Honeypot (z angličtiny - „pot of honey“) je zdroj, který je návnadou pro vetřelce.
Úkolem Honeypotu je napadení nebo neautorizovaný průzkum, který vám následně umožní prostudovat útočníkovu strategii a určit seznam prostředků, kterými lze zasáhnout reálné bezpečnostní objekty. Implementace honeypotu může být buď dedikovaný server , nebo jediná síťová služba , jejímž úkolem je přitáhnout pozornost hackerů .
Honeypot je zdroj, který nedělá nic, aniž by na něj měl nějaký dopad. Honeypot shromažďuje malé množství informací po analýze, které statistiky jsou založeny na metodách používaných crackery, a také na přítomnosti jakýchkoli nových řešení, která budou následně použita v boji proti nim.
Například webový server , který nemá jméno a je prakticky nikomu neznámý, by proto neměl mít přístup k hostům, takže všechny osoby, které se na něj pokusí proniknout, jsou potenciální hackeři. Honeypot shromažďuje informace o chování těchto crackerů ao tom, jak ovlivňují server . Poté specialisté na informační bezpečnost vyvíjejí strategie, jak odrazit útoky vetřelců.
Honeypot se objevil s prvními počítačovými vetřelci. Honeypoty jsou minimálně 20 let staré[ upřesnit ] vývoj pro jejich tvorbu a implementaci probíhal souběžně s výzkumem IDS .
První zdokumentovanou zmínkou byla kniha Clifforda Stolla „The Cuckoo's Egg“, napsaná v roce 1990. O deset let později, v roce 2000, se honeypoty staly všudypřítomnými návnadami.
Následně budou IDS a honeypot jedním komplexem pro zajištění informační bezpečnosti podniku .
Aktuálně mimo honeypot[ kdy? ] k ochraně počítačových sítí se používají tyto prostředky: honeynet, honeytoken, vycpaná buňka , IDS, IPS. Poslední dva neodpovídají definici honeypotu – nejsou to honeypoty, ale systémy detekce a prevence narušení . IDS, systém detekce narušení, který zaznamenává všechna neoprávněná připojení k cílovému systému, se zároveň stává nejblíže konceptu honeypotu.
Padded Cell je druh návnady do pískoviště. Pokud se do něj útočník dostane, nemůže způsobit žádné poškození systému, protože. je neustále v izolovaném prostředí.
Honeynet je síť honeypotů, viz níže.
V každém případě, bez ohledu na to, jaký ochranný systém je nainstalován, by měl mít jako návnadu falešné informace, nikoli originál.
Existují honeypoty postavené na dedikovaných serverech a softwarově emulované honeypoty .
Rozdíl mezi nimi je v měřítku sítě. Pokud se například jedná o síť malé kanceláře, pak nemá velký smysl instalovat vyhrazený server pro protokolování podezřelých událostí v síti. Zde bude stačit omezit se na virtuální systém nebo dokonce jednu virtuální službu. Ve velkých organizacích se používají dedikované servery s plně reprodukovanými síťovými službami. Obvykle jsou takové služby záměrně špatně nakonfigurovány, aby se útočník mohl úspěšně nabourat do systému. To je hlavní myšlenka honeypotu - nalákat vetřelce.
Technologie Honeypot poskytují analytikům několik výhod:
Honeypot zařízení má několik nevýhod. Honeypoty nenahrazují žádné bezpečnostní mechanismy; pouze fungují a rozšiřují celkovou architekturu zabezpečení.
Hlavní problémy s fondy Honeypot jsou:
Různé umístění honeypotů pomůže poskytnout úplný obrázek o taktice útočníka. Umístění honeypotu do místní sítě poskytne představu o útocích ze sítě a jeho umístění na veřejné servery v této síti nebo v DMZ poskytne představu o útocích na nezabezpečené síťové služby, jako jsou poštovní služby. , SMB , ftp servery atd.
Honeypot lze nainstalovat do lokální sítě (po firewallu ) - tedy na počítače a servery v lokální síti. Pokud není provedena vzdálená správa sítě, pak by měl být veškerý příchozí provoz ssh přesměrován do honeypotu. Při příjmu síťového provozu musí klamný systém zaznamenávat všechny události, a to na nízké úrovni. Honeypot není jednoduchý program, který zapisuje protokoly serveru. Pokud se útočníkovi podařilo získat přístup k serveru, nebude pro něj obtížné vymazat všechny protokoly. V ideálním případě by všechny události v systému měly být zaznamenávány na úrovni jádra.
DMZ nebo DMZ hostí veřejné servery. Může to být například webový server nebo poštovní server . Protože přítomnost takových serverů často přitahuje pozornost spammerů a hackerů, je nutné zajistit ochranu jejich informací. Jedním z řešení tohoto problému je instalace honeypotu na servery DMZ.
Pokud nemáte vyhrazený webový server, můžete emulovat webové služby pomocí softwarových honeypotů. Umožňují vám přesně reprodukovat neexistující webový server ve skutečnosti a nalákat vetřelce. Emulace pošty a dalších síťových služeb je omezena pouze volbou konkrétního softwarového řešení.
Síť se dvěma, třemi nebo více honeypoty se podle definice nazývá honeynet. Lze jej omezit z pracovní sítě. Řídící provoz vstupující do honeynetu musí být zachycen pastmi honeynet.
Všechny známé honeypoty lze rozdělit do 2 tříd – otevřené a komerční
| OTEVŘENO | komerční |
|---|---|
| Bubblegum Proxypot | Patriot Box |
| Jackpot | KFSensor |
| BackOfficer Friendly | Netbait |
| Bait-n-Switch (nedostupný odkaz) | Past |
| velkooký | Přízrak |
| medová síť | Honeypot Manager |
| Deception Toolkit | |
| LaBrea Tarpit | |
| Honeyd | |
| Sendmail past na SPAM | |
| Malý Honeypot |
Následuje stručné vysvětlení některých implementací.
| Komentář | |
|---|---|
| Deception Toolkit | úplně první open-source honeypot z roku 1997 |
| medová síť | emuluje různé typy webových služeb |
| BackOfficer Friendly | honeypot pro OS Windows , lze použít jako HIPS |
| Honeyd | nízkoúrovňový honeypot pro Linux , schopný emulovat stovky operačních systémů |
| Bubblegum Proxypot | open-source honeypot, používaný k boji proti spammerům |
| Přízrak | komerční nízkoúrovňový honeypot pro OS Windows. Emuluje 13 různých operačních systémů. |
| Honeypot Manager | komerční honeypot. Emuluje server s nainstalovaným Oracle DBMS. |
| Škodlivý software | |
|---|---|
| Infekční malware | |
| Metody skrývání | |
| Malware pro zisk |
|
| Podle operačních systémů |
|
| Ochrana |
|
| Protiopatření |
|