חלק מעבודתם של מומחי אבטחת מידע היא ללמוד על סוגי ההתקפות או הטכניקות בהן משתמשים האקרים על ידי איסוף מידע לניתוח מאוחר יותר להערכת המאפיינים של ניסיונות ההתקפה. לפעמים איסוף המידע הזה מתבצע באמצעות פיתיון או תמורים שנועדו לרשום את הפעילות החשודה של התוקפים הפוטנציאליים הפועלים מבלי לדעת שפעילותם מנוטרת. בתחום אבטחת ה- IT קוראים לפיתיונות או לפתות אלה עצי דבש .
מהם עצי דבש ודבש:
ל סיר דבש עשוי להיות אפליקציה המדמה מטרה שהיא באמת מקליט של פעילות התוקפים. עמודים מרובים המדמים שירותים, מכשירים ואפליקציות מרובים נקראים דבש .
Honeypots ו- Honeynets אינם מאחסנים מידע רגיש אלא מאחסנים מידע אטרקטיבי מזויף לתוקפים כדי לגרום להם להתעניין בעצי הדבש; במילים אחרות, יער הדבש מדברים על מלכודות האקרים שנועדו ללמוד את טכניקות ההתקפה שלהם.
עצי דבש מעניקים לנו שני יתרונות: ראשית, הם עוזרים לנו ללמוד התקפות לאבטחת מכשיר הייצור או הרשת שלנו כראוי. שנית, על ידי שמירה על עצי דבש המדמים פגיעויות לצד מכשירי ייצור או רשתות, אנו מרחיקים את תשומת ליבם של האקרים ממכשירים מאובטחים. הם ימצאו אטרקטיבי יותר את סירות הדבש המדמות חורי אבטחה שהם יכולים לנצל.
סוגי עצי דבש:
עצי דבש לייצור:
סוג זה של דבש מותקן ברשת ייצור כדי לאסוף מידע על טכניקות המשמשות לתקיפת מערכות בתוך התשתית. סוג זה של דבש מציע מגוון רחב של אפשרויות, החל ממיקום הדבש בתוך קטע רשת ספציפי על מנת לזהות ניסיונות פנימיים של משתמשים לגיטימיים ברשת לגשת למשאבים בלתי מורשים או אסורים לשכפל של אתר או שירות, זהה לזה של מקורי כמו פיתיון. הבעיה הגדולה ביותר של סוג זה של דבש היא מתן תנועה זדונית בין לגיטימיות.
עצי דבש לפיתוח:
סוג זה של דבש מיועד לאסוף מידע נוסף על מגמות פריצה, מטרות רצויות על ידי תוקפים, ומקורות תקיפה. מידע זה מנותח מאוחר יותר לתהליך קבלת ההחלטות על יישום אמצעי האבטחה.
היתרון העיקרי של סוג זה של עצי דבש הוא, בניגוד לייצור; פיתוח עצי דבש ממוקמים בתוך רשת עצמאית המוקדשת למחקר; מערכת פגיעה זו מופרדת מסביבת הייצור ומונעת התקפה של סיר הדבש עצמו. החיסרון העיקרי שלה הוא מספר המשאבים הדרושים ליישומו.
ישנן 3 קטגוריות משנה או סוגי סיווג שונים המוגדרים על ידי רמת האינטראקציה שיש לה עם התוקפים.
עצי דבש באינטראקציה נמוכה:
הדבש מחקה שירות, אפליקציה או מערכת פגיעים. קל מאוד להגדיר זאת אך מוגבל בעת איסוף מידע; כמה דוגמאות לסוג זה של עצי דבש הן:
- מלכודת דבש : הוא נועד להתבונן בהתקפות נגד שירותי רשת; בניגוד לעצי דבש אחרים, המתמקדים בלכידת תוכנות זדוניות, סוג זה של דבש מיועד ללכוד מעללי.
- אחים : מחקה פגיעויות ידועות על מנת לאסוף מידע על התקפות אפשריות; הוא נועד לחקות פגיעות תולעים שמניבים להפיץ, ואז נפנטס לוכד את הקוד שלהם לניתוח מאוחר יותר.
- מותק C. : מזהה שרתי אינטרנט זדוניים ברשת על ידי חיקוי של לקוחות שונים ואיסוף תגובות שרת בעת מענה לבקשות.
- מותק D : הוא שד שיוצר מארחים וירטואליים בתוך רשת שניתן להגדיר אותם להפעלת שירותים שרירותיים המדמים ביצוע במערכת הפעלה שונה.
