Kako uspostaviti mednu mrežu na svojoj mreži

Kako uspostaviti mednu mrežu na svojoj mreži

Honeypot je resurs informacijskog sustava čija vrijednost leži u neovlaštenom ili nedozvoljenom korištenju tog resursa. - Lance Spitzner

Kao što ste mogli pretpostaviti, promet koji je privučen - a zatim se preusmjerio ili se pomnije proučio, ovisno o namjeni - je zlonamjernog; ono što dolazi od hakera, zlonamjernog softvera i virusa.

Zašto vam treba medeni lonac na mreži?

Glavni razlog zašto vam je potrebna medena mreža na mreži je zbog podataka koje daje; nešto što vam nijedan sustav za otkrivanje ili sprječavanje provale ne može pružiti. Oružani informacijama i upozorenjima koje registriraju, mrežni administratori postat će svjesni vrste napada na koje ciljaju i imat će prethodno znanje kako bi mogli poboljšati svoju obranu..

Uz spomenuto, postoje dvije vrste saća:

Korporativni med - ovo je mednica koja je postavljena u proizvodnom okruženju i služi kao alat za proučavanje napada u svrhu korištenja znanja za daljnje jačanje sigurnosti mreže.

Istraživanje saća - ovo je mednica koju istraživači koriste i sa nadom proučava metodologije napada i druge karakteristike poput motiva za napade. Zatim, na primjer, koristeći znanje za izradu obrambenih rješenja (antivirusi, anti-malware itd.) koji mogu spriječiti slične napade u budućnosti.

Vrste podataka koje sakoti hvataju od (ili otprilike) napadača mogu uključivati, ali nije ograničeno na:

  • korisnička imena, uloge, i povlastice koje napadači koriste
  • IP adrese mreže ili domaćina koji koriste za napad
  • O kakvim se podacima radi pristupiti, promijenjen ili Izbrisani
  • stvarni pritisci na tipke napadači upisuju što omogućava administratorima da vide točno što rade

Medovi također pomažu uz zadržavanje pozornost hakera preusmjerena iz glavne mreže, sprečavajući punu silu napada, dok administratori nisu spremni uspostaviti odgovarajuću proturječnost.

Za kraj, trebamo spomenuti i prednosti i nedostatke upotrebe medenjaka na mreži (ovdje je jedan za svaku stranu):

Mogućnosti korištenja mreže saća

Riječ je o jeftinoj sigurnosnoj mjeri koja bi mogla dati visoke vrijednosti informacija o vašim napadačima.

Slabosti korištenja mreže saća

Postavljanje i konfiguriranje nije lako i bilo bi čisto ludilo pokušati to bez stručnog stručnjaka; mogla bi uzvratiti paljbu i izložiti mrežu gorim napadima. Ne treba reći, da su medne posudice sporno najbolji način uhvatiti hakera ili napada baš kao što se događa. Omogućuje administratorima da prođu kroz cijeli postupak korak po korak, prateći sve to u stvarnom vremenu sa svakim upozorenjem.

Gdje pronaći upute za postavljanje saća

U ovom članku usredotočit ćemo se na strategiju potrebnu za uspješnu implementaciju saća na vašoj mreži a ne stvarne postupne instalacije samih softverskih rješenja. No, za one od vas koji trebaju vidjeti rješenja za medonosne instalacije, postoje sjajna mjesta i videozapisi vani. Naše preporuke bile bi:

  • Windows - za većinu svijeta ovo je operativni sustav (OS) po izboru. A na Analitičkoj sigurnosti možete postaviti mednu stanicu za ovaj operativni sustav i uključiti oblak (Amazon AWS) u svoju mrežu.
  • Linux - ako ste zgodni, Linux tip osobe koja voli ići pod krov i brbljati pod haubom, evo dobrog web mjesta koje pokazuje kako je med postavljen u tom OS okruženju: Hakiranje blogova.

Naravno, u današnjem svijetu YouTube tutoriala, kanala i mrežnih digitalnih zajednica poput GitHub-a, zaista nije teško instalirati med. Strategija i upravljanje doista su izazovni dio.

Koja su najbolja softverska rješenja za saću?

