Како да успоставите мед за мед на мрежи

Како да успоставите мед за мед на мрежи

Хонеипот је ресурс информационог система чија вредност лежи у неовлашћеном или недозвољеном коришћењу тог ресурса. - Ланце Спитзнер

Као што сте можда претпоставили, саобраћај који је привучен - а затим се преусмеравао или помније проучавао, у зависности од сврхе - је злонамерног типа; оно што долази од хакера, злонамерног софтвера и вируса.

Зашто вам треба медена мрежа на мрежи?

Главни разлог зашто вам је потребна медена мрежа на мрежи је због информација које даје; нешто што вам ниједан систем за откривање или спречавање провале не може да пружи. Наоружани информацијама и упозорењима које региструју, мрежни администратори ће постати свесни врсте напада на које су циљани и имаће предзнање како би схватили шта треба да ураде да би ојачали своју одбрану..

Уз споменуто, постоје две врсте саћа:

Корпоративни мед - ово је саксија са медом која је постављена у производном окружењу и служи као средство за то проучавање напада у сврху коришћења знања за додатно јачање сигурности мреже.

Истраживање саћа - ово је меденица коју истраживачи користе и са надом проучава методологије напада и друге карактеристике попут мотива за нападе. Затим, на пример, користећи знање да бисте креирали одбрамбена решења (антивируси, анти-малваре итд.) који могу спречити сличне нападе у будућности.

Типови података које саћуваци сакупљају (или отприлике) нападачи могу укључивати, али није ограничено на:

  • Тхе корисничка имена, улоге, и привилегија које нападачи користе
  • Тхе ИП адресе мреже или домаћина који користе за напад
  • О каквим се подацима ради приступљено, измењен или избрисан
  • Тхе стварни притисци на тастере нападачи се упишу, што омогућава администраторима да тачно виде шта раде

Помаге за мед такође помажу са задржавањем пажња хакера је преусмерена из главне мреже, спречавајући пуну силу напада, док администратори нису спремни да предузму одговарајућу контра-акцију.

За крај, морамо поменути предности и недостатке употребе медењака на мрежи (ево по једног за сваку страну):

Предности коришћења мреже саћа

То је мера ниске цене која би могла да пружи високу вредност о вашим нападачима.

Слабости коришћења мреже саћа

Није лако поставити и конфигурирати и било би чисто лудило покушати то без стручног стручњака; то би могло узвратити ватру и изложити мрежу горим нападима. Не треба рећи да су медене гредице неспорно најбољи начин да ухвате хакера или напада баш као што се догађа. Омогућује администраторима да прођу кроз цео процес корак по корак, пратећи све то у стварном времену са сваким упозорењем.

Где можете пронаћи упутства за инсталацију саћа

У овом чланку фокусираћемо се на стратегију потребну за успешну примену саћа у вашој мрежи пре него стварна, корак по корак инсталација самих софтверских решења. Али, за оне од вас који треба да виде решења за медоносне инсталације, постоје неке сјајне веб локације и видео снимци. Наше препоруке биле би:

  • Виндовс - за већину света ово је оперативни систем (ОС) по избору. А у аналитичкој безбедности добијате подесу за овај оперативни систем и уграђујете облак (Амазон АВС) у своју мрежу.
  • Линук - ако сте згодни, Линук тип особе која воли ићи под кров и брчкати под хаубом, ево добре странице која приказује како је мед постављен у том ОС окружењу: Хацкинг Блогс.

Наравно, у данашњем свету ИоуТубе туторијала, канала и мрежних дигиталних заједница попут ГитХуб-а, заиста није тако тешко инсталирати мед. Стратегија и управљање су заиста изазовни део.

Која су најбоља софтверска решења са медом?

За све који претражују, постоји мноштво софтверских решења за избор решења са медом. У наставку имамо три популарнија од којих можете да изаберете:

  • КФ сензор - ово је медени систем са системом Виндовс који почиње да надгледа вашу мрежу чим је постављен. То је пуноправни приручник алата који је конципиран тако да опонаша медну чашицу - међу многим другим корисним особинама. Али, симпатичан карактер овог система за препознавање упада (ИДС) који се заснива на домаћинима је то што је он високо конфигуриран, што администраторима олакшава одбрану својих појединачних мрежа.
  • Гластопф - најбоља ствар овог медењака је да је то софтверско решење отвореног кода, што значи да је, као и сва колаборативна решења, мозак многих стручњака који ће се такође наставити развијати и побољшавати током времена.

Гластопф је Питхон медена веб апликација која је емулатор мреже са слабом интеракцијом. Занимљива карактеристика овог алата је да чак може да опонаша апликације које су рањиве на СКЛ ињекцијске нападе.

