Sicherheit

Honigtöpfe und Honignetze

Honigtöpfe und Honignetze
Ein Teil der Arbeit von Sicherheits-IT-Spezialisten besteht darin, sich über die Arten von Angriffen oder Techniken, die von Hackern verwendet werden, zu informieren, indem sie auch Informationen für eine spätere Analyse sammeln, um die Merkmale der Angriffsversuche zu bewerten. Manchmal erfolgt diese Sammlung von Informationen durch einen Köder oder Köder, die darauf ausgelegt sind, verdächtige Aktivitäten potenzieller Angreifer zu registrieren, die handeln, ohne zu wissen, dass ihre Aktivitäten überwacht werden. In der IT-Sicherheit werden diese Köder oder Köder Honeypots genannt.

Ein Honeypot kann eine Anwendung sein, die ein Ziel simuliert, das wirklich die Aktivität von Angreifern aufzeichnet. Mehrere Honeypots, die mehrere verbundene Dienste, Geräte und Anwendungen simulieren, werden als Honeynets bezeichnet.

Honeypots und Honeynets speichern keine sensiblen Informationen, sondern speichern gefälschte attraktive Informationen für Angreifer, um sie für die Honeypots, Honeynets, zu interessieren, mit anderen Worten, wir sprechen über Hackerfallen, die ihre Angriffstechniken erlernen sollen.

Honeypots berichten uns von zwei Arten von Vorteilen: Erstens helfen sie uns, Angriffe zu erlernen, um später unser Produktionsgerät oder Netzwerk richtig abzusichern. Zweitens, indem wir Honeypots, die Schwachstellen simulieren, neben Produktionsgeräten oder Netzwerken halten, halten wir die Aufmerksamkeit von Hackern von gesicherten Geräten fern, da sie die Honeypots, die Sicherheitslücken simulieren, die sie ausnutzen können, attraktiver finden werden.

Es gibt verschiedene Arten von Honeypots:

Produktion Honeypots:

Diese Art von Honeypots wird in einem Produktionsnetzwerk installiert, um Informationen über Techniken zu sammeln, die verwendet werden, um Systeme innerhalb der Infrastruktur anzugreifen.  Diese Art von Honeypots bietet eine Vielzahl von Möglichkeiten, von der Position des Honeypots innerhalb eines bestimmten Netzwerksegments, um interne Versuche legitimer Netzwerkbenutzer zu erkennen, auf unerlaubte oder verbotene Ressourcen zuzugreifen, bis hin zu einem Klon einer Website oder eines Dienstes, der mit dem identisch ist Original als Köder. Das größte Problem dieser Art von Honeypots besteht darin, bösartigen Datenverkehr zwischen legitimen zuzulassen.

Entwicklungs-Honeypots:

Diese Art von Honeypots wurde entwickelt, um möglichst mehr Informationen über Hacking-Trends, gewünschte Ziele von Angreifern und Angriffsquellen zu sammeln. Diese Informationen werden später für den Entscheidungsprozess über die Implementierung von Sicherheitsmaßnahmen analysiert.

Der Hauptvorteil dieser Art von Honeypots besteht darin, dass sich Honeypots im Gegensatz zur Entwicklung von Produktions-Honeypots in einem unabhängigen Netzwerk befinden, das der Forschung gewidmet ist. Dieses verwundbare System ist von der Produktionsumgebung getrennt, um einen Angriff vom Honeypot selbst zu verhindern. Sein Hauptnachteil ist die Menge an Ressourcen, die für die Umsetzung erforderlich sind.

Es gibt eine 3 Unterkategorie oder unterschiedliche Klassifizierung von Honeypots, die durch die Interaktion mit Angreifern definiert werden.

Honeypots mit geringer Interaktion:

Ein Honeypot emuliert einen anfälligen Dienst, eine App oder ein System.  Dies ist sehr einfach einzurichten, aber beim Sammeln von Informationen begrenzt. Einige Beispiele für diese Art von Honeypots sind:

Honigfalle: Es wurde entwickelt, um Angriffe auf Netzwerkdienste zu beobachten, im Gegensatz zu anderen Honeypots, die sich auf das Erfassen von Malware konzentrieren, ist diese Art von Honeypots darauf ausgelegt, Exploits zu erfassen.

Nephenten: emuliert bekannte Schwachstellen, um Informationen über mögliche Angriffe zu sammeln, es wurde entwickelt, um Schwachstellen zu emulieren, die Würmer ausnutzen, um sie zu verbreiten, dann erfasst Nephentes ihren Code zur späteren Analyse.