- Glastopf : מחקה אלפי נקודות תורפה שנועדו לאסוף מידע התקפה נגד יישומי אינטרנט. הוא קל להתקנה, ופעם אחת לאינדקס על ידי מנועי החיפוש; הוא הופך ליעד אטרקטיבי להאקרים.
סירים של אינטראקציות בינוניות:
בתרחיש זה, עצי הדבש אינם מיועדים לאסוף מידע בלבד; זהו יישום שנועד ליצור אינטראקציה עם תוקפים תוך רישום ממצה של פעילות האינטראקציה; הוא מדמה יעד המסוגל להציע את כל התשובות שהתוקף עשוי לצפות; כמה עצי דבש מסוג זה הם:
- קאורי: סיר יערה של ssh ו- telnet, אשר מתעד התקפות של כוח אכזרי ואינטראקציות של האקרים. הוא מחקה מערכת הפעלה Unix ועובד כפרוקסי לרישום הפעילות של התוקף. לאחר פרק זה תוכל למצוא הוראות ליישום Cowrie.
- פיל דביק : זהו סיר יער של PostgreSQL.
- צִרעָה : גרסה משופרת של צרעה יערה עם בקשת אישורים מזויפת המיועדת לאתרים עם דף כניסה לגישה ציבורית למנהלי מערכת כגון /wp-admin לאתרי וורדפרס.
עצי דבש באינטראקציה גבוהה:
בתרחיש זה, עצי הדבש אינם מיועדים לאסוף מידע בלבד; זהו יישום שנועד ליצור אינטראקציה עם תוקפים תוך רישום ממצה של פעילות האינטראקציה; הוא מדמה יעד המסוגל להציע את כל התשובות שהתוקף עשוי לצפות; כמה עצי דבש מסוג זה הם:
- פצעים : פועל כ- HIDS (מערכת זיהוי חדירות מבוססת מארח), המאפשר ללכוד מידע על פעילות המערכת. זהו כלי לשרת-לקוח המסוגל לפרוס סירות דבש על לינוקס, יוניקס ו- Windows הלוכדות ושולחות את המידע שנאסף לשרת.
- HoneyBow : ניתן לשלב עם סירים יפים באינטראקציה כדי להגדיל את איסוף המידע.
- HI-HAT (ערכת כלים לניתוח דבש אינטראקציה גבוהה) : ממיר קבצי PHP לכלי דבש באינטראקציה גבוהה עם ממשק אינטרנט זמין לניטור המידע.
- Capture-HPC : בדומה ל- HoneyC, מזהה שרתים זדוניים על ידי אינטראקציה עם לקוחות באמצעות מכונה וירטואלית ייעודית ורישום שינויים לא מורשים.
למטה תוכל למצוא דוגמה מעשית לדבש אינטראקציה בינונית.
פריסת קאורי לאיסוף נתונים על התקפות SSH:
כפי שנאמר קודם לכן, קארי היא סיר יער המשמש לרישום מידע על התקפות המכוונות לשירות ssh. קאורי מדמה שרת ssh פגיע המאפשר לכל תוקף לגשת למסוף מזויף, המדמה התקפה מוצלחת תוך רישום הפעילות של התוקף.
כדי שקאורי ידמה שרת פגיע מזויף, עלינו להקצות אותו ליציאה 22. לפיכך עלינו לשנות את יציאת ה- ssh האמיתית שלנו על ידי עריכת הקובץ /etc/ssh/sshd_config כפי שמוצג מטה.
סודו ננו /וכו/ssh/sshd_configערוך את השורה ושנה אותה ליציאה בין 49152 ל- 65535.
נמל22 
הפעל מחדש ובדוק שהשירות פועל כראוי:
סודוהפעלה מחדש של systemctlsshסודוסטטוס systemctlssh
התקן את כל התוכנות הדרושות לשלבים הבאים, בהפצות Linux מבוססות דביאן:
סודומַתְאִיםלהתקין -וpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authentbindללכת 
הוסף משתמש חסר זכויות בשם cowrie על ידי הפעלת הפקודה למטה.
סודוהוסף משתמש-סיסמת נכהקארי 
בהפצות לינוקס מבוססות דביאן התקן את ה- authbind על ידי הפעלת הפקודה הבאה:
סודומַתְאִיםלהתקיןauthorbindהפעל את הפקודה למטה.
סודו לגעת /וכו/authorbind/נמל עייף/22שנה בעלות על ידי הפעלת הפקודה שלהלן.
