Део посла безбедносних ИТ стручњака је да науче о врстама напада или техникама које користе хакери прикупљањем информација за каснију анализу ради процене карактеристика покушаја напада. Понекад се ово прикупљање информација врши путем мамаца или варалица осмишљених да региструју сумњиве активности потенцијалних нападача који делују, а да не знају да се њихова активност прати. У ИТ безбедности ти мамци или мамци се зову Хонеипотс .
Шта су сатови од меда и сатови од меда:
ДО меденица може бити апликација која симулира мету која заиста бележи активности нападача. Деноминирано је више Хонеипотова који симулирају више услуга, уређаја и апликација Хонеинетс .
Хонеипотс и Хонеинетс не чувају осетљиве податке, већ складиште лажне атрактивне информације нападачима како би их заинтересовали за Хонеипотс; Другим речима, медене мреже говоре о хакерским замкама осмишљеним да науче њихове технике напада.
Хонеипотс нам даје две предности: прво, помажу нам да научимо нападе да бисмо правилно осигурали свој производни уређај или мрежу. Друго, држећи саксије које симулирају рањивости поред производних уређаја или мрежа, хакере задржавамо изван заштићених уређаја. Наћи ће привлачније саксије које симулирају рупе у безбедности које могу искористити.
Врсте медењака:
Производња меда:
Ова врста медењака инсталирана је у производној мрежи ради прикупљања информација о техникама које се користе за напад на системе унутар инфраструктуре. Ова врста медењака нуди широк спектар могућности, од локације медењака у оквиру одређеног мрежног сегмента како би се открили интерни покушаји легитимних корисника мреже да приступе недозвољеним или забрањеним ресурсима клону веб локације или услуге, идентичном оригиналан као мамац. Највећи проблем ове врсте медењака је омогућавање злонамерног промета између легитимних.
Развојни сатови:
Ова врста медењака је дизајнирана за прикупљање више информација о трендовима хакирања, жељеним циљевима нападача и поријеклу напада. Ове информације се касније анализирају за процес доношења одлука о примени безбедносних мера.
Главна предност ове врсте саксија је, супротно производњи; сатови за развој меда лонци се налазе унутар независне мреже посвећене истраживању; овај рањиви систем је одвојен од производног окружења спречавајући напад из самог саћа. Његов главни недостатак је број ресурса потребних за његову имплементацију.
Постоје 3 различите поткатегорије или типови класификација медењака дефинисане нивоом интеракције са нападачима.
Медени лонци ниске интеракције:
Хонеипот опонаша рањиву услугу, апликацију или систем. Ово је врло лако поставити, али је ограничено при прикупљању информација; неки примери ове врсте медењака су:
- Хонеитрап : дизајниран је за посматрање напада на мрежне услуге; за разлику од других медењака, који се фокусирају на хватање злонамерног софтвера, ова врста медењака је дизајнирана за хватање злоупотреба.
- Непхентес : опонаша познате рањивости ради прикупљања информација о могућим нападима; осмишљен је тако да опонаша рањивости које црви експлоатишу за ширење, а затим Непхентес хвата њихов код за каснију анализу.
- ХонеиЦ : идентификује злонамерне веб сервере унутар мреже емулирајући различите клијенте и прикупљајући одговоре сервера приликом одговарања на захтеве.
- ХонеиД : је демон који ствара виртуелне хостове унутар мреже који се може конфигурисати за покретање произвољних услуга које симулирају извршавање у различитим оперативним системима.
- Гластопф : опонаша хиљаде рањивости дизајнираних за прикупљање информација о нападу на веб апликације. Лако се поставља и једном га индексирају претраживачи; постаје привлачна мета хакерима.
Медењаци са средњом интеракцијом:
У овом сценарију, Хонеипотс нису дизајнирани само за прикупљање информација; то је апликација дизајнирана за интеракцију са нападачима док исцрпно региструје активност интеракције; симулира мету способну да понуди све одговоре које нападач може очекивати; неки медови ове врсте су:
- Цоврие: Медени ссх и телнет који бележи нападе грубе силе и интеракцију хакерских граната. Емулира Уник ОС и ради као проки за евидентирање активности нападача. Након овог одељка можете пронаћи упутства за Цоврие имплементацију.
- Стицки_елепхант : то је ПостгреСКЛ мед.
- Стршљен : Побољшана верзија хонеипот-васп са захтевом за лажне акредитиве дизајнирана за веб локације са пријављеном страницом за јавни приступ за администраторе, као што је /вп-админ за ВордПресс веб локације.
Медени лонци велике интеракције:
У овом сценарију, Хонеипотс нису дизајнирани само за прикупљање информација; то је апликација дизајнирана за интеракцију са нападачима док исцрпно региструје активност интеракције; симулира мету способну да понуди све одговоре које нападач може очекивати; неки медови ове врсте су:
- Ране : ради као ХИДС (Хост-басед Интрусион Детецтион Систем), омогућавајући хватање информација о активностима система. Ово је сервер-клијент алат способан за постављање медених потова на Линук, Уник и Виндовс који хватају и шаљу прикупљене информације на сервер.
- ХонеиБов : може се интегрирати са медом са ниском интеракцијом ради повећања прикупљања информација.
- ХИ-ХАТ (комплет алатки за анализу меда са великом интеракцијом) : претвара ПХП датотеке у меденице са великом интеракцијом са веб интерфејсом доступним за надгледање информација.
- Цаптуре-ХПЦ : слично ХонеиЦ -у, идентификује злонамерне сервере интеракцијом са клијентима помоћу наменске виртуелне машине и регистровањем неовлашћених промена.
