Paano magtatag ng isang honeypot sa iyong network

Ang Honeypot ay isang mapagkukunan ng impormasyon ng sistema na ang halaga ay nakasalalay sa hindi awtorisado o hindi ipinagbabawal na paggamit ng mapagkukunang iyon. – Lance Spitzner

Tulad ng maaari mong nahulaan, ang trapiko na kung saan ay naaakit – at pagkatapos ay ilayo ang layo o pinag-aralan nang mas malapit, depende sa layunin – ay ng nakakahamak na uri; na nagmumula sa mga hacker, malware, at mga virus.

Bakit kailangan mo ng isang honeypot sa iyong network?

Ang pangunahing kadahilanan na kailangan mo ng isang honeypot sa iyong network ay dahil sa impormasyong ibinibigay nito; isang bagay na walang panghihimasok sa pagtuklas o pag-iwas sa sistema na maaaring magbigay sa iyo. Gamit ang impormasyon, at ang mga alerto na kanilang rehistro, ang mga tagapangasiwa ng network ay malalaman ang uri ng mga pag-atake na kanilang na-target at magkaroon ng unahan-kaalaman upang malaman kung ano ang kailangan nilang gawin upang palakasin ang kanilang mga panlaban.

Gamit ang sinabi, mayroong dalawang uri ng mga honeypots:

Corporate honeypot – ito ay isang honeypot na naka-set up sa isang kapaligiran sa paggawa at nagsisilbing isang tool para sa pag-aaral ng mga pag-atake sa layunin ng paggamit ng kaalaman upang lalo pang palakasin ang seguridad ng network.

Honeypot ng pananaliksik – ito ay isang honeypot na ginagamit ng mga mananaliksik at may pag-asa pag-aaral ng mga pamamaraan ng pag-atake at iba pang mga katangian tulad ng mga motibo para sa pag-atake. Pagkatapos, halimbawa, gamit ang kaalaman upang lumikha ng mga solusyon sa pagtatanggol (antivirus, anti-malware, atbp.) na maaaring maiwasan ang mga katulad na pag-atake sa hinaharap.

Ang mga uri ng data na kinukuha ng mga honeypots mula sa (o tungkol sa) maaaring isama ng mga umaatake, ngunit hindi limitado sa:

  • Ang mga username, mga tungkulin, at mga pribilehiyo na ginagamit ng mga umaatake
  • Ang IP address ng network o host na ginagamit para sa pag-atake
  • Ano ang data ay na-access, binago o tinanggal
  • Ang aktwal na mga keystroke nai-type ang mga umaatake, na nagbibigay-daan sa mga administrador na makita mismo kung ano ang kanilang ginagawa

Tumutulong din ang mga hypone sa pagpapanatili ng pansin ng mga hacker mula sa pangunahing network, pag-iwas sa buong lakas ng isang pag-atake, hanggang sa ang mga administrador ay handa na maglagay ng naaangkop na kontra-aksyon sa lugar.

Sa wakas, kailangan nating banggitin ang mga kalamangan at kahinaan ng paggamit ng isang honeypot sa iyong network (narito ang isa para sa bawat panig):

Mga kalamangan ng paggamit ng isang honeypot network

Ito ay isang panukalang pangseguridad ng murang halaga na maaaring magbunga ng mataas na halaga ng impormasyon tungkol sa iyong mga umaatake.

Cons ng paggamit ng isang honeypot network

Hindi madaling i-set up at i-configure at magiging purong pagkabaliw na subukan at gawin ito nang walang isang dalubhasa sa kamay; maaari itong i-backfire at ilantad ang isang network sa mas masahol na pag-atake. Ito ay napupunta nang walang sinasabi, bagaman, na ang mga honeypots ay arguably ang pinakamahusay na paraan upang mahuli ang isang hacker o isang pag-atake tulad ng nangyayari. Pinapayagan nito ang mga administrador na dumaan sa buong proseso ng sunud-sunod na proseso, na sumusunod sa lahat sa real-time sa bawat alerto.

