مواضع الجذب وشبكات العسل

يتمثل جزء من عمل متخصصي تكنولوجيا المعلومات في مجال الأمن في التعرف على أنواع الهجمات أو الأساليب التي يستخدمها المتسللون من خلال جمع المعلومات لتحليلها لاحقًا لتقييم خصائص محاولات الهجوم. في بعض الأحيان ، تتم عملية جمع المعلومات هذه من خلال الطُعم أو الشراك الخداعية المصممة لتسجيل النشاط المشبوه للمهاجمين المحتملين الذين يتصرفون دون معرفة أن نشاطهم يخضع للمراقبة. في أمن تكنولوجيا المعلومات ، تسمى هذه الطعوم أو الشراك الخداعية مواضع الجذب .

ما هي مواضع الجذب وشبكات العسل:

إلى وعاء العسل قد يكون تطبيقًا يحاكي هدفًا وهو في الحقيقة مسجل لنشاط المهاجمين. يتم تصنيف مواضع الجذب المتعددة التي تحاكي خدمات وأجهزة وتطبيقات متعددة شبكات العسل .

لا تخزن مواضع الجذب وشبكات العسل معلومات حساسة ولكنها تخزن معلومات جذابة مزيفة للمهاجمين لإثارة اهتمامهم بأماكن الجذب ؛ بعبارة أخرى ، تتحدث شبكات العسل عن أفخاخ القراصنة المصممة لتعلم تقنيات الهجوم الخاصة بهم.

تمنحنا مواضع الجذب فائدتين: أولاً ، تساعدنا في تعلم الهجمات لتأمين جهاز الإنتاج أو الشبكة