Испод можете пронаћи практичан пример медењака са средњом интеракцијом.
Примена Цоврие за прикупљање података о ССХ нападима:
Као што је раније речено, Цоврие је медени џеп који се користи за снимање информација о нападима који циљају ссх услугу. Цоврие симулира рањиви ссх сервер који омогућава сваком нападачу приступ лажном терминалу, симулирајући успешан напад док бележи нападачеву активност.
Да би Цоврие симулирао лажни рањиви сервер, морамо га доделити порту 22. Стога морамо да променимо наш прави ссх порт уређивањем датотеке /етц/ссх/ссхд_цонфиг како је приказано испод.
судо нано /итд/ссх/ссхд_цонфигУредите линију и промените је за порт између 49152 и 65535.
Лука22 
Поново покрените и проверите да ли услуга ради исправно:
судосистемцтл рестартссхсудосистемцтл статусссх
Инсталирајте сав потребан софтвер за следеће кораке, на покрените Дебиан дистрибуције Линука:
судопогоданинсталирај -ипитхон-виртуаленв либссл-дев либффи-дев буилд-ессентиал либпитхон3-дев питхон3-минимална аутхбиндиди 
Додајте непривилегованог корисника по имену цоврие покретањем доње команде.
судододати корисника--дисаблед-пассвордцоврие 
На дистрибуцијама Линука заснованим на Дебиану инсталирајте аутхбинд покретањем следеће наредбе:
судопогоданинсталирајаутхбиндПокрените наредбу испод.
судо додир /итд/аутхбинд/бипорт/22Промените власништво покретањем наредбе испод.
судо цховнцоврие: каурије/итд/аутхбинд/бипорт/22Промените дозволе:
судо цхмод 770 /итд/аутхбинд/бипорт/22 
Пријавите се као цоврие
судо његовоцовриеИдите у кућни именик Цоврие.
ЦД~Преузмите цоврие хонеипот користећи гит као што је приказано испод.
гит цлонехттпс://гитхуб.цом/мицхелоостерхоф/цовриеПређите у директоријум каурије.
ЦДцоврие/ 
Креирајте нову конфигурациону датотеку на основу подразумеване тако што ћете је копирати из датотеке /етц/цоврие.цфг.дист то цоврие.цфг покретањем наредбе приказане испод у директоријуму цоврие/
цпитд/цоврие.цфг.дист итд/цоврие.цфг 
Измените креирану датотеку:
наноитд/цоврие.цфгПронађите линију испод.
листен_ендпоинтс = тцп:2222:приступ= 0.0.0.0Уредите линију, замењујући порт 2222 са 22 као што је приказано испод.
листен_ендпоинтс = тцп:22:приступ= 0.0.0.0 
Сачувајте и изађите из нано.
Покрените наредбу испод да бисте креирали питхон окружење:
виртуаленв цоврие-енв 
Омогућите виртуелно окружење.
изворцоврие-енв/сам/активирати 
Ажурирајте пип покретањем следеће наредбе.
пипинсталирај --упградепип 
Инсталирајте све захтеве покретањем следеће наредбе.
пипинсталирај --упградеррекуирементс.ткт 
Покрените цоврие са следећом командом:
сам/цоврие старт 
Трчањем проверите да ли медена посуда слуша.
нетстат -тако 
Сада ће покушаји пријављивања на порт 22 бити забележени у датотеци вар/лог/цоврие/цоврие.лог у директоријуму цоврие.
Као што је раније речено, можете користити Хонеипот за креирање лажне рањиве љуске. Цовриес садржи датотеку у којој можете дефинисати дозвољен приступ корисницима љусци. Ово је листа корисничких имена и лозинки путем којих хакер може приступити лажној љусци.
Формат листе приказан је на доњој слици:
Можете преименовати подразумевану листу цоврие за потребе тестирања покретањем доње команде из директоријума цовриес. На тај начин корисници ће се моћи пријавити као роот помоћу лозинке корен или 123456 .
мвитд/усердб.екампле итд/усердб.ткт 
Зауставите и поново покрените Цоврие покретањем наредних команди:
сам/каури стопсам/цоврие старт
Сада тестирајте покушај приступа путем ссх -а користећи корисничко име и лозинку који су укључени у усердб.ткт листа.
Као што видите, приступићете лажној љусци. И све активности које се обављају у овој љусци могу се пратити из дневника каурија, као што је приказано испод.
Као што видите, Цоврие је успешно имплементиран. Можете сазнати више о Цоврие на адреси хттпс://гитхуб.цом/цоврие/ .
Закључак:
Имплементација Хонеипотс -а није уобичајена мера безбедности, али као што видите, то је одличан начин за јачање безбедности мреже. Имплементација Хонеипотс -а важан је део прикупљања података чији је циљ побољшање безбедности, претварање хакера у сараднике откривањем њихових активности, техника, акредитива и циљева. То је такође сјајан начин да се хакерима доставе лажне информације.
Ако сте заинтересовани за Хонеипотс, вероватно би вам могли бити занимљиви ИДС (Интрусион Детецтион Системс); у ЛинукХинт -у имамо неколико занимљивих водича о њима:
- Конфигуришите Снорт ИДС и креирајте правила
- Почетак рада са ОССЕЦ -ом (систем за откривање упада)
Надам се да вам је овај чланак о Хонеипотс -у и Хонеинетс -у био користан. Пратите Линук Хинт за више Линук савета и водича.