Honeypots y bolas de miel
Parte del trabajo de especialistas en TI de seguridad es aprender sobre los tipos de ataques o técnicas utilizadas por los piratas informáticos recopilando información para un análisis posterior para evaluar las características de los intentos de ataque. A veces, esta colección de información se realiza a través del cebo o los señuelos diseñados para registrar la actividad sospechosa de los posibles atacantes que actúan sin saber que su actividad está siendo monitoreada. En seguridad de TI, estos cebos o señuelos se llaman Honeypots.
¿Qué son los honeypots y las molduras?
A tarro de miel puede ser una aplicación que simula un objetivo que es realmente un registrador de la actividad de los atacantes. Se denominan múltiples honeypots que simulan múltiples servicios, dispositivos y aplicaciones Bolas de miel.
Los honeypots y las nonas no almacenan información confidencial, pero almacenan información atractiva falsa a los atacantes para interesarlos en los honeypots; Honeynets, en otras palabras, están hablando de trampas de piratas informáticos diseñados para aprender sus técnicas de ataque.
Los honeypots nos dan dos beneficios: primero, nos ayudan a aprender ataques para asegurar nuestro dispositivo de producción o red correctamente. En segundo lugar, al mantener honeypots simulando vulnerabilidades junto a dispositivos o redes de producción, mantenemos la atención de los piratas informáticos fuera de los dispositivos seguros. Encontrarán más atractivos los honeypots que simulan agujeros de seguridad que pueden explotar.
Tipos de honeypot:
Producción de Honeypots:
Este tipo de honeypot se instala en una red de producción para recopilar información sobre las técnicas utilizadas para atacar los sistemas dentro de la infraestructura. Este tipo de honeypot ofrece una amplia variedad de posibilidades, desde la ubicación del honeypot dentro de un segmento de red específico para detectar intentos internos por parte de los usuarios legítimos para acceder a los recursos no comprometidos o prohibidos a un clon de un sitio web, idéntico al original como cebo. El mayor problema de este tipo de honeypot es permitir el tráfico malicioso entre los legítimos.
Honeypots de desarrollo:
Este tipo de honeypot está diseñado para recopilar más información sobre las tendencias de piratería, los objetivos deseados de los atacantes y los orígenes de ataque. Esta información se analiza posteriormente para el proceso de toma de decisiones sobre la implementación de medidas de seguridad.
La principal ventaja de este tipo de honeypots es, contrario a la producción; Honeypots Development Honeypots se encuentran dentro de una red independiente dedicada a la investigación; Este sistema vulnerable está separado del entorno de producción que evita un ataque del honeypot en sí. Su principal desventaja es la cantidad de recursos necesarios para implementarlo.
Hay 3 subcategorías de honeypot diferentes o tipos de clasificación definidos por el nivel de interacción que tiene con los atacantes.
Honeypots de baja interacción:
Un honeypot emula un servicio, aplicación o sistema vulnerable. Esto es muy fácil de configurar pero limitado al recopilar información; Algunos ejemplos de este tipo de honeypots son:
- Trampa de miel: Está diseñado para observar ataques contra servicios de red; Al contrario de otros honeypots, que se centran en capturar malware, este tipo de honeypot está diseñado para capturar exploits.
- Nephentes: Emula vulnerabilidades conocidas para recopilar información sobre posibles ataques; Está diseñado para emular vulnerabilidades de los gusanos de los gusanos para propagarse, luego Nephentes captura su código para el análisis posterior.
- Miel: Identifica servidores web maliciosos dentro de las redes emulando diferentes clientes y recopilando respuestas del servidor al responder a las solicitudes.
- Honeyd: es un demonio que crea hosts virtuales dentro de una red que se puede configurar para ejecutar servicios arbitrarios que simulan la ejecución en diferentes OS.
- Glastopf: Emula miles de vulnerabilidades diseñadas para recopilar información de ataque contra aplicaciones web. Es fácil de configurar, y una vez indexado por los motores de búsqueda; se convierte en un objetivo atractivo para los hackers.
Honeypots de interacción media:
En este escenario, los honeypots no están diseñados solo para recopilar información; Es una aplicación diseñada para interactuar con los atacantes mientras registra exhaustivamente la actividad de interacción; Simula un objetivo capaz de ofrecer todas las respuestas que el atacante puede esperar; Algunos honeypots de este tipo son:
- Cowrie: un honeypot SSH y Telnet que registra ataques de fuerza bruta e interacción de shell de los hackers. Emula un sistema operativo unix y funciona como un proxy para registrar la actividad del atacante. Después de esta sección, puede encontrar instrucciones para la implementación de Cowrie.
- Sticky_elephant: es un honeypot postgresql.
- Avispón: Una versión mejorada de honeypot-wasp con credenciales falsas indicada para sitios web con página de inicio de sesión de acceso público para administradores como /wp-admin para sitios de WordPress.
Honeypots de alta interacción:
En este escenario, los honeypots no están diseñados solo para recopilar información; Es una aplicación diseñada para interactuar con los atacantes mientras registra exhaustivamente la actividad de interacción; Simula un objetivo capaz de ofrecer todas las respuestas que el atacante puede esperar; Algunos honeypots de este tipo son:
- Sebico: funciona como un HIDS (sistema de detección de intrusos basado en host), lo que permite capturar información sobre la actividad del sistema. Esta es una herramienta de servidor-cliente capaz de implementar honeypots en Linux, UNIX y Windows que capturan y envían la información recopilada al servidor.
- Lata de miel: se puede integrar con honeypots de baja interacción para aumentar la recopilación de información.
- Hi-Hat (Kit de herramientas de análisis de honeypot de alta interacción): Convierte los archivos PHP en honeypots de alta interacción con una interfaz web disponible para monitorear la información.
