Bagian dari pekerjaan spesialis TI keamanan adalah mempelajari jenis serangan atau teknik yang digunakan oleh peretas dengan mengumpulkan informasi untuk analisis selanjutnya guna mengevaluasi karakteristik upaya serangan. Terkadang pengumpulan informasi ini dilakukan melalui umpan atau umpan yang dirancang untuk mencatat aktivitas mencurigakan dari penyerang potensial yang bertindak tanpa mengetahui aktivitas mereka sedang dipantau. Dalam keamanan TI, umpan atau umpan ini disebut tempat madu .
Apa itu honeypots dan honeynets:
KE wadah madu mungkin merupakan aplikasi yang mensimulasikan target yang sebenarnya merupakan perekam aktivitas penyerang. Beberapa Honeypot yang mensimulasikan beberapa layanan, perangkat, dan aplikasi dalam denominasi sarang madu .
Honeypots dan Honeynets tidak menyimpan informasi sensitif tetapi menyimpan informasi palsu yang menarik bagi penyerang untuk membuat mereka tertarik pada Honeypots; Honeynets, dengan kata lain, berbicara tentang jebakan peretas yang dirancang untuk mempelajari teknik serangan mereka.
Honeypots memberi kita dua manfaat: pertama, mereka membantu kita mempelajari serangan untuk mengamankan perangkat atau jaringan produksi kita dengan benar. Kedua, dengan menjaga honeypots mensimulasikan kerentanan di samping perangkat atau jaringan produksi, kami menjauhkan perhatian peretas dari perangkat yang diamankan. Mereka akan menemukan lebih menarik honeypot yang mensimulasikan lubang keamanan yang dapat mereka manfaatkan.
Jenis tempat madu:
Honeypot produksi:
Jenis honeypot ini dipasang di jaringan produksi untuk mengumpulkan informasi tentang teknik yang digunakan untuk menyerang sistem di dalam infrastruktur. Jenis honeypot ini menawarkan berbagai kemungkinan, dari lokasi honeypot dalam segmen jaringan tertentu untuk mendeteksi upaya internal oleh pengguna jaringan yang sah untuk mengakses sumber daya yang tidak diizinkan atau dilarang ke tiruan situs web atau layanan, identik dengan asli sebagai umpan. Masalah terbesar dari jenis honeypot ini adalah memungkinkan lalu lintas berbahaya antara yang sah.
Pengembangan honeypot:
Jenis honeypot ini dirancang untuk mengumpulkan lebih banyak informasi tentang tren peretasan, target yang diinginkan oleh penyerang, dan asal serangan. Informasi ini kemudian dianalisa untuk proses pengambilan keputusan implementasi langkah-langkah keamanan.
Keuntungan utama dari honeypots jenis ini adalah, bertentangan dengan produksi; honeypots pengembangan honeypots terletak dalam jaringan independen yang didedikasikan untuk penelitian; sistem yang rentan ini dipisahkan dari lingkungan produksi yang mencegah serangan dari honeypot itu sendiri. Kerugian utamanya adalah jumlah sumber daya yang diperlukan untuk mengimplementasikannya.
Ada 3 subkategori atau jenis klasifikasi honeypot yang berbeda yang ditentukan oleh tingkat interaksi yang dimilikinya dengan penyerang.
Honeypot Interaksi Rendah:
Honeypot mengemulasi layanan, aplikasi, atau sistem yang rentan. Ini sangat mudah diatur tetapi terbatas saat mengumpulkan informasi; beberapa contoh honeypots jenis ini adalah:
- Jebakan madu : dirancang untuk mengamati serangan terhadap layanan jaringan; Berbeda dengan honeypots lainnya, yang berfokus pada penangkapan malware, honeypot jenis ini dirancang untuk menangkap eksploitasi.
- Nephentes : mengemulasi kerentanan yang diketahui untuk mengumpulkan informasi tentang kemungkinan serangan; itu dirancang untuk meniru kerentanan yang dieksploitasi worm untuk disebarkan, kemudian Nephentes menangkap kode mereka untuk analisis nanti.
- SayangC : mengidentifikasi server web berbahaya dalam jaringan dengan meniru klien yang berbeda dan mengumpulkan respons server saat membalas permintaan.
- SayangD : adalah daemon yang membuat host virtual dalam jaringan yang dapat dikonfigurasi untuk menjalankan layanan arbitrer yang mensimulasikan eksekusi di OS yang berbeda.
- Glastopf : mengemulasi ribuan kerentanan yang dirancang untuk mengumpulkan informasi serangan terhadap aplikasi web. Mudah diatur, dan pernah diindeks oleh mesin pencari; itu menjadi target yang menarik bagi peretas.
Honeypot Interaksi Sedang:
Dalam skenario ini, Honeypots tidak dirancang untuk mengumpulkan informasi saja; ini adalah aplikasi yang dirancang untuk berinteraksi dengan penyerang sambil mendaftarkan aktivitas interaksi secara menyeluruh; itu mensimulasikan target yang mampu menawarkan semua jawaban yang mungkin diharapkan penyerang; beberapa honeypots jenis ini adalah:
- Cowrie: Honeypot ssh dan telnet yang mencatat serangan brute force dan interaksi shell peretas. Ini mengemulasi OS Unix dan berfungsi sebagai proxy untuk mencatat aktivitas penyerang. Setelah bagian ini, Anda dapat menemukan instruksi untuk implementasi Cowrie.
- Sticky_gajah : ini adalah honeypot PostgreSQL.
- Pikat : Versi lebih baik dari honeypot-tawon dengan permintaan kredensial palsu yang dirancang untuk situs web dengan halaman login akses publik untuk administrator seperti /wp-admin untuk situs WordPress.
Honeypots Interaksi Tinggi:
Dalam skenario ini, Honeypots tidak dirancang untuk mengumpulkan informasi saja; ini adalah aplikasi yang dirancang untuk berinteraksi dengan penyerang sambil mendaftarkan aktivitas interaksi secara menyeluruh; itu mensimulasikan target yang mampu menawarkan semua jawaban yang mungkin diharapkan penyerang; beberapa honeypots jenis ini adalah:
- luka : bekerja sebagai HIDS (Sistem Deteksi Intrusi Berbasis Host), memungkinkan untuk menangkap informasi tentang aktivitas sistem. Ini adalah alat klien-server yang mampu menyebarkan honeypots di Linux, Unix, dan Windows yang menangkap dan mengirim informasi yang dikumpulkan ke server.
- madubusur : dapat diintegrasikan dengan honeypots interaksi rendah untuk meningkatkan pengumpulan informasi.
- HI-HAT (Perangkat Analisis Honeypot Interaksi Tinggi) : mengonversi file PHP menjadi honeypots interaksi tinggi dengan antarmuka web yang tersedia untuk memantau informasi.
- Tangkap-HPC : mirip dengan HoneyC, mengidentifikasi server jahat dengan berinteraksi dengan klien menggunakan mesin virtual khusus dan mendaftarkan perubahan yang tidak sah.
Di bawah ini Anda dapat menemukan contoh praktis honeypot interaksi medium.
Menyebarkan Cowrie untuk mengumpulkan data tentang serangan SSH:
Seperti yang dikatakan sebelumnya, Cowrie adalah honeypot yang digunakan untuk merekam informasi tentang serangan yang menargetkan layanan ssh. Cowrie mensimulasikan server ssh yang rentan yang memungkinkan penyerang mengakses terminal palsu, mensimulasikan serangan yang berhasil saat merekam aktivitas penyerang.
Agar Cowrie mensimulasikan server rentan palsu, kita perlu menetapkannya ke port 22. Jadi kita perlu mengubah port ssh asli kita dengan mengedit file /etc/ssh/sshd_config seperti yang ditunjukkan di bawah ini.
sudo nano /dll/ssh/sshd_configEdit baris, dan ubah untuk port antara 49152 dan 65535.
Pelabuhan22 
Mulai ulang dan periksa layanan berjalan dengan benar:
sudosystemctl restartsshsudostatus systemctlssh
Instal semua perangkat lunak yang diperlukan untuk langkah selanjutnya, pada distribusi Linux berbasis Debian jalankan:
sudotepatInstall -danpython-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbindPergilah 
Tambahkan pengguna yang tidak memiliki hak istimewa bernama cowrie dengan menjalankan perintah di bawah ini.
sudoTambahkan pengguna--disabled-passwordcowrie 
Pada distribusi Linux berbasis Debian, instal authbind dengan menjalankan perintah berikut:
sudotepatInstallikatan asliJalankan perintah di bawah ini.
sudo menyentuh /dll/ikatan asli/byport/22Ubah kepemilikan dengan menjalankan perintah di bawah ini.
sudo chowncowrie: cowrie/dll/ikatan asli/byport/22Ubah izin:
sudo chmod 770 /dll/ikatan asli/byport/22 
Masuk sebagai cowrie
sudo nyacowrieMasuk ke direktori home cowrie.
CD~Download cowrie honeypot menggunakan git seperti gambar dibawah ini.
git klonhttps://github.com/micheloosterhof/cowriePindah ke direktori cowrie.
CDcowrie/ 
Buat file konfigurasi baru berdasarkan yang default dengan menyalinnya dari file /etc/cowrie.cfg.dist ke cowrie.cfg dengan menjalankan perintah yang ditunjukkan di bawah ini di dalam direktori cowrie/
cpdll/cowrie.cfg.dist dll/cowrie.cfg 
Edit file yang dibuat:
nanodll/cowrie.cfgTemukan baris di bawah ini.
mendengarkan_endpoints = tcp:2222:antarmuka= 0.0.0.0Edit baris, ganti port 2222 dengan 22 seperti yang ditunjukkan di bawah ini.
mendengarkan_endpoints = tcp:22:antarmuka= 0.0.0.0 
Simpan dan keluar dari nano.
Jalankan perintah di bawah ini untuk membuat lingkungan python:
virtualenv cowrie-env 
Aktifkan lingkungan virtual.
sumbercowrie-env/NS/mengaktifkan 
Perbarui pip dengan menjalankan perintah berikut.
pipInstall --meningkatkanpip 
Instal semua persyaratan dengan menjalankan perintah berikut.
pipInstall --upgraderpersyaratan.txt 
Jalankan cowrie dengan perintah berikut:
NS/cowrie mulai 
Periksa honeypot mendengarkan dengan menjalankan.
status bersih -jadi 
Sekarang upaya login ke port 22 akan dicatat dalam file var/log/cowrie/cowrie.log dalam direktori cowrie.
Seperti yang dikatakan sebelumnya, Anda dapat menggunakan Honeypot untuk membuat cangkang rentan palsu. Cowries menyertakan file di mana Anda dapat menentukan pengguna yang diizinkan untuk mengakses shell. Ini adalah daftar nama pengguna dan kata sandi yang dengannya peretas dapat mengakses cangkang palsu.
Format daftar ditunjukkan pada gambar di bawah ini:
Anda dapat mengganti nama daftar default cowrie untuk tujuan pengujian dengan menjalankan perintah di bawah ini dari direktori cowrie. Dengan melakukan itu, pengguna akan dapat masuk sebagai root menggunakan kata sandi akar atau 123456 .
mvdll/userdb.contoh dll/userdb.txt 
Hentikan dan mulai ulang Cowrie dengan menjalankan perintah di bawah ini:
NS/cowrie berhentiNS/cowrie mulai
Sekarang uji mencoba mengakses melalui ssh menggunakan nama pengguna dan kata sandi yang disertakan dalam userdb.txt Daftar.
Seperti yang Anda lihat, Anda akan mengakses shell palsu. Dan semua aktivitas yang dilakukan di shell ini dapat dimonitor dari cowrie log, seperti gambar di bawah ini.
Seperti yang Anda lihat, Cowrie berhasil diimplementasikan. Anda dapat mempelajari lebih lanjut tentang Cowrie di https://github.com/cowrie/ .
Kesimpulan:
Implementasi honeypots bukanlah ukuran keamanan yang umum, tetapi seperti yang Anda lihat, ini adalah cara yang bagus untuk memperkuat keamanan jaringan. Menerapkan Honeypots adalah bagian penting dari pengumpulan data yang bertujuan untuk meningkatkan keamanan, mengubah peretas menjadi kolaborator dengan mengungkapkan aktivitas, teknik, kredensial, dan target mereka. Ini juga merupakan cara yang hebat untuk memberikan informasi palsu kepada peretas.
Jika Anda tertarik dengan Honeypots, mungkin IDS (Intrusion Detection Systems) mungkin menarik bagi Anda; di LinuxHint, kami memiliki beberapa tutorial menarik tentang mereka:
- Konfigurasikan Snort IDS dan buat aturan
- Memulai dengan OSSEC (Sistem Deteksi Intrusi)
Saya harap Anda menemukan artikel tentang Honeypots dan Honeynets ini bermanfaat. Ikuti terus Linux Hint untuk tips dan tutorial Linux lainnya.