Honningkrukke

Honeypot (fra engelsk - "pot of honning") er en ressource, der er lokkemad for ubudne gæster.

Honeypot'ens opgave er at blive angrebet eller uautoriseret forskning, som efterfølgende vil give dig mulighed for at studere angriberens strategi og bestemme listen over midler, hvormed virkelige sikkerhedsobjekter kan rammes. En honeypot-implementering kan enten være en dedikeret dedikeret server eller en enkelt netværkstjeneste, hvis opgave er at tiltrække hackernes opmærksomhed .

En honningpotte er en ressource, der ikke gør noget uden nogen indflydelse på den. Honeypot indsamler en lille mængde information, efter at have analyseret, hvilken statistik der er bygget på de metoder, der anvendes af kiks, samt tilstedeværelsen af eventuelle nye løsninger, der efterfølgende vil blive brugt i kampen mod dem.

For eksempel bør en webserver , der ikke har et navn og er praktisk talt ukendt for nogen, derfor ikke have gæster adgang til den, så alle personer, der forsøger at bryde ind i den, er potentielle hackere. Honeypot indsamler information om disse crackeres adfærd og hvordan de påvirker serveren . Derefter udvikler informationssikkerhedsspecialister strategier til at afvise angreb fra ubudne gæster.

Udseende historie

Honeypot dukkede op med de første ubudne computere. Honeypots er mindst 20 år gamle[ afklare ] udviklinger for deres oprettelse og implementering blev udført parallelt med IDS - forskningen .

Den første dokumenterede reference var Clifford Stolls bog "Gøgens æg", skrevet i 1990. Ti år senere, i 2000, blev honningpotter allestedsnærværende lokkesystemer.

Efterfølgende vil IDS og honeypot være et enkelt kompleks til at sikre virksomhedens informationssikkerhed .

Alternative forsvarsmetoder

Beyond the honeypot, pt[ hvornår? ] anvendes følgende midler til at beskytte computernetværk: honeynet, honeytoken, polstret celle , IDS, IPS. De sidste to passer ikke til definitionen af en honningkrukke - de er ikke honningkrukker, men indtrængningsdetektion og -forebyggelsessystemer . Samtidig bliver IDS, et system til registrering af indtrængen, der logger alle uautoriserede forbindelser til målsystemet, det tætteste på et honeypot-koncept.

Padded Cell er en slags sandkasselokkemad. At komme ind i det, kan angriberen ikke forårsage nogen skade på systemet, fordi. han er konstant i et isoleret miljø.

Honeynet er et honeypot-netværk, se nedenfor.

Under alle omstændigheder, uanset hvilket beskyttelsessystem der er installeret, bør det have falske oplysninger som lokkemad, ikke originalen.

Typer af honningkrukke

Der er honeypots bygget på dedikerede servere og software-emulerede honeypots .

Honeypot installeret på en dedikeret server giver dig mulighed for at bringe den så tæt som muligt på den rigtige server, hvis rolle den udfører ( dataserver , applikationsserver , proxyserver ).

Den emulerede honeypot genopretter sig hurtigt, når den hackes, og er også tydeligt afgrænset fra det primære OS . Det kan oprettes ved hjælp af en virtuel maskine eller Honeyd .

Forskellen mellem dem er netværkets skala. Hvis der for eksempel er tale om et lille kontornetværk, så giver det ikke meget mening at installere en dedikeret server til at logge mistænkelige hændelser på netværket. Her vil det være nok at begrænse os til et virtuelt system eller endda en virtuel tjeneste. I store organisationer er det dedikerede servere med fuldt gengivet netværkstjenester, der bruges. Typisk er sådanne tjenester forkert konfigureret med vilje, så en hacker med succes kan hacke sig ind i systemet. Dette er hovedideen med en honningkrukke - at lokke en ubuden gæst.

Fordele ved en Honeypot

Honeypot-teknologier giver analytikere flere fordele:

indsamling af meningsfuld information;
krævende for systemressourcer;
nem installation, konfiguration og betjening;
synlighed af behovet for at bruge.

Ulemper ved Honeypot

Honeypot faciliteter har flere ulemper. Honeypots erstatter ikke nogen sikkerhedsmekanismer; de virker kun og udvider den overordnede sikkerhedsarkitektur.