HonigC: identifiziert bösartige Webserver innerhalb des Netzwerks, indem sie verschiedene Clients emuliert und Serverantworten sammelt, wenn sie auf Anfragen antworten.

HonigD: ist ein Daemon, der virtuelle Hosts in einem Netzwerk erstellt, die so konfiguriert werden können, dass beliebige Dienste ausgeführt werden, die die Ausführung in verschiedenen Betriebssystemen simulieren.

Glastopf: emuliert Tausende von Schwachstellen, die darauf ausgelegt sind, Angriffsinformationen gegen Webanwendungen zu sammeln. Es ist einfach einzurichten und sobald es von Suchmaschinen indiziert ist, wird es ein attraktives Ziel für Hacker.

Honeypots mit mittlerer Interaktion:

Diese Arten von Honeypots sind weniger interaktiv als die vorherigen, ohne die Level-Interaktion zuzulassen, die hohe Honeypots ermöglichen. Einige Honeypots dieser Art sind:

Kippo: Es ist ein SSH-Honeypot, der verwendet wird, um Brute-Force-Angriffe auf Unix-Systeme zu protokollieren und die Aktivität des Hackers zu protokollieren, wenn der Zugriff erlangt wurde. Es wurde eingestellt und durch Kauri ersetzt.

Kaurischnecke: ein weiterer SSH- und Telnet-Honeypot, der Brute-Force-Angriffe und Hacker-Shell-Interaktionen protokolliert. Es emuliert ein Unix-Betriebssystem und arbeitet als Proxy, um die Aktivitäten des Angreifers zu protokollieren.

Klebriger_Elefant: es ist ein PostgreSQL-Honeypot.

Hornisse: Eine verbesserte Version von Honeypot-Wasp mit gefälschten Anmeldeinformationen, die für Websites mit öffentlich zugänglicher Anmeldeseite für Administratoren entwickelt wurde, wie /wp-admin für WordPress-Sites.

Honeypots mit hoher Interaktion:

In diesem Szenario sind Honeypots nicht dazu gedacht, nur Informationen zu sammeln, es ist eine Anwendung, die entwickelt wurde, um mit Angreifern zu interagieren, während die Interaktionsaktivität vollständig registriert wird. Sie simuliert ein Ziel, das alle Antworten bieten kann, die der Angreifer erwarten kann. Einige Honeypots dieser Art sind:

Sebek: arbeitet als HIDS (Host-based Intrusion Detection System), das es ermöglicht, Informationen über eine Systemaktivität zu erfassen. Dies ist ein Server-Client-Tool, das in der Lage ist, Honeypots unter Linux, Unix und Windows bereitzustellen, die die gesammelten Informationen erfassen und an den Server senden.

Honigbogen: kann in Honeypots mit geringer Interaktion integriert werden, um die Informationssammlung zu erhöhen.

HI-HAT (High Interaction Honeypot Analysis Toolkit): wandelt PHP-Dateien in hochinteraktionsstarke Honeypots mit einer verfügbaren Weboberfläche um, um die Informationen zu überwachen.

Capture-HPC: ähnlich wie HoneyC, identifiziert bösartige Server, indem sie mit ihnen als Clients über eine dedizierte virtuelle Maschine interagiert und nicht autorisierte Änderungen registriert.

Wenn Sie sich für Honeypots interessieren, könnte wahrscheinlich IDS (Intrusion Detection Systems) für Sie interessant sein, bei LinuxHint haben wir ein paar interessante Tutorials dazu:

Ich hoffe, Sie fanden diesen Artikel über Honeypots und Honeynets hilfreich. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Sicherheit.

Spiele Kostenlose und Open-Source-Spiele-Engines für die Entwicklung von Linux-Spielen
Kostenlose und Open-Source-Spiele-Engines für die Entwicklung von Linux-Spielen
Dieser Artikel behandelt eine Liste von kostenlosen und Open-Source-Spiele-Engines, die für die Entwicklung von 2D- und 3D-Spielen unter Linux verwend...
Spiele Shadow of the Tomb Raider für Linux Tutorial
Shadow of the Tomb Raider für Linux Tutorial
Shadow of the Tomb Raider ist die zwölfte Erweiterung der Tomb Raider-Reihe – ein Action-Adventure-Franchise von Eidos Montrealdos. Das Spiel wurde vo...
Spiele So steigern Sie die FPS unter Linux?
So steigern Sie die FPS unter Linux?
FPS steht für Bilder pro Sekunde. Die Aufgabe von FPS besteht darin, die Bildrate bei Videowiedergaben oder Spielleistungen zu messen. In einfachen Wo...