Za sve koji pretražuju, bezbroj je softverskih rješenja za izbor kada je riječ o rješenjima za saće. U nastavku imamo tri popularnija od kojih možete izabrati:

  • KF senzor - ovo je Windows saće sa medom koja počinje nadzirati vašu mrežu čim je postavljena. Riječ je o punopravnom priručniku alata koji je osmišljen tako da oponaša mednu posudu - među mnogim drugim korisnim značajkama. No, dražljiv karakter ovog host-based sustava za otkrivanje provale (IDS) je što je vrlo konfiguriran što administratorima olakšava obranu svojih pojedinačnih mreža.
  • Glastopf - najbolja stvar ovog medenjaka je da je softversko rješenje otvorenog koda, što znači da je, kao i sva kolaborativna rješenja, mozak mnogih stručnjaka koji će se također nastaviti razvijati i poboljšavati s vremenom.

Glastopf je Python medena web aplikacija koja je mrežni emulator slabe interakcije. Zanimljiva značajka ovog alata je da čak može oponašati aplikacije koje su ranjive na SQL injekcijske napade.

  • Ghost USB - ono zbog čega se ova medenjakinja izdvaja jest to što posebno usredotočuje svoju pozornost na zlonamjerni softver koji se širi putem USB uređaja za pohranu. Ovo je velika stvar s obzirom da USB diskovi koje koriste zaposlenici i ovlašteni korisnici i dalje izazivaju ozbiljnu zabrinutost.

Jednom instaliran, Ghost USB oponaša USB uređaj za pohranu i emitira se putem mreže s namjerom da prevari bilo koji zlonamjerni softver - koji se širi pomoću sličnih uređaja - da ga zarazi. Jednom otkriveno i potajno promatrano, administratorima postaje lako poduzeti potrebne korake i mjere opreza.

Iako ova tri rješenja sa medom pokrivaju većinu mrežnih sigurnosnih potreba, ovdje možete pronaći opsežniji popis rješenja za razne mrežne i sigurnosne potrebe..

Strategije meda

Postoje dvije vrste strategije provedbe saća koje možete usvojiti:

Metoda slabe interakcije

U ovoj će se metodi koristiti lažni podaci, mape i baze podataka kao mamac s namjerom praćenja napada kako bi se vidjelo što će se dogoditi u scenariju kršenja podataka u stvarnom životu. Naravno, oni bi imali pristup drugim perifernim skupovima informacija poput IP adresa, korisničkih imena i lozinki - nad kojima administratori budno paze. To biste željeli učiniti ako biste htjeli testirati neke aspekte periferne propusnosti vaše mreže i sigurnost vaših procesa autorizacije, na primjer.

Metoda visoke interakcije

U ovom postavljanju dopuštaju napadačima interakciju s podacima, softverom (uključujući OS), uslugama i hardverom koji izgledaju što realnije. Namjera je ovdje odmjeriti i uhvatiti vještine napadača. Ova se postavka uglavnom koristi u istraživačkim scenarijima gdje se rezultati istraživanja koriste za poboljšanje obrambenih sposobnosti antivirusa i anti-malwarea.

Čuvaj se!

U redu, sada razmotrimo neka pitanja koja ćete trebati biti svjesni i pažljivi prije nego što započnete sa primjenom svoje mednice.

Pravna pitanja

Bez obzira radi li se o pokrivanju zaostatka u slučaju da klijenti tuže zbog gubitka njihovih podataka ili osiguraju da se svi troškovi protiv uljeza pridržavaju, morat ćete poništiti zakonske žice. Iako nismo pravna osoba, ipak vam možemo reći da ćete trebati biti svjesni i pažljivi s ova tri pravna aspekta:

  • uklještenje - uljezi mogu tvrditi da nisu znali da nisu trebali pristupiti vašoj mreži ili imovini i podacima na njoj. Mogli bi proturječiti tvrdnji da je nisi dovoljno jasno označio i, uzevši je još dalje, upotrijebite odbranu "zatvaranja".
  • Privatnost - provedba saća treba biti vrlo oprezna; ta se točka ne može dovoljno naglasiti. Jedan port koji je greškom ostavljen otvoren ili je administratorski račun koji je ugrožen mogao otvoriti zaštitne vrata za napade na vašu glavnu mrežu. To bi, pak, moglo ugroziti osobne podatke bilo kojeg vašeg klijenta. Ako napadači uspiju to podijeliti sa svijetom, mogli biste se naći na meti tužbe zbog kršenja povjerenja, jer klijenti kažu da vam nisu dali dozvolu za dijeljenje njihovih podataka.
  • Odgovornost - još jedan način na koji možete sebe (ili mrežu) dobiti u vrućoj vodi je ako uljezi odluče preokrenuti zločin spremajući tako zlonamjerni sadržaj na svoje kompromitirane poslužitelje i, što je još gore, usmjeravati promet prema svojim IP adresama. Pohranjivanje i distribucija sadržaja poput dječje pornografije mogli biste brzo vidjeti unutrašnjost sudnice.

Savjet: ako pronađete neki takav inkriminirajući sadržaj na svojim poslužiteljima ili mu se pristupa putem vaše mreže, prvo što trebate učiniti je kontaktirati vlasti.

Otkrivanje uljeza

Postavljanje meda zahtijeva anonimnost stvarne mreže to je iza njega. Ništa mu ne bi predstavljalo više opasnosti od otkrivanja uljeza da su uistinu medeni lopovi kojima se bave, a ne pravi posao. Jer s tom spoznajom mogli bi to shvatiti kao izazov da se pronađe način prekinuti glavnu mrežu. I tako, postaje ključno da ih nijedni putokazi ne upozoravaju na činjenicu da ih se prati u mreži saća. Uobičajeni znakovi koji obično daju poteškoće - i tako ih treba izbjegavati - su:

  • Ako je mreža previše laka za napad ili pristupanje, učinit će ih sumnjivim ili učiniti da misle da nije dovoljno relevantno da bi opravdali njihove napore.
  • Ako se pokreće previše nepotrebnih servisa ili je otvoren previše previše portova, bilo bi suprotno stvarnosti u kojoj su normalni uređaji usmjereni na Internet obično lišeni nerelevantnih usluga i imaju otvorene samo potrebne portove.
  • Ako su konfiguracije pokretanih softverskih rješenja još uvijek u njihovim zadanim postavkama, što se gotovo nikada ne događa u živoj mreži.
  • Ako je promet malo prošao kroz mrežu što ukazuje da na njemu nema ničega zanimljivog i da ipak pripada glavnoj marki.
  • Ako je uloženo previše truda u to da izgleda kao da su ušli u trgovinu slatkišima s mapama pod nazivom "Lozinke", "Povjerljivo" ili "Korisnička imena".
  • Ako se čini da su poslužitelji spojeni na mrežu prazni ili je puno slobodnog diskaprostor pokazalo bi da nemaju nikakvu vrijednost.

Ukratko, vaša mreža sa medom i uređaji na njemu trebali bi oponašati stvarnu vezu, iako s lažnim podacima i prometom. Stavite se u cipele napadača i gledajte na njihovu mrežu iz njihove perspektive.

Dobro se zaštitite!

Ne zaboravite da uletite u lavlju grob kad se odlučite za postavljanje saća. Stoga, evo nekoliko točaka koje morate biti sigurni da su uvijek obuhvaćeni:

  • Nikada ne koristite stvarne podatke - nije važno kakve je vrste, stvarajte podatke o smeću koji izgledaju stvarno i koristite ih kao mamac.
  • Nikada ne povezujte svoju mednu mrežu na vašu glavnu mrežu - ne bi trebalo postojati način da napadači mogu uskočiti u vašu mrežu putem vašeg saća; pobrinite se da bude izolirana i neka bude tako.
  • Koristite virtualne strojeve - najsigurniji hardver koji možete staviti na svoj medeni vrtić je virtualni; Ako vas netko pogodi, sve što trebate učiniti je ponovno pokrenuti i ponovo stvoriti.
  • Vatrozidovi i usmjerivači trebali bi biti jedini način da dođete do svoje medene posude - sav dolazni promet trebao bi proći kroz njih prije nego što naiđu na lažnu mrežu; konfigurirajte SVE brojeve porta na njima tako da upućuju na saću.
  • Korisnička imena i uloge trebaju biti jedinstvene u saću - Bilo bi suludo koristiti iste one koji imaju pristup vašoj glavnoj mreži; stvorite nove vjerodajnice i koristite ih samo za med.
  • Uvijek testirajte, testirajte i testirajte - nikad ne puštajte živicu sa medom i ne bacajte sve što imate; u stvari, pozovite stručnjake da pokušaju probiti se na vašu glavnu mrežu prije nego što je pustite da se suoči s Internetom.