Kung saan makakahanap ng mga tagubilin sa pag-install ng honeypot

Sa artikulong ito tututuunan namin ang diskarte na kinakailangan upang matagumpay na maipatupad ang isang honeypot sa iyong network sa halip na ang aktwal na hakbang-hakbang na pag-install ng mga solusyon sa software mismo. Ngunit, para sa mga kailangan mong makita ang mga solusyon sa honeypot na naka-install, mayroong ilang mga magagandang site at video doon. Ang aming mga rekomendasyon ay:

  • Windows – Para sa karamihan ng mundo, ito ang operating system (OS) na pinili. At sa Analytical Security, makakakuha ka ng isang set ng honeypot para sa operating system na ito at isama ang ulap (Amazon AWS) sa iyong network.
  • Linux – Kung ikaw ang hands-on, Linux na uri ng taong mahilig pumunta sa ilalim ng bubong at tinker sa ilalim ng hood, narito ang isang magandang site na nagpapakita kung paano mai-install ang isang honeypot sa kapaligiran ng OS na ito: Pag-hack ng Blog.

Siyempre, sa mundo ng mga tutorial sa YouTube, channel, at online digital na komunidad tulad ng GitHub, hindi talaga mahirap mag-install ng isang honeypot. Ito ang diskarte at pamamahala na tunay na mapaghamong bahagi.

Ano ang mga pinakamahusay na solusyon sa honeypot software doon?

Para sa sinumang naghahanap, mayroong isang napakaraming mga solusyon sa software na pipiliin pagdating sa mga solusyon sa honeypot. Sa ibaba, mayroon kaming tatlo sa mga mas tanyag na pipiliin mo:

  • KF Sensor – ito ay isang honeypot na nakabatay sa Windows na nagsisimula sa pagsubaybay sa iyong network sa sandaling na-set up ito. Ito ay isang ganap na toolkit na dinisenyo upang gayahin ang isang honeypot – kasama ang maraming iba pang mga kapaki-pakinabang na tampok. Ngunit, ang kahanga-hangang katangian ng host na nakabase sa Intrusion Detection System (IDS) na ito ay lubos na mai-configure na ginagawang mas madali para sa mga administrador na ipagtanggol ang kanilang mga indibidwal na network.
  • Glastopf – ang pinakamahusay na bagay tungkol sa honeypot na ito ay isang bukas na mapagkukunan ng solusyon ng software na nangangahulugang, tulad ng lahat ng mga solusyon sa pakikipagtulungan, ito ay ang gawaing utak ng maraming mga eksperto na magpapatuloy din na magbabago at pagbutihin sa paglipas ng panahon.

Ang Glastopf ay isang honeypot application ng Python web na isang mababang-ugnay na network emulator. Ang isang kagiliw-giliw na tampok ng tool na ito ay maaari itong kahit na tularan ang mga application na mahina laban sa mga pag-atake ng iniksyon sa SQL.

  • Ghost USB – kung ano ang nagpapatunay sa honeypot na ito ay partikular na nakatuon ang pansin nito sa malware na kumakalat sa pamamagitan ng mga aparato ng imbakan ng USB. Ito ay isang malaking pagsasaalang-alang na ang USB drive na ginagamit ng mga empleyado at awtorisadong gumagamit ay patuloy na nagiging sanhi ng malubhang alalahanin.

Sa sandaling naka-install, ang Ghost USB ay nag-emulate ng isang aparato ng imbakan ng USB at ipinagsapalaran ang sarili sa network, na may hangarin na sundin ang anumang malware – na nagpapalaganap gamit ang mga katulad na aparato – upang mahawa ito. Kapag napansin, at lihim na sinusunod, nagiging madali para sa mga administrador na gawin ang mga kinakailangang hakbang at pag-iingat.

Bagaman ang tatlong honeypot solution na ito ay sumasakop sa karamihan ng mga pangangailangan sa seguridad sa network, maaari kang makahanap ng isang mas kumpletong listahan ng mga solusyon para sa iba’t ibang mga pangangailangan sa networking at seguridad dito.

Mga diskarte sa Honeypot

Mayroong dalawang uri ng mga diskarte sa pagpapatupad ng honeypot na maaari mong gamitin:

Paraan ng mababang-pakikipag-ugnayan

Sa pamamaraang ito ay gagamitin mo pekeng data, folder, at database bilang pain sa layunin ng pagsubaybay sa pag-atake upang makita kung ano ang mangyayari sa isang senaryo ng paglabag sa data ng buhay. Siyempre, magkakaroon sila ng access sa iba pang mga set ng impormasyon ng peripheral tulad ng mga IP address, usernames, at mga password – kung saan pinagmamasdan ng mga administrador. Ito ang nais mong gawin kung nais mong subukan ang ilang mga aspeto ng peripheral na pagtaguyod ng iyong network at ang seguridad ng mga proseso ng iyong pahintulot, halimbawa.

