Co to jest Honeypot?

Jeśli podłączysz komputer do otwartego Internetu bez żadnego filtru ruchu przychodzącego, zwykle zacznie on odbierać ruch związany z atakami w ciągu kilku minut. Taka jest skala zautomatyzowanych ataków i skanowania, które nieustannie mają miejsce w Internecie. Zdecydowana większość tego rodzaju ruchu jest całkowicie zautomatyzowana. To tylko boty skanujące Internet i być może próbujące losowych ładunków, aby zobaczyć, czy robią coś interesującego.

Oczywiście, jeśli prowadzisz serwer WWW lub inną formę serwera, potrzebujesz serwera podłączonego do Internetu. W zależności od przypadku użycia możesz użyć czegoś takiego jak VPN, aby zezwolić na dostęp tylko autoryzowanym użytkownikom. Jeśli jednak chcesz, aby Twój serwer był publicznie dostępny, musisz mieć połączenie z Internetem. W związku z tym twój serwer będzie narażony na ataki.

Może się wydawać, że po prostu musisz zaakceptować to jako normę dla kursu. Na szczęście jest kilka rzeczy, które możesz zrobić.

Zaimplementuj honeypot

Honeypot to narzędzie, które ma na celu zwabienie atakujących. Obiecuje soczyste informacje lub luki w zabezpieczeniach, które mogą prowadzić do informacji, ale jest tylko pułapką. Honeypot jest celowo ustawiony, aby zwabić atakującego. Istnieje kilka różnych odmian w zależności od tego, co chcesz zrobić.

Honeypot o wysokiej interakcji jest zaawansowany. Jest bardzo złożony i oferuje wiele rzeczy, które mogą zająć atakującego. Są one najczęściej wykorzystywane do badań nad bezpieczeństwem. Pozwalają właścicielowi zobaczyć, jak zachowuje się atakujący w czasie rzeczywistym. Można to wykorzystać do informowania obecnej lub nawet przyszłej obrony. Celem pułapki typu honeypot o wysokim poziomie interakcji jest jak najdłuższe zajmowanie atakującego i nie zdradzanie gry. W tym celu ich konfiguracja i konserwacja są skomplikowane.

Honeypot o niskim poziomie interakcji to w zasadzie pułapka typu „umieść i zapomnij”. Zazwyczaj są proste i nie są przeznaczone do głębokich badań lub analiz. Zamiast tego, honeypoty o niskim poziomie interakcji mają wykrywać, że ktoś próbuje zrobić coś, czego nie powinien, a następnie całkowicie go blokować. Ten rodzaj honeypota jest łatwy do skonfigurowania i wdrożenia, ale może być bardziej podatny na fałszywe alarmy, jeśli nie zostanie starannie zaplanowany.

Przykład honeypota o niskiej interakcji

Jeśli prowadzisz witrynę internetową, funkcja, którą możesz znać, to plik robots.txt. Robots.txt to plik tekstowy, który można umieścić w katalogu głównym serwera WWW. Standardowo boty, a zwłaszcza roboty wyszukiwarek, wiedzą, aby sprawdzić ten plik. Możesz skonfigurować go za pomocą listy stron lub katalogów, które chcesz lub nie chcesz, aby bot przeszukiwał i indeksował. Legalne roboty, takie jak roboty wyszukiwarek, będą przestrzegać instrukcji zawartych w tym pliku.

Format jest zwykle podobny do „możesz przeglądać te strony, ale nie indeksuj niczego innego”. Czasami jednak witryny mają wiele stron, na które można zezwolić, a tylko kilka z nich chcą uniemożliwić indeksowanie. Idą więc na skróty i mówią „nie patrz na to, ale możesz przeszukać wszystko inne”. Większość hakerów i botów zobaczy „nie patrz tutaj”, a następnie zrobi dokładnie odwrotnie. Więc zamiast zapobiegać indeksowaniu Twojej strony logowania administratora przez Google, wskazałeś atakującym bezpośrednio na nią.

Biorąc pod uwagę, że jest to znane zachowanie, łatwo nim manipulować. Jeśli skonfigurujesz honeypot z wrażliwą nazwą, a następnie skonfigurujesz plik robots.txt tak, aby mówił „nie patrz tutaj”, wiele botów i hakerów zrobi dokładnie to. Wtedy dość łatwo jest zarejestrować wszystkie adresy IP, które w jakikolwiek sposób wchodzą w interakcję z honeypotem i po prostu zablokować je wszystkie.

Unikanie fałszywych alarmów

W wielu przypadkach tego rodzaju ukryty honeypot może automatycznie blokować ruch z adresów IP, które spowodowałyby dalsze ataki. Należy jednak uważać, aby legalni użytkownicy witryny nigdy nie korzystali z honeypota. Taki zautomatyzowany system nie jest w stanie odróżnić atakującego od legalnego użytkownika. W związku z tym musisz upewnić się, że żadne legalne zasoby w ogóle nie łączą się z honeypotem.

Możesz umieścić komentarz w pliku robots.txt wskazujący, że wpis honeypot jest honeypotem. Powinno to zniechęcić legalnych użytkowników do prób zaspokojenia ich ciekawości. Zniechęciłoby to również hakerów, którzy ręcznie sondują Twoją witrynę i potencjalnie ich zdenerwowało. Niektóre boty mogą również mieć systemy próbujące wykryć tego rodzaju rzeczy.

Inną metodą zmniejszenia liczby fałszywych alarmów byłoby wymaganie bardziej dogłębnej interakcji z honeypotem. Zamiast blokować każdego, kto choćby załaduje stronę honeypota, możesz zablokować każdego, kto następnie wejdzie z nią w interakcję. Ponownie, chodzi o to, aby wyglądało to na uzasadnione, podczas gdy w rzeczywistości prowadzi donikąd. Posiadanie honeypota jako formularza logowania w /admin to dobry pomysł, o ile w rzeczywistości nie może cię w ogóle zalogować. Logowanie się do czegoś, co wygląda na legalny system, ale w rzeczywistości jest tylko głębiej w honeypot, byłoby bardziej wysoce interaktywnym honeypotem.

Wniosek

Honeypot to pułapka. Został zaprojektowany tak, aby wyglądał na użyteczny dla hakera, podczas gdy w rzeczywistości jest bezużyteczny. Podstawowe systemy po prostu blokują adres IP każdego, kto wchodzi w interakcję z honeypotem. Bardziej zaawansowane techniki mogą być wykorzystane do prowadzenia hakera, potencjalnie przez długi czas. Ten pierwszy jest zwykle używany jako narzędzie bezpieczeństwa. To drugie jest raczej narzędziem do badania bezpieczeństwa, ponieważ może dać wgląd w techniki atakującego. Należy zachować ostrożność, aby uniemożliwić uprawnionym użytkownikom interakcję z honeypotem. Takie działania skutkowałyby albo zablokowaniem legalnego użytkownika, albo zaciemnieniem gromadzenia danych. Zatem honeypot nie powinien być związany z rzeczywistą funkcjonalnością, ale powinien być możliwy do zlokalizowania przy pewnym podstawowym wysiłku.

Honeypot może być również urządzeniem wdrożonym w sieci. W tym scenariuszu jest to oddzielone od wszystkich legalnych funkcji. Ponownie, byłby zaprojektowany tak, aby wyglądał, jakby zawierał interesujące lub poufne dane dla kogoś skanującego sieć, ale żaden legalny użytkownik nigdy nie powinien się z nim spotkać. Dlatego każdy, kto wchodzi w interakcję z honeypotem, zasługuje na recenzję.