Dobra strategija koju ovdje treba usvojiti je pobrinite se da nitko osim administratora ne može pristupiti saću i čak tada bi trebao koristiti namjenski račun za prijavu koji na stvarnoj mreži ima nula privilegija.. Ili, još bolje, onaj koji uopće ne postoji na njemu.

Postavljanje saća

Moguće je da je idealno mjesto za stvaranje medenjaka u demilitariziranoj zoni (DMZ). Ovo je područje koje je izvan vaše glavne mreže, ali još uvijek iza usmjerivača koji je okrenut internetu.

Kako uspostaviti mednu mrežu na svojoj mreži

Dodjela slika: hr: Korisnik: Pbroks13 [Javna domena], putem Wikimedia Commonsa

Tada bi opet trebali znati da svi napadi ne dolaze s interneta. Zapravo, studije su pokazale da su statistike o "insajderskim prijetnjama" - onima koje dolaze iza vaših vatrozida i ljudi koji su ovlašteni za korištenje vaše mreže - prilično zastrašujuće na preko 30 posto. To znači da ima smisla također ugradite unutarnji saks za med. Na ovaj način, mrežni administratori imat će uvid u zlonamjerne pokušaje - ili jednostavne ljudske pogreške koje ih uzrokuju. Sljedeći će vam videozapis pomoći objasniti svrhu, prednosti i nedostatke postavljanja saća na različite lokacije u mreži:

Honeytokens

Dobar način promatranja taktike uljeza je postavljanje medenog toka na poslužitelj ili bazu podataka. Honeytokens su datoteke ili skupovi podataka koji napadaču mogu biti zanimljivi, ali su zapravo lažne replike stvarnog posla.

honeytokens također može biti ugrađeni datoteke ili skupovi podataka u ono što bi se inače činilo legitimnim poslužiteljem ili bazom podataka. Omogućava administratorima jednostavno praćenje podataka u slučaju da su ukradeni - poput onoga od koga su ukradeni i kako su ukradeni - jer se na svakoj lokaciji postavlja drugačiji način pretraživanja.

Primjeri ove vrste pretraživanja uključuju adrese e-pošte i korisnička imena ili ID-ove za prijavu. Ako napadač dobije pristup tim podacima, lako će se znati koju su bazu podataka prekršili, što bi zauzvrat moglo pomoći u otkrivanju načina na koji su to uspjeli učiniti.

Ako se pravilno koriste i postavljaju na raznovrsan broj načina, medenice i saće (dvije ili više mednih posuda na istoj mreži) mogu stvoriti prilično jasnu sliku za administratore.

Nakon što su prijetnje nastale i zatim ih medena identificira, upozorenja se mogu konfigurirati kao odgovor na pokušaje pristupa, izmjene ili brisanja podataka ili čak i kada su na mreži otkriveni zlonamjerni paketi i opterećenja..

Završne misli o uspostavljanju saća za med na vašoj mreži

Kao što smo vidjeli, mednica će vam pomoći u borbi protiv napada crtanjem jasnije slike vaših napadača i metoda koje oni mogu koristiti za pokušaj kršenja. Ako ga postavite u pravilan položaj i dobro konfigurirate, pomoći ćete u jačanju sigurnosti vaše mreže, a bilo kakve pogreške u tome mogu dovesti do propadanja vaše glavne mreže.

I tako,…

Uvijek zapamtite: saća sama po sebi NIJE rješenje sigurnosti mreže. To je u stvari alat koji služi kao sredstvo za postizanje sigurnog mrežnog rješenja. Učite od toga i pritegnite vijke koristeći druga rješenja za nadgledanje i zaštitu mreže, a pritom osigurajte da imate i druge uživo mrežna sigurnosna rješenja kao sigurnosne kopije.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 1 = 7

Adblock
detector