Paraan ng mataas na pakikipag-ugnayan

Sa setup na ito gusto mo payagan ang mga umaatake na makihalubilo sa data, software (kabilang ang OS), serbisyo, at hardware na mukhang makatotohanang hangga’t maaari. Ang layunin dito ay upang masukat at makuha ang mga kasanayan ng mga umaatake. Ang setup na ito ay kadalasang ginagamit sa mga senaryo ng pananaliksik kung saan ginagamit ang mga resulta ng mga pag-aaral upang mapagbuti ang mga kakayahan sa pagtatanggol ng mga anti-virus at anti-malware.

Ingat!

Tama, tingnan natin ngayon ang ilang mga isyu na kakailanganin mong magkaroon ng kamalayan at mag-ingat tungkol sa bago ka magpatuloy sa pagpapatupad ng iyong honeypot.

Mga isyung ligal

Kung ito ay upang masakop ang iyong likuran kung sakaling mapahamak ka ng iyong mga kliyente para sa pagkawala ng kanilang data o upang matiyak na ang anumang mga singil na kinukuha mo laban sa mga intruders stick, kakailanganin mong mabuksan ang iyong mga ligal na wire. Habang kami ay walang ligal na nilalang maaari pa naming sabihin sa iyo na kakailanganin mong magkaroon ng kamalayan at mag-ingat sa tatlong mga ligal na aspeto na ito:

  • Entrapment – maaaring kunin ng mga intruder na hindi nila alam na hindi nila dapat ma-access ang iyong network o ang mga assets at data dito. Maaari nilang ma-counter-claim na hindi mo nilagyan ng label ang sapat na sapat na, at mas dadalhin ito nang mas malayo, gamitin ang “entrapment” defense.
  • Pagkapribadoang pagpapatupad ng isang honeypot ay kailangang gawin nang labis na pag-iingat; ang puntong ito ay hindi ma-stress nang sapat. Isang port na naiwan nang hindi sinasadya o isang administrator account na na-kompromiso ay maaaring magbukas ng mga baha para sa mga pag-atake sa iyong pangunahing network. Ito naman, ay maaaring ilagay ang personal na data ng alinman sa iyong mga kliyente sa peligro. Kung pinamamahalaan ng mga umaatake na ibahagi ito sa mundo, maaari mong makita ang iyong sarili ang target ng isang demanda para sa paglabag sa tiwala dahil sinabi ng mga kliyente na hindi ka nila binigyan ng pahintulot upang ibahagi ang kanilang data.
  • Pananagutan – Ang isa pang paraan na maaari mong makuha ang iyong sarili (o ang iyong network) sa mainit na tubig ay kung magpapasya ang mga intruders na i-flip muli ang krimen sa iyo sa pamamagitan ng pag-iimbak ng malisyosong nilalaman sa iyong mga nakompromiso na server at, kahit na mas masahol pa, gabayan ang trapiko patungo sa iyong mga IP address. Ang pag-iimbak at pamamahagi ng nilalaman tulad ng pornograpiya ng bata ay maaaring makita sa iyo ang loob ng isang silid ng korte.

Salita ng payo: kung nahanap mo ang anumang tulad ng pag-urong ng nilalaman sa iyong mga server o na-access sa pamamagitan ng iyong network, ang unang bagay na kailangan mong gawin ay makipag-ugnay sa mga awtoridad.