  • Гхост УСБ - оно по чему се овај медени пут издваја је то што посебно усмерава пажњу на малваре који се шири преко УСБ уређаја за складиштење података. Ово је велика ствар с обзиром да УСБ уређаји које користе запослени и овлашћени корисници и даље изазивају озбиљну забринутост.

Једном инсталиран, Гхост УСБ опонаша УСБ уређај за складиштење и емитује се путем мреже, са намером да превари било који злонамерни софтвер - који се шири помоћу сличних уређаја - да га зарази. Једном када их открију и потајно посматрају, администраторима постаје лако да предузму потребне кораке и мере предострожности.

Иако ова три решења са медом покривају већину мрежних безбедносних потреба, овде можете пронаћи опширнију листу решења за различите мрежне и безбедносне потребе..

Стратегије меда

Постоје две врсте стратегије примене саћа које можете да усвојите:

Метода слабе интеракције

У овој методи ћете користити лажни подаци, мапе и базе података као мамац са намером да се надгледају напади да би се видело шта ће се догодити у сценарију кршења података у стварном животу. Наравно, они би имали приступ другим периферним скуповима информација попут ИП адреса, корисничких имена и лозинки - над којима администратори будно пазе. Ово бисте желели да урадите ако желите да тестирате неке аспекте периферне пропусности ваше мреже и безбедност ауторизационих процеса, на пример.

Метода високе интеракције

У овом подешавању дозволите нападачима да комуницирају са подацима, софтвером (укључујући ОС), услугама и хардвером који изгледају што реалније. Намера овде је да одмери и освоји способности нападача. Ово подешавање се највише користи у истраживачким сценаријима где се резултати истраживања користе за побољшање одбрамбених способности антивируса и анти-малвареа.

Брини се!

У реду, погледајмо сада неке ствари које ћете морати бити свесни и пажљиви пре него што кренете у спровођење свог медењака.

Правна питања

Било да покријете заостатак у случају да клијенти туже због губитка њихових података или да осигурају да се евентуални трошкови против против уљеза придржавају, морат ћете поништити законске жице. Иако нисмо правно лице, ипак вам можемо рећи да ћете морати бити свјесни и пажљиви са ова три правна аспекта:

  • Ентрапмент - уљези могу да тврде да нису знали да не треба да приступе вашој мрежи или имовини и подацима на њој. Могли би протурјечити тврдњи да је ниси довољно јасно означио и, узевши је још даље, користећи одбрану „затварања“.
  • Приватност - спровођење саћа треба бити крајње опрезно; та се тачка не може довољно нагласити. Један порт који је грешком остављен отворен или је администраторски рачун који је угрожен могао отворити заштитне врата за нападе на вашу главну мрежу. То би, са своје стране, могло довести у опасност личне податке било ког вашег клијента. Ако нападачи успеју да га деле са светом, могли бисте се наћи на мети тужбе за кршење поверења, јер клијенти кажу да вам нису дали дозволу да делите своје податке.
  • Одговорност - још један начин да себе (или мрежу) доведете у топлу воду је ако уљези одлуче да преусмере злочин на себе спремајући злонамерни садржај на компромитоване сервере и, што је још горе, усмерите саобраћај према својим ИП адресама. Чување и дистрибуција садржаја као што је дечја порнографија могли би брзо да видите унутрашњост суднице.

Реч савета: ако на серверима нађете неки такав инкриминирајући садржај или му се приступа путем ваше мреже, прво што треба да урадите је да се обратите властима.

Откривање уљеза

Постављање меденице захтева анонимност стварне мреже то је иза тога. Ништа му не би представљало више опасности од откривања уљеза да су у питању медени лопови којима се баве, а не прави посао. Јер с том спознајом они би то могли схватити као изазов да се пронађе начин да би прекршио главну мрежу. И тако, постаје пресудно да их ниједни путокази не упозоравају на чињеницу да их се прати у мрежи саћа. Уобичајени знакови који обично дају потешкоће - и на тај начин их треба избегавати - су:

  • Ако је мрежа превише лака за напад или приступање њој, учиниће их сумњивим или учинити да мисле да није довољно релевантно да би оправдали њихове напоре.
  • Ако се покреће превише непотребних сервиса или је отворен један превише портова, било би супротно стварности у којој су нормални уређаји који имају приступ интернету обично лишени нерелевантних услуга и имају отворене само потребне портове.
  • Ако су конфигурације покретаних софтверских решења и даље у њиховим заданим поставкама, што се готово никада не догађа у живој мрежи.
  • Ако кроз мрежу прође мало промета без промета што указује да на њему нема ничега занимљивог и да ипак припада главном бренду.
  • Ако је уложено превише труда да то изгледа као да су ушли у продавницу слаткиша са мапама под називом „Лозинке“, „Поверљиво“ или „Корисничка имена“.
  • Ако се чини да су сервери повезани на мрежу празни или је пуно слободног дискапростора показало би да немају никакву вредност.

