Phenquestions
Bir bal küpü, gerçekten saldırganların etkinliğinin bir kaydedicisi olan bir hedefi simüle eden bir uygulama olabilir. İlgili birden fazla hizmeti, cihazı ve uygulamayı simüle eden birden fazla Honeypot, Honeynet olarak adlandırılır.
Honeypot'lar ve Honeynet'ler hassas bilgileri saklamazlar, ancak Honeypot'larla ilgilenmelerini sağlamak için saldırganlara sahte çekici bilgiler depolarlar, Honeynet'ler, yani onların saldırı tekniklerini öğrenmek için tasarlanmış hacker tuzaklarından bahsediyoruz.
Honeypot'lar bize iki tür fayda bildirir: ilk olarak, daha sonra üretim cihazımızı veya ağımızı düzgün bir şekilde güvence altına almak için saldırıları öğrenmemize yardımcı olurlar. İkincisi, güvenlik açıklarını simüle eden bal küplerini üretim cihazlarının veya ağın yanında tutarak, bilgisayar korsanlarının dikkatini güvenli cihazlardan uzak tutuyoruz, çünkü istismar edebilecekleri güvenlik açıklarını simüle eden bal küplerini daha çekici bulacaklar.
Farklı Honeypot türleri vardır:
Üretim Honeypot'ları:
Bu tür bal küpleri, altyapıdaki sistemlere saldırmak için kullanılan teknikler hakkında bilgi toplamak için bir üretim ağına kurulur. Bu tür Honeypot'lar, ağ meşru kullanıcılarının izin verilmeyen veya yasaklanmış kaynaklara erişmeye yönelik dahili girişimlerini tespit etmek için belirli bir ağ segmenti içindeki bal küpünün konumundan, bir web sitesi veya hizmetin klonuna kadar çok çeşitli olanaklar sunar. yem olarak orijinal. Bu tür bal küplerinin en büyük sorunu, meşru olan arasında kötü niyetli trafiğe izin vermesidir.
Geliştirme balküpleri:
Bu tür bal küpleri, bilgisayar korsanlığı eğilimleri, saldırganlar tarafından istenen hedefler ve saldırıların kökenleri hakkında mümkün olduğunca fazla bilgi toplamak için tasarlanmıştır. Bu bilgiler daha sonra güvenlik önlemlerinin uygulanmasına ilişkin karar verme süreci için analiz edilir.
Bu tür balküplerinin ana avantajı, üretim balküplerinin aksine, geliştirme balküplerinin bağımsız bir ağ içinde yer alması, araştırmaya adanmış olması, bu savunmasız sistemin balküpünün kendisinden bir saldırıyı önleyerek üretim ortamından ayrılmasıdır. Başlıca dezavantajı, onu uygulamak için gerekli kaynakların miktarıdır.
Saldırganlarla olan etkileşimiyle tanımlanan bal küplerinin 3 alt kategorisi veya farklı sınıflandırması vardır.
Düşük Etkileşimli Honeypot'lar:
Honeypot, güvenlik açığı bulunan bir hizmeti, uygulamayı veya sistemi öykünür. Kurulumu çok kolaydır, ancak bilgi toplarken sınırlıdır, bu tür balküplerinin bazı örnekleri şunlardır:
bal kapanı: Kötü amaçlı yazılımları yakalamaya odaklanan diğer bal küplerinin aksine ağ hizmetlerine yönelik saldırıları gözlemlemek için tasarlanmıştır bu tür bal küpleri açıkları yakalamak için tasarlanmıştır.
Nefentes: olası saldırılar hakkında bilgi toplamak için bilinen güvenlik açıklarını taklit eder, güvenlik açıklarını taklit etmek için tasarlanmıştır, solucanların yaymak için kullandığı açıkları taklit eder, ardından Nephentes daha sonraki analizler için kodlarını yakalar.
tatlımC: Farklı istemcileri taklit ederek ve isteklere yanıt verirken sunucu yanıtlarını toplayarak ağ içindeki kötü amaçlı web sunucularını tanımlar.
tatlımD: farklı işletim sistemlerinde yürütmeyi simüle eden keyfi hizmetleri çalıştırmak üzere yapılandırılabilen bir ağ içinde sanal ana bilgisayarlar oluşturan bir arka plan programıdır.
Glastopf: web uygulamalarına karşı saldırı bilgisi toplamak için tasarlanmış binlerce güvenlik açığını taklit eder. Kurulumu kolaydır ve arama motorları tarafından dizine eklendikten sonra bilgisayar korsanları için çekici bir hedef haline gelir.
Orta Etkileşimli Honeypot'lar:
Bu tür balküpleri, yüksek balküplerinin izin verdiği düzeyde etkileşime izin vermeden öncekinden daha az etkileşimlidir. Bu türden bazı Honeypot'lar şunlardır:
Kippo: unix sistemlerine karşı kaba kuvvet saldırılarını günlüğe kaydetmek ve erişim sağlanmışsa bilgisayar korsanının etkinliğini günlüğe kaydetmek için kullanılan bir ssh bal küpüdür. Durduruldu ve yerini Cowrie aldı.
Deniz kabuğu: kaba kuvvet saldırılarını ve bilgisayar korsanlarının kabuk etkileşimini kaydeden başka bir ssh ve telnet bal küpü. Bir Unix işletim sistemine öykünür ve saldırgan etkinliğini günlüğe kaydetmek için proxy olarak çalışır.
Sticky_fil: bu bir PostgreSQL bal küpüdür.
eşek arısı: WordPress siteleri için /wp-admin gibi yöneticiler için genel erişim giriş sayfasına sahip web siteleri için tasarlanmış sahte kimlik bilgileri istemine sahip bal küpü-yaban arısının geliştirilmiş bir sürümü.
Yüksek Etkileşimli Honeypot'lar:
Bu senaryoda Honeypot'lar yalnızca bilgi toplamak için tasarlanmamıştır, etkileşim etkinliğini kapsamlı bir şekilde kaydederken saldırganlarla etkileşim kurmak için tasarlanmış bir uygulamadır, saldırganın bekleyebileceği tüm yanıtları sunabilen bir hedefi simüle eder, bu türden bazı balküpleri şunlardır:
Şebek: HIDS (Ana Bilgisayar Tabanlı Saldırı Tespit Sistemi) olarak çalışır ve bir sistem etkinliği hakkında bilgi yakalamayı sağlar. Bu, toplanan bilgileri yakalayan ve sunucuya gönderen bal küplerini Linux, Unix ve Windows üzerinde dağıtabilen bir sunucu-istemci aracıdır.
bal yayı: bilgi toplamayı artırmak için düşük etkileşimli bal küpleri ile entegre edilebilir.
HI-HAT (Yüksek Etkileşimli Honeypot Analiz Araç Takımı): bilgileri izlemek için kullanılabilen bir web arayüzü ile php dosyalarını yüksek etkileşimli bal küplerine dönüştürür.
Yakalama-HPC: HoneyC'ye benzer şekilde, kötü niyetli sunucuları, özel bir sanal makine kullanan istemciler olarak etkileşime girerek ve yetkisiz değişiklikleri kaydederek tanımlar.
Honeypot'larla ilgileniyorsanız, muhtemelen IDS (İzinsiz Giriş Tespit Sistemleri) sizin için ilginç olabilir, LinuxHint'te onlar hakkında birkaç ilginç öğreticimiz var:
- Snort IDS'yi yapılandırın ve kurallar oluşturun
- OSSEC'e (İzinsiz Giriş Tespit Sistemi) başlarken
Umarım Bal Küpleri ve Bal Ağları hakkındaki bu makaleyi faydalı bulmuşsunuzdur. Linux ve güvenlik hakkında daha fazla ipucu ve güncelleme için LinuxHint'i takip etmeye devam edin.