Natuklasan – sa pamamagitan ng mga nanghihimasok

Pagse-set up ng isang honeypot nangangailangan ng hindi pagkakilala sa totoong network na nasa likuran nito. Wala nang higit na mapanganib sa panganib kaysa sa pagtuklas ng mga intruders na ito ay talagang isang honeypot na kanilang tinitalakay sa halip na ang tunay na pakikitungo. upang masira ang pangunahing network. At sa gayon, nagiging mahalaga na walang mga palatandaan na nagsasabi na alerto ang mga ito sa katotohanan na sinusubaybayan sila sa isang honeypot network. Ang karaniwang mga palatandaan na karaniwang nagbibigay sa layo – at sa gayon ay maiiwasan – ay:

  • Kung ang network ay napakadaling pag-atake, o makakuha ng access sa, gagawa sila ng kahina-hinala o ipapaisip sa kanila na hindi sapat na may kaugnayan upang masiguro ang kanilang mga pagsisikap.
  • Kung napakaraming mga hindi kinakailangang serbisyo na tumatakbo, o isang masyadong maraming mga port ay bukas, ito ay salungat sa katotohanan kung saan ang mga normal na aparato na nakaharap sa Internet ay karaniwang hinubaran ng mga di-nauugnay na serbisyo at binubuksan lamang ang mga kinakailangang pantalan.
  • Kung ang mga pagsasaayos ng tumatakbo na mga solusyon sa software ay nasa kanilang mga default na setting, na halos hindi kailanman nangyayari sa isang live na network.
  • Kung mayroong kaunting trapiko na dumadaan sa network na nagpapahiwatig na walang interes dito at nabibilang pa sa isang pangunahing tatak.
  • Kung ang labis na pagsisikap ay inilagay sa hitsura nito na lumakad sila sa isang tindahan ng kendi na may mga folder na pinangalanang “Mga Password,” “Confidential,” o “Usernames.”
  • Kung ang mga server na nakakonekta sa network ay lilitaw na walang laman o mayroong maraming libreng diskspace ipapakita nito na wala silang halaga.

Sa madaling sabi, ang iyong honeypot network at ang mga aparato sa ito ay dapat tularan ang isang koneksyon sa totoong buhay, kahit na may pekeng data at trapiko. Ilagay ang iyong sarili sa sapatos ng mga umaatake at tingnan ang iyong network mula sa kanilang pananaw.

Protektahan nang mabuti ang iyong sarili!

Huwag kalimutan na pumapasok ka sa lungga ng leon kapag pinili mo ang pag-setup ng honeypot. Samakatuwid, narito ang ilang mga puntos na kailangan mong palaging tiyakin na nasasakop:

  • Huwag gumamit ng totoong data – hindi mahalaga kung anong uri nito, lumikha ng data ng basura na mukhang tunay at gamitin ito bilang pain.
  • Huwag ikonekta ang iyong honeypot sa iyong pangunahing network – hindi dapat magkaroon ng paraan na ang mga umaatake ay maaaring lumipat sa iyong network sa pamamagitan ng iyong honeypot; tiyaking nakahiwalay ito at panatilihin ito sa paraang.
  • Gumamit ng virtual machine – ang pinakaligtas na hardware na maaari mong ilagay sa iyong honeypot ay isang virtual; kung nasaktan ka, ang kailangan mo lang gawin ay i-reboot at muling likhain ito.
  • Ang mga firewall at router ay dapat na ang tanging paraan upang makarating sa iyong honeypot – lahat ng papasok na trapiko ay dapat dumaan sa kanila bago sila makarating sa pekeng network; i-configure ang LAHAT ng mga numero ng port sa kanila upang ituro sa honeypot.
  • Ang mga pangalan at papel ay dapat na natatangi sa honeypot – magiging mabaliw na gamitin ang parehong mga na may access sa iyong pangunahing network; lumikha ng mga bagong kredensyal at gamitin ang mga ito para sa honeypot lamang.
  • Laging pagsubok, pagsubok, at pagsubok – Huwag hayaang mabuhay ang isang honeypot nang hindi itinapon ang lahat ng mayroon ka rito; sa katunayan, anyayahan ang mga dalubhasa na subukan na masira ito at papunta sa iyong pangunahing network bago mo hayaan itong harapin ang Internet.

Ang isang mahusay na diskarte upang magpatibay dito ay tiyaking walang sinuman maliban sa isang tagapangasiwa ang maaaring ma-access ang honeypot at kahit na pagkatapos, dapat silang gumamit ng isang dedikadong account sa pag-login na walang mga pribilehiyo sa totoong network. O, mas mabuti pa, ang isa na hindi talaga umiiral.