סודו חבושקארי: קארי/וכו/authorbind/נמל עייף/22שנה הרשאות:
סודו chmod 770 /וכו/authorbind/נמל עייף/22 
התחבר כ קארי
סודו שֶׁלָהקאריהיכנס לספריית הבית של קאווי.
CD~הורד סיר דבש קארי באמצעות git כפי שמוצג להלן.
שיבוט githttps://github.com/micheloosterhof/קאריעבור לספריית קאורי.
CDקארי/ 
צור קובץ תצורה חדש המבוסס על קובץ ברירת המחדל על ידי העתקתו מהקובץ /etc/cowrie.cfg.dist ל- cowrie.cfg על ידי הפעלת הפקודה המוצגת למטה בתוך ספריית cowrie/
cpוכו/cowrie.cfg.dist וכו '/cowrie.cfg 
ערוך את הקובץ שנוצר:
ננווכו/cowrie.cfgמצא את השורה למטה.
listen_endpoints = tcp:2222:מִמְשָׁק= 0.0.0.0ערוך את השורה, החלף את יציאת 2222 ב -22 כפי שמוצג להלן.
listen_endpoints = tcp:22:מִמְשָׁק= 0.0.0.0 
שמור ויצא מהננו.
הפעל את הפקודה למטה כדי ליצור סביבת פייתון:
virtualenv cowrie-env 
אפשר סביבה וירטואלית.
מָקוֹרcowrie-env/אני/לְהַפְעִיל 
עדכן את הפיפ על ידי הפעלת הפקודה הבאה.
צִפצוּףלהתקין -שדרוגצִפצוּף 
התקן את כל הדרישות על ידי הפעלת הפקודה הבאה.
צִפצוּףלהתקין -משדרגדרישות.טקסט 
הפעל קארי עם הפקודה הבאה:
אני/קארי התחלה 
בדוק שסיר הדבש מקשיב על ידי ריצה.
netstat -לכן 
כעת ניסיונות ההתחברות ליציאה 22 יירשמו בקובץ var/log/cowrie/cowrie.log בתוך ספריית cowrie.
כפי שנאמר קודם, אתה יכול להשתמש בסיר הדבש ליצירת מעטפת פגיעה מזויפת. Cowries כולל קובץ שבו תוכל להגדיר משתמשים מורשים לגשת למעטפת. זוהי רשימה של שמות משתמש וסיסמאות שדרכם האקר יכול לגשת לקליפה המזויפת.
פורמט הרשימה מוצג בתמונה למטה:
תוכל לשנות את שם רשימת ברירת המחדל של cowrie למטרות בדיקה על ידי הפעלת הפקודה שלהלן מספריית cowries. על ידי כך, משתמשים יוכלו להיכנס כשורש באמצעות סיסמה שורש אוֹ 123456 .
mvוכו/userdb.example וכו '/userdb.txt 
עצור והפעל מחדש את קאורי על ידי הפעלת הפקודות להלן:
אני/קארי עצירהאני/קארי התחלה
כעת נסה לנסות לגשת באמצעות ssh באמצעות שם משתמש וסיסמה הכלולים ב- userdb.txt רשימה.
כפי שאתה יכול לראות, תוכל לגשת למעטפת מזויפת. וכל הפעילות המתבצעת במעטפת זו ניתנת לפיקוח מתוך יומן ה- cowrie, כפי שמוצג להלן.
כפי שאתה יכול לראות, קאואר יושם בהצלחה. תוכל ללמוד עוד על Cowrie בכתובת https://github.com/cowrie/ .
סיכום:
יישום Honeypots אינו אמצעי אבטחה נפוץ, אך כפי שאתה יכול לראות, זוהי דרך מצוינת להקשיח את אבטחת הרשת. יישום עצי הדבש הוא חלק חשוב באיסוף הנתונים שמטרתו לשפר את האבטחה, להפוך האקרים למשתפי פעולה על ידי חשיפת הפעילות, הטכניקות, האישורים והיעדים שלהם. זוהי גם דרך אדירה לספק להאקרים מידע מזויף.
אם אתה מתעניין בכלי הדבש, כנראה ש- IDS (מערכות גילוי חדירות) עשויות להיות מעניינות עבורך; ב- LinuxHint, יש לנו כמה הדרכות מעניינות עליהן:
- הגדר את מזהי הנחירות וצור כללים
- תחילת העבודה עם מערכת זיהוי חדירות (OSSEC)
אני מקווה שמצאת מאמר זה בנושא Honeypots and Honeynets שימושי. המשך לעקוב אחר רמז לינוקס לקבלת עצות והדרכות נוספות של לינוקס.