De største problemer med Honeypot-midler er:

begrænset synsfelt;
muligheden for at afsløre Honeypot;
risikoen for honeypot-hacking og værtsangreb fra tredjeparter.

Placering af honningpotten

En række forskellige honeypot-placeringer vil hjælpe med at give et komplet billede af en angribers taktik. At placere en honeypot inde i et lokalt netværk vil give en idé om angreb inde fra netværket, og at placere den på offentlige servere på dette netværk eller i en DMZ vil give en idé om angreb på usikre netværkstjenester, såsom mailtjenester , SMB , ftp- servere osv.

honeypot på LAN

honeypot kan installeres inde i det lokale netværk (efter firewall ) - altså på lokale netværkscomputere og servere. Hvis fjernnetværksadministration ikke udføres, skal al indkommende ssh -trafik omdirigeres til honeypot. Ved modtagelse af netværkstrafik skal lokkesystemet logge alle hændelser og på et lavt niveau. Honeypot er ikke et simpelt program, der skriver serverlogs. Hvis en angriber var i stand til at få adgang til serveren, vil det ikke være svært for ham at slette alle logfilerne. Ideelt set bør alle hændelser i systemet registreres på kerneniveau.

honeypot i DMZ

DMZ eller DMZ er vært for offentlige servere. Det kan for eksempel være en webserver eller en mailserver . Da tilstedeværelsen af sådanne servere ofte tiltrækker opmærksomhed fra spammere og hackere, er det nødvendigt at sikre deres informationsbeskyttelse. Installation af en honeypot på DMZ-servere er en løsning på dette problem.

Hvis du ikke har en dedikeret webserver, kan du efterligne webtjenester ved hjælp af software honeypots. De giver dig mulighed for nøjagtigt at gengive en ikke-eksisterende webserver i virkeligheden og lokke en ubuden gæst. Emulering af mail og andre netværkstjenester er kun begrænset af valget af en specifik softwareløsning.

Et netværk med to, tre eller flere honeypots kaldes per definition et honeynet. Det kan begrænses fra det fungerende netværk. Kontroltrafik, der kommer ind i honningnettet, skal fanges af honningnetfælder.

Honeypot implementeringer

Alle kendte honningpotter kan opdeles i 2 klasser - åbne og kommercielle

åben	kommercielle
Bubblegum Proxypot	Patriot boks
Jackpot	KFSensor
BackOfficer venlig	Netbait
Bait-n-Switch (utilgængeligt link)	ManTrap
storøjet	Spectre
honning web	Honeypot Manager
Deception Toolkit
LaBrea Tarpit
Honeyd
Sendmail SPAM Trap
Lille honningpotte

Det følgende er en kort forklaring af nogle implementeringer.

	Kommentar
Deception Toolkit	den allerførste open source honeypot, dateret 1997
honning web	emulerer forskellige typer webtjenester
BackOfficer venlig	honeypot til Windows OS , kan anvendes som HIPS
Honeyd	honeypot på lavt niveau til Linux , der er i stand til at efterligne hundredvis af operativsystemer
Bubblegum Proxypot	open source honeypot, bruges til at bekæmpe spammere
Spectre	kommerciel honeypot på lavt niveau til Windows OS. Efterligner 13 forskellige operativsystemer.
Honeypot Manager	kommerciel honningpotte. Emulerer en server med Oracle DBMS installeret.

Links

Honeypot-løsninger

Ondsindet software
Infektiøs malware	Computer virus netværksorm Trojan boot virus Batch virus Historie
Gemme metoder	Bagdør Dropper Bogmærke Kryptor zombie computer Polymorfi rootkit
Malware for profit	Adware Privatlivsinvasiv software Ransomware ( Trojan.Winlock ) Spyware Bot Botnet Webtrusler Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno opkalder
Af operativsystemer	Linux malware Virus til Palm OS Makrovirus mobil virus
Beskyttelse	Defensiv databehandling Antivirus program Firewall System til registrering af indtrængen Forebyggelse af informationslækage Tidslinje for antivirus
Modforanstaltninger	Anti Spyware Coalition computer overvågning honningkrukke Betjening: Bot Roast