Укратко, ваша мрежа са медом и уређаји на њему требало би да опонашају стварну везу, иако са лажним подацима и прометом. Ставите се у ципеле нападача и сагледајте своју мрежу из њихове перспективе.

Добро се заштитите!

Не заборавите да уђете у лављи ров кад се одлучите за постављање саћа. Стога, ево неколико тачака које морате увек бити сигурни:

  • Никада не користите стварне податке - није важно какве је врсте, креирајте податке о смећу који изгледају стварно и користите их као мамац.
  • Никада не повезујте сакс са медом на вашу главну мрежу - не би требало постојати начин да нападачи могу ускочити у вашу мрежу путем вашег саћа; побрините се да буде изолована и нека буде тако.
  • Користите виртуелне машине - најсигурнији хардвер који можете ставити на своју шанк је виртуелни; ако вас погоди, све што требате учинити је поново покренути и поново створити.
  • Заштитни зидови и рутери требали би бити једини начин да дођете до свог медењака - сав долазни саобраћај треба да прође кроз њих пре него што дођу до лажне мреже; конфигуришите СВЕ бројеве портова на њима тако да упућују на саћу.
  • Корисничка имена и улоге требају бити јединствене за мед - Било би сулудо користити исте оне који имају приступ вашој главној мрежи; креирајте нове акредитиве и користите их само за мед.
  • Увек тестирајте, тестирајте и тестирајте - никада не пуштајте живицу са медом да не бацате све што имате; у ствари, позовите стручњаке да покушају да га пробију кроз вашу главну мрежу пре него што га пустите да се суочи са Интернетом.

Добра стратегија коју треба усвојити овде је побрините се да нико осим администратора не може приступити саћу и чак тада, треба да користи наменски налог за пријаву који има нула привилегија на стварној мрежи. Или, још боље, онај који уопште не постоји на њему.

Постављање саћа

Могуће је да је идеално место за прављење саћа у демилитаризираној зони (ДМЗ). Ово је подручје које је изван ваше главне мреже, али још увијек иза рутера који је окренут интернету.

Како да успоставите мед за мед на мрежи

Додељивање слика: хр: Корисник: Пброкс13 [Публиц домаин], преко Викимедиа Цоммонс

Онда би опет требали знати да сви напади не долазе са интернета. У ствари, студије су показале да су статистике о „инсајдерским претњама“ - онима које долазе иза ваших заштитних зидова и од стране људи који су овлашћени да користе вашу мрежу - прилично застрашујући на преко 30 процената. То значи да има смисла такође инсталирајте интерни сакс. На овај начин, мрежни администратори ће имати увид у злонамерне покушаје - или једноставне људске грешке које их узрокују. Следећи видео ће вам помоћи у објашњењу сврхе, предности и недостатака постављања саћа на разне локације на мрежи:

Хонеитокенс

Добар начин за посматрање тактике уљеза је постављање меденог тока на сервер или базу података. Хонеитокенс су датотеке или скупови података који нападачу изгледају интересантно, али су заправо лажне реплике стварног посла.

Тхе хонеитокенс такође може бити уграђени датотеке или скупови података у оно што би се иначе чинило легитимним сервером или базом података. Омогућава администраторима да лако прате податке у случају да су украдени - као од кога су украдени и како су украдени - јер се на свакој локацији поставља другачији медени токен.

Примери ове врсте медења укључују адресе е-поште и корисничка имена или ИД-ове за пријаву. Ако нападач добије приступ овим информацијама, лако ће се знати коју су базу података прекршили, што би заузврат могло помоћи у откривању начина на који су успели да то ураде..

Ако се правилно користе и поставе на разноврсан број начина, меденице и медене мреже (две или више саксија на истој мрежи) могу да прикажу прилично јасну слику за администраторе.

Након што су претње настале и затим их медена идентификује, упозорења се могу конфигурирати као одговор на покушаје приступа, модификације или брисања података или чак и када су на мрежи откривени злонамерни пакети и корисни терети..

Завршне мисли о успостављању саћа за мед на вашој мрежи

Као што смо видели, медница ће вам помоћи да се борите против напада цртањем јасније слике о својим нападачима и методама које они могу користити за покушај кршења. Ако га поставите у правилан положај и да га добро конфигуришете, допринећете јачању безбедности ваше мреже, а било какве грешке у томе могу довести до распада ваше главне мреже.

И тако,…

Увек запамтите: саћа сама по себи НИЈЕ решење за безбедност мреже. То је у ствари алат који служи као средство за постизање сигурног мрежног решења. Учите од тога и затегните вијке помоћу других решења за надгледање и заштиту мреже, а притом се побрините да имате друге везе мрежна безбедносна решења као резервне копије.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 89 = 93

Adblock
detector