Wat is een honingpot?

Als u een computer met het open internet verbindt zonder enige vorm van filter voor inkomend verkeer, begint deze doorgaans binnen enkele minuten met het ontvangen van aanvalsverkeer. Dat is de omvang van geautomatiseerde aanvallen en scans die voortdurend op internet plaatsvinden. Het overgrote deel van dit soort verkeer is volledig geautomatiseerd. Het zijn gewoon bots die het internet scannen en misschien wat willekeurige payloads proberen om te zien of ze iets interessants doen.

Als u een webserver of een andere vorm van server gebruikt, moet uw server natuurlijk verbonden zijn met internet. Afhankelijk van uw use-case kunt u mogelijk iets als een VPN gebruiken om alleen toegang te verlenen aan geautoriseerde gebruikers. Als u echter wilt dat uw server openbaar toegankelijk is, moet u verbinding hebben met internet. Als zodanig zal uw server worden aangevallen.

Het lijkt misschien alsof je dit in principe gewoon moet accepteren als onderdeel van de cursus. Gelukkig zijn er enkele dingen die je kunt doen.

Implementeer een honingpot

Een honeypot is een hulpmiddel dat is ontworpen om aanvallers binnen te lokken. Het belooft sappige informatie of kwetsbaarheden die tot informatie kunnen leiden, maar het is slechts een valstrik. Een honeypot is met opzet opgezet om een ​​aanvaller naar binnen te lokken. Er zijn een paar verschillende varianten, afhankelijk van wat je wilt doen.

Een high-interaction honeypot is geavanceerd. Het is erg complex en biedt veel dingen om de aanvaller bezig te houden. Deze worden meestal gebruikt voor beveiligingsonderzoek. Ze stellen de eigenaar in staat om in realtime te zien hoe een aanvaller handelt. Dit kan worden gebruikt om huidige of zelfs toekomstige verdedigingen te informeren. Het doel van een high-interaction honeypot is om de aanvaller zo lang mogelijk bezig te houden en het spel niet weg te geven. Daartoe zijn ze complex om op te zetten en te onderhouden.

Een honeypot met weinig interactie is in feite een plaats-en-vergeet-valstrik. Ze zijn meestal eenvoudig en niet ontworpen om te worden gebruikt voor diepgaand onderzoek of analyse. In plaats daarvan zijn honeypots met lage interactie bedoeld om te detecteren dat iemand iets probeert te doen wat ze niet zouden moeten doen en om ze vervolgens volledig te blokkeren. Dit soort honeypot is eenvoudig op te zetten en te implementeren, maar kan meer vatbaar zijn voor valse positieven als het niet zorgvuldig wordt gepland.

Een voorbeeld van een honingpot met lage interactie

Als u een website beheert, is robots.txt een functionaliteit die u wellicht kent. Robots.txt is een tekstbestand dat u in de hoofdmap van een webserver kunt plaatsen. Standaard weten bots, vooral crawlers voor zoekmachines, dit bestand te controleren. U kunt het configureren met een lijst met pagina's of mappen die u wel of niet door een bot wilt laten crawlen en indexeren. Legitieme bots, zoals een crawler van een zoekmachine, respecteren de instructies in dit bestand.

Het formaat is meestal in de trant van "u kunt deze pagina's bekijken, maar niets anders crawlen". Soms hebben websites echter veel pagina's die moeten worden toegestaan ​​en slechts een paar die ze willen voorkomen dat ze worden gecrawld. Dus nemen ze een kortere weg en zeggen "kijk hier niet naar, maar je kunt al het andere kruipen". De meeste hackers en bots zien "niet hier kijken" en doen dan precies het tegenovergestelde. Dus in plaats van te voorkomen dat uw inlogpagina voor beheerders door Google wordt gecrawld, heeft u aanvallers er rechtstreeks naar verwezen.

Aangezien dit echter bekend gedrag is, is het vrij eenvoudig te manipuleren. Als je een honeypot opzet met een gevoelig ogende naam en vervolgens je robots.txt-bestand configureert om te zeggen "kijk hier niet", zullen veel bots en hackers precies dat doen. Het is dan vrij eenvoudig om alle IP-adressen die op welke manier dan ook met de honeypot communiceren te loggen en ze gewoon allemaal te blokkeren.

False positives vermijden

In een groot aantal gevallen kan dit soort verborgen honeypot automatisch verkeer van IP-adressen blokkeren dat verdere aanvallen zou kunnen uitvoeren. Er moet echter voor worden gezorgd dat legitieme gebruikers van de site nooit naar de honeypot gaan. Een geautomatiseerd systeem als dit kan het verschil niet zien tussen een aanvaller en een legitieme gebruiker. Daarom moet u ervoor zorgen dat er helemaal geen legitieme bronnen naar de honeypot linken.

U kunt een opmerking in het robots.txt-bestand opnemen om aan te geven dat de honeypot-vermelding een honeypot is. Dit zou legitieme gebruikers ervan moeten weerhouden hun nieuwsgierigheid te bevredigen. Het zou ook hackers afschrikken die handmatig uw site onderzoeken en ze mogelijk ophitsen. Sommige bots hebben mogelijk ook systemen om dit soort dingen te detecteren.

Een andere methode om het aantal fout-positieven te verminderen, is om meer diepgaande interactie met de honeypot te vereisen. In plaats van iedereen te blokkeren die de honeypot-pagina laadt, zou je iedereen kunnen blokkeren die er vervolgens verder mee communiceert. Nogmaals, het idee is om het er legitiem uit te laten zien, terwijl het eigenlijk nergens toe leidt. Het is een goed idee om je honeypot een inlogformulier op /admin te laten zijn, zolang het je maar nergens op kan inloggen. Het dan laten inloggen op wat lijkt op een legitiem systeem, maar in feite gewoon dieper in de honeypot zit, zou meer een high-interaction honeypot zijn.

Conclusie

Een honingpot is een val. Het is ontworpen om eruit te zien alsof het nuttig kan zijn voor een hacker, terwijl het eigenlijk nutteloos is. Basissystemen blokkeren gewoon het IP-adres van iedereen die interactie heeft met de honeypot. Er kunnen meer geavanceerde technieken worden gebruikt om de hacker mogelijk voor een lange periode te leiden. De eerste wordt meestal gebruikt als beveiligingshulpmiddel. Dit laatste is meer een hulpmiddel voor beveiligingsonderzoek, omdat het inzicht kan geven in de technieken van de aanvaller. Er moet voor worden gezorgd dat legitieme gebruikers geen interactie hebben met de honeypot. Dergelijke acties zouden ofwel resulteren in het blokkeren van de legitieme gebruiker of het vertroebelen van de gegevensverzameling. De honeypot zou dus niet gerelateerd moeten zijn aan daadwerkelijke functionaliteit, maar zou met enige basisinspanning te vinden moeten zijn.

Een honeypot kan ook een apparaat zijn dat op een netwerk is geïmplementeerd. In dit scenario staat het los van alle legitieme functionaliteit. Nogmaals, het zou zijn ontworpen om eruit te zien alsof het interessante of gevoelige gegevens bevat voor iemand die het netwerk scant, maar geen legitieme gebruiker zou het ooit moeten tegenkomen. Dus iedereen die interactie heeft met de honeypot is het waard om beoordeeld te worden.