után azonnal megkezdi a hálózat figyelését. Ez egy teljes értékű eszközkészlet, amelyet mézeskanna utánozására terveztek - sok egyéb hasznos szolgáltatás mellett. Ennek a gazda-alapú behatolás-észlelési rendszernek (IDS) az a vonzó jellege, hogy rendkívül jól konfigurálható, ami megkönnyíti az adminisztrátorok számára az egyedi hálózatok védelmét..
  • Glastopf - ebben a mézeskannában a legjobb dolog az, hogy ez egy nyílt forrású szoftvermegoldás, ami azt jelenti, hogy az összes együttműködési megoldáshoz hasonlóan sok szakértő agyi munkája is tovább fog fejlődni és javulni az idő múlásával..

A Glastopf egy Python webalkalmazás, amely alacsony interakciójú hálózati emulátor. Ennek az eszköznek egy érdekes tulajdonsága, hogy képes az SQL befecskendezés támadásokkal szemben érzékeny alkalmazásokat emulálni.

  • Ghost USB - ez a mézeskanapé kiemelkedik azért, hogy kifejezetten a rosszindulatú programokra összpontosítja figyelmét, amelyek az USB tárolóeszközökön keresztül terjednek. Ez nagy ügy, tekintve, hogy az alkalmazottak és az engedélyezett felhasználók által használt USB-meghajtók továbbra is komoly aggodalmakat okoznak.

A telepítés után a Ghost USB emulálja az USB tárolóeszközt, és sugározza magát a hálózaton, azzal a szándékkal, hogy becsapjon minden hasonló - a hasonló eszközökkel terjedő - rosszindulatú szoftvert a fertőzésbe. A felismerés és a titkos megfigyelés után a rendszergazdáknak könnyű megtenni a szükséges lépéseket és óvintézkedéseket.

Bár ez a három mézeskanna-megoldás lefedi a hálózati biztonsági igények nagy részét, itt megtalálhatja a különböző hálózati és biztonsági igényekkel kapcsolatos megoldások teljesebb listáját..

Honeypot stratégiák

Kétféle mézeskanna-végrehajtási stratégia létezik:

Alacsony interakciós módszer

Ebben a módszerben fogod használni hamis adatok, mappák és adatbázisok csaliként a támadások megfigyelésének céljából, hogy megfigyeljék, mi történne egy valós életben megsértő szcenárióval. Természetesen hozzáférnének más perifériás információkészletekhez, például IP-címekhez, felhasználónevekhez és jelszavakhoz - amelyek felett az adminisztrátorok figyelemmel kísérik. Ez az, amit meg szeretne tenni, ha kipróbálni szeretné a hálózat perifériájának átjárhatóságát és az engedélyezési folyamatok biztonságát..

Nagy interakciós módszer

Ebben a beállításban tenné hagyja, hogy a támadók a lehető legreálisabbnak tűnő adatokkal, szoftverrel (beleértve az operációs rendszert is), szolgáltatásokkal és hardverrel lépjenek kapcsolatba. A cél a támadók készségeinek felmérése és megragadása. Ezt a beállítást leginkább olyan kutatási forgatókönyvekben használják, ahol a tanulmányok eredményeit az antivírusok és a rosszindulatú programok védelmének javítására használják.

Vigyázz magadra!

Rendben, nézzük meg néhány kérdést, amelyekre Önnek tisztában kell lennie és óvatosnak kell lennie, mielőtt elkezdené a mézeskanna megvalósítását.

Jogi esetek

Függetlenül attól, hogy fedezi-e a hátsó ügyét, abban az esetben, ha az ügyfelek beperelnek az adatok elvesztése miatt, vagy hogy megbizonyosodjon arról, hogy a betolakodókkal szemben felmerült vádak megmaradnak-e, akkor a jogi vezetékeket ki kell húznia. Noha nem vagyunk jogi személy, továbbra is mondhatjuk Önnek, hogy tisztában kell lennie és óvatosnak kell lennie e három jogi szempont szempontjából:

  • Entrapment - a betolakodók azt állíthatják, hogy nem tudták, hogy nem kellett volna hozzáférniük a hálózatához vagy a rajta található eszközökhöz és adatokhoz. Azt állíthatják, hogy nem állítják be elég egyértelműen, és még távolabb támaszkodva használják a „elfogás” védelmét.
  • Magánélet - a mézeskanna megvalósítását rendkívül óvatosan kell végrehajtani; ezt a pontot nem lehet eléggé hangsúlyozni. Egy véletlenül nyitva hagyott port vagy egy veszélyeztetett rendszergazdai fiók nyithatja meg a főhálózat támadásainak célpontjait. Ez viszont bármely ügyfelének személyes adatait veszélyeztetheti. Ha a támadóknak sikerül megosztani azt a világgal, akkor a bizalom megsértésével kapcsolatos perekkel találhatja meg magát, mivel az ügyfelek azt mondják, hogy nem adtak engedélyt az adatok megosztására.
  • Felelősség - Egy másik módja annak, hogy meleg vízbe juttassa magát (vagy hálózatát), ha a betolakodók úgy döntenek, hogy visszatükrözik a bűncselekményt azáltal, hogy rosszindulatú tartalmakat tárolnak a veszélyeztetett szerverein, és ami még rosszabb, az IP-címek felé irányítja a forgalmat. Olyan tartalmak tárolása és terjesztése, mint például a gyermekpornográfia, gyorsabban láthatja a tárgyalóterem belsejét.

Tanácsok szavai: ha ilyen vádló tartalmat talál a szerverein, vagy a hálózatán keresztül érkezik, az első, amit tennie kell, hogy kapcsolatba lép a hatóságokkal.

A betolakodók fedezték fel őket

Mézkanna beállítása anonimitást igényel a valódi hálózat számára ami mögötte van. Semmi nem jelentene nagyobb kockázatot, mint a betolakodók felfedezése, hogy valójában inkább egy mézescserép, amellyel ők foglalkoznak, nem pedig a valós üzlettel. Mivel ennek a megvalósításnak a kihívása lehet, hogy folytatja az utat hogy megszerezzék a főhálózatot. Így döntő jelentőségűvé válik, hogy egyetlen jelzőtábla sem figyelmezteti őket arra a tényre, hogy egy mézeskanál-hálózaton keresztül figyelik őket. A leggyakoribb jelek, amelyek általában adják el a trükkjét, és ezért ezeket el kell kerülni, a következők:

  • Ha a hálózat túlságosan könnyű támadni vagy hozzáférést elérni, ez gyanúsá teszi őket, vagy arra készteti őket, hogy nem megfelelőek ahhoz, hogy indokolják erőfeszítéseiket.
  • Ha túl sok szükségtelen szolgáltatás fut, vagy egy túlságosan sok port van nyitva, ez ellentétes lenne a valósággal, amikor a szokásos internetes eszközöket általában eltávolítják a nem releváns szolgáltatásoktól, és csak a szükséges portok vannak nyitva.
  • Ha a futó szoftver megoldások konfigurációi továbbra is az alapértelmezett beállítások, ami szinte soha nem fordul elő élő hálózatban.
  • Ha kevés vagy egyáltalán nincs forgalom a hálózaton keresztül jelezve, hogy nincs semmi érdeklődés, és mégis tartozik egy fő márkához.
  • Ha túl sok erőfeszítést tettek annak érdekében, hogy úgy néz ki, mintha egy cukorkaüzletbe sétáltak volna „Jelszavak”, „Bizalmas” vagy „Felhasználónevek” elnevezésű mappákkal.
  • Ha a hálózathoz csatlakoztatott kiszolgálók üresnek tűnnek, vagy sok szabad lemez vanhely azt mutatja, hogy ezeknek nincs értékük.

Röviden: a mézeskanálhálózatnak és a rajta lévő eszközöknek valódi kapcsolatot kell emulálniuk, bár hamis adatokkal és forgalommal. Helyezze magát a támadók cipőjébe, és nézze meg hálózata perspektíváját.

Védje magát!

Ne felejtsd el, hogy belépsz az oroszlánfarmba, amikor mézeskannát állítasz be. Ezért íme néhány pont, amelyet mindenképpen ellenőriznie kell:

  • Soha ne használjon valódi adatokat - nem számít, milyen típusú lehet, hozzon létre valódi kinézetű hulladék adatokat, és csaliként használja őket.
  • Soha ne csatlakoztassa a mézeskannát a fő hálózathoz - nem szabad, hogy a támadók a mézeskannájukon keresztül a hálózatra ugorhassanak; ügyeljen arra, hogy el van szigetelve, és tartsa így.
  • Használjon virtuális gépeket - A legbiztonságosabb hardver, amelyet a mézeskannára tehet, virtuális; Ha eltalálja, akkor csak újra kell indítania és újra létre kell hoznia.
  • A tűzfalakat és az útválasztókat kell az egyetlen módszerrel elérni a mézeskannához - az összes bejövő forgalomnak át kell haladnia rajtuk, mielőtt belépnének a hamis hálózatba; konfigurálja rajtuk az összes portszámot, hogy a mézkannára mutasson.
  • A felhasználóneveknek és szerepeknek egyedinek kell lenniük a mézeskalácshoz - őrült lenne ugyanazokat a programokat használni, amelyek hozzáférnek a fő hálózatához; hozzon létre új hitelesítő adatokat, és csak a mézkannához használja őket.
  • Mindig teszteljen, teszteljen és teszteljen - Soha ne hagyja, hogy egy mézeskanna éljen anélkül, hogy mindent eldobna; valójában hívja meg a szakértőket, hogy próbálják áttörni a hálózatot és a fő hálózatot, mielőtt engednék, hogy szembekerüljön az internettel.