- Captura-hpc: Similar a HoneyC, identifica servidores maliciosos al interactuar con clientes utilizando una máquina virtual dedicada y registrando cambios no autorizados.
A continuación puede encontrar un ejemplo práctico de Honeypot de interacción media.
Desplegar Cowrie para recopilar datos sobre ataques SSH:
Como se dijo anteriormente, Cowrie es un honeypot utilizado para registrar información sobre ataques dirigidos al servicio SSH. Cowrie simula un servidor SSH vulnerable que permite a cualquier atacante acceder a una terminal falsa, simulando un ataque exitoso mientras registra la actividad del atacante.
Para que Cowrie simule un servidor vulnerable falso, debemos asignarlo al puerto 22. Por lo tanto, necesitamos cambiar nuestro puerto SSH real editando el archivo /etc/ssh/sshd_config Como se muestra abajo.
sudo nano/etc/ssh/sshd_config
Edite la línea y cámbiela para un puerto entre 49152 y 65535.
Puerto 22
Reiniciar y verificar que el servicio se ejecute correctamente:
sudo systemctl reiniciar ssh
SUDO SYSTEMCTL ESTADO SSH
Instale todo el software necesario para los próximos pasos, en las distribuciones de Linux con sede en Debian ejecutándose:
sudo apt instalación -y python-virtualenv libssl-dev libffi-dev build-esencial libpython3-dev python3-minimal authbind git
Agregue un usuario no privilegiado llamado Cowrie ejecutando el comando a continuación.
Adduser de sudo-Disable-Password Cowrie
En las distribuciones de Linux basadas en Debian, instale authbind ejecutando el siguiente comando:
sudo apt install authbind
Ejecute el comando a continuación.
sudo touch/etc/authbind/byport/22
Cambiar la propiedad ejecutando el comando a continuación.
Cowrie de sudo chown: cowrie/etc/authbind/byport/22
Cambiar permisos:
sudo chmod 770/etc/authbind/byport/22
Iniciar sesión como cowrie
sudo su Cowrie
Entra en el directorio de casa de Cowrie.
CD ~
Descargue Cowrie Honeypot usando git como se muestra a continuación.
Git clon https: // github.com/Micheloosterhof/Cowrie
Mudarse al directorio de Cowrie.
CD Cowrie/
Cree un nuevo archivo de configuración basado en el predeterminado copiándolo desde el archivo /etc/cowrie.CFG.Dist to Cowrie.CFG ejecutando el comando que se muestra a continuación dentro del directorio de Cowrie/
CP, etc.CFG.Dist, etc/cowrie.CFG
Editar el archivo creado:
nano etc/cowrie.CFG
Encuentra la línea de abajo.
escuchar_endpoints = tcp: 2222: interface = 0.0.0.0
Edite la línea, reemplazando el puerto 2222 con 22 como se muestra a continuación.
escuchar_endpoints = tcp: 22: interface = 0.0.0.0
Guardar y salir de Nano.
Ejecute el comando a continuación para crear un entorno Python:
Virtualenv Cowrie-env
Habilitar un entorno virtual.
fuente Cowrie-ENV/bin/activar
Actualizar PIP ejecutando el siguiente comando.
Instalación de PIP -Upgrade PIP
Instale todos los requisitos ejecutando el siguiente comando.
Instalación de PIP -Requisitos de actualización.TXT
Ejecute Cowrie con el siguiente comando:
inicio de bin/cowrie
Revise que el honeypot esté escuchando ejecutando.
netstat -tan
Ahora los intentos de inicio de sesión para el puerto 22 se registrarán en el archivo var/log/cowrie/cowrie.Registro dentro del directorio de Cowrie.
Como se dijo anteriormente, puede usar el honeypot para crear un caparazón vulnerable falso. Los cowries incluyen un archivo en el que puede definir "los usuarios" permiten acceder al shell. Esta es una lista de nombres de usuario y contraseñas a través de las cuales un hacker puede acceder al shell falso.
El formato de lista se muestra en la imagen a continuación:
Puede cambiar el nombre de la lista predeterminada de Cowrie para fines de prueba ejecutando el comando a continuación desde el directorio de Cowries. Al hacerlo, los usuarios podrán iniciar sesión como root usando contraseña raíz o 123456.
MV etc/userdb.ejemplo etc/userdb.TXT
Detente y reinicie Cowrie ejecutando los comandos a continuación:
parada de bin/cowrie
inicio de bin/cowrie
Ahora pruebe intentando acceder a través de SSH usando un nombre de usuario y una contraseña incluidos en el userDB.TXT lista.
Como puede ver, accederá a un caparazón falso. Y toda la actividad realizada en este caparazón se puede monitorear desde el registro de Cowrie, como se muestra a continuación.
Como puede ver, Cowrie se implementó con éxito. Puedes aprender más sobre Cowrie en https: // github.com/cowrie/.
Conclusión:
La implementación de Honeypots no es una medida de seguridad común, pero como puede ver, es una excelente manera de endurecer la seguridad de la red. La implementación de Honeypots es una parte importante de la recopilación de datos con el objetivo de mejorar la seguridad, convirtiendo a los piratas informáticos en colaboradores revelando su actividad, técnicas, credenciales y objetivos. También es una forma formidable de proporcionar información falsa a los piratas informáticos.
Si está interesado en los honeypots, probablemente IDS (sistemas de detección de intrusos) pueden ser interesantes para usted; En Linuxhint, tenemos un par de tutoriales interesantes sobre ellos:
- Configurar IDS Snort y crear reglas
- Comenzando con OSSEC (sistema de detección de intrusos)
Espero que hayas encontrado útil este artículo sobre honeypots y honeynets. Siga siguiendo la pista de Linux para obtener más consejos y tutoriales de Linux.