Ang paglalagay ng honeypot

Nakakaalam, ang perpektong lugar upang lumikha ng iyong honeypot ay nasa demilitarized zone (DMZ). Ito ang lugar na wala sa iyong pangunahing network, ngunit nasa likod pa rin ng isang router na nakaharap sa Internet.

Pagpapatungkol sa imahe: en: Gumagamit: Pbroks13 [Public domain], sa pamamagitan ng Wikimedia Commons

Pagkatapos muli, dapat mong malaman na hindi lahat ng mga pag-atake ay nagmula sa Internet. Sa katunayan, ipinakita ng mga pag-aaral na ang mga istatistika sa “pagbabanta ng tagaloob” – ang mga nagmumula sa likod ng iyong mga firewall, at sa pamamagitan ng mga taong awtorisadong gamitin ang iyong network – ay medyo nakakatakot sa higit sa 30 porsyento. Ito ay nangangahulugan na makatuwiran din mag-install ng isang panloob na honeypot. Sa ganitong paraan, ang mga tagapangasiwa ng network ay magkakaroon ng pananaw sa mga nakakahamak na pagtatangka – o ang simpleng mga pagkakamali ng tao na nagdudulot sa kanila. Ang sumusunod na video ay makakatulong na ipaliwanag ang mga layunin, pakinabang, at mga disbentaha ng paglalagay ng isang honeypot sa iba’t ibang mga lokasyon sa isang network:

Mga honeytokens

Ang isang mahusay na paraan upang obserbahan ang mga taktika ng isang intruder ay maglagay ng isang honeytoken sa isang server o database. Ang mga honeytokens ay ang mga file o data set na magiging kawili-wili sa umaatake ngunit talagang mga pekeng mga replika ng tunay na pakikitungo.

Ang Ang mga honeytokens ay maaari ring mai-embed na mga file o mga set ng data sa kung ano ang lilitaw na maging isang lehitimong server o database. Ginagawang madali para sa mga tagapangasiwa na subaybayan ang data kung sakaling ito ay ninakaw – tulad ng kanino ito nakawin mula at kung paano ito nakawin – tulad ng isang naiibang honeytoken ay inilalagay sa bawat lokasyon.

Ang mga halimbawa ng ganitong uri ng honeytoken ay kasama ang mga email address at usernames o login ID. Kung ang isang magsasalakay ay makakakuha ng pag-access sa mga piraso ng impormasyon na ito, magiging madaling malaman kung aling database ang kanilang nilabag na kung saan, ay, makakatulong sa pag-isip kung paano nila pinamamahalaang gawin ito.

Kung ginamit nang maayos, at mag-set up sa isang magkakaibang bilang ng mga paraan, ang mga honeytokens at honeynets (dalawa o higit pang mga honeypots sa parehong network) ay maaaring gumuhit ng isang medyo malinaw na larawan para sa mga administrador.

Kapag nangyari ang mga banta at pagkatapos ay nakilala ng honeypot, maaaring mai-configure ang mga alerto bilang tugon sa mga pagtatangka sa pag-access, pagbabago, o pagtanggal ng data o kahit na ang mga nakakahamak na packet at payload ay natuklasan sa network.

Pangwakas na mga saloobin sa pagtatatag ng isang honeypot sa iyong network

Tulad ng nakita natin, isang honeypot ay tutulong sa iyo na labanan ang mga pag-atake sa pamamagitan ng pagguhit ng isang mas malinaw na larawan ng iyong mga umaatake at ang mga pamamaraan na maaaring magamit nila upang subukan ang isang paglabag. Ang paglalagay nito sa tamang posisyon at pag-configure nang maayos ay makakatulong na palakasin ang seguridad ng iyong network, at ang anumang mga pagkakamali sa paggawa nito ay maaaring humantong sa pagkamatay ng iyong pangunahing network.

At kung gayon, …

Laging tandaan: ang isang honeypot ay, sa sarili nito, HINDI isang solusyon sa seguridad sa network. Sa katunayan ito ay isang tool na nagsisilbing isang paraan upang maabot ang isang ligtas na solusyon sa network. Alamin mula dito at higpitan ang mga turnilyo gamit ang iba pang mga network monitoring at mga solusyon sa proteksyon habang tinitiyak na mayroon kang ibang live solusyon sa seguridad sa network bilang backup.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me