Egy jó stratégia, amelyet itt elfogadhatunk ügyeljen arra, hogy senki sem férjen hozzá a háztartáshoz, kivéve egy rendszergazda, és még akkor is használjon egy dedikált bejelentkezési fiókot, amelynek nulla jogosultsága van az igazi hálózaton. Vagy még jobb, ha egyáltalán nem létezik rajta.

A mézeskanna elhelyezése

Vitathatatlanul, a mézeskanna elkészítéséhez ideális hely a demilitarizált zóna (DMZ). Ez a terület kívül esik a fő hálózatról, de még mindig egy olyan útválasztó mögött, amely az Internet felé néz.

Hogyan hozzunk létre mézeskalácsot a hálózatán

Kép hozzárendelése: hu: Felhasználó: Pbroks13 [Public Domain], a Wikimedia Commonson keresztül

Azt ismét tudnod kell, hogy nem minden támadás származik az internetről. Valójában a tanulmányok kimutatták, hogy a „bennfentes fenyegetések” - a tűzfalak mögül jönnek, és a hálózat használatára feljogosított emberek statisztikái - meglehetősen ijesztőek, több mint 30 százalék felett. Ez azt jelenti, hogy van értelme telepítsen egy belső mézespotot. Ilyen módon a hálózati rendszergazdák betekintést nyernek a rosszindulatú kísérletekbe - vagy az őket okozó egyszerű emberi hibákba. A következő videó megmagyarázza a mézeskanna hálózatnak a különböző helyein történő elhelyezésének céljait, előnyeit és hátrányait:

Honeytokens

A betolakodók taktikájának megfigyelésére jó módszer egy mézeskalács elhelyezése egy szerverre vagy adatbázisra. Honeytokenok vannak fájlokat vagy adatkészleteket, amelyek érdekesnek tűnnek a támadó számára, de valójában hamis másolatok a valós üzletről.

Az A médialemezek beágyazott fájlokat vagy adatkészleteket is tartalmazhatnak, amelyek egyébként legitim szervernek vagy adatbázisnak tűnnek. Az adminisztrátorok megkönnyítik az adatok nyomon követését abban az esetben, ha ellopták őket - például kitől lopták el és hogyan lopták el -, mivel minden egyes helyre különféle mézeskalács kerül.

Ilyen jellegű médialehetőségek például az e-mail címek és a felhasználónevek vagy a bejelentkezési azonosítók. Ha a támadó hozzáfér hozzájuk ezekhez az információkhoz, akkor könnyű tudni, hogy melyik adatbázist sértették meg, ami viszont segítséget nyújt abban, hogy kitalálják, hogyan sikerült megtenni.

Megfelelő használat mellett, különféle módokon beállítva, a mézeskalmok és a mézeshálók (két vagy több mézeskanna ugyanabban a hálózatban) elég világos képet készíthetnek az adminisztrátorokról.

Miután a fenyegetések megtörténtek, majd a mézeskalács azonosította azokat, a riasztások konfigurálhatók az adatok elérésére, módosítására vagy törlésére tett kísérletekre válaszul, vagy akkor is, ha rosszindulatú csomagokat és hasznos terheket fedeztek fel a hálózaton.

Végső gondolatok a mézeskanna létrehozásáról a hálózaton

Mint láttuk, a mézeskanna segítséget nyújt a támadások leküzdésében azáltal, hogy világosabb képet ad a támadókról és azokról a módszerekről, amelyekkel a támadást megkísérelhetik. A megfelelő helyzetbe helyezése és a megfelelő konfiguráció elősegíti a hálózat biztonságának megerősítését, és az ennek során elkövetett bármilyen hiba a főhálózat megszűnéséhez vezethet..

És aztán,…

Mindig emlékezz: a mézeskanna önmagában NEM hálózati biztonsági megoldás. Valójában ez egy eszköz, amely eszközként szolgál a biztonságos hálózati megoldás eléréséhez. Tanuljon belőle, és húzza meg a csavarokat más hálózati megfigyelő és védelmi megoldásokkal, miközben ellenőrizze, hogy van-e más élője hálózati biztonsági megoldások biztonsági másolatként.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

1 + 6 =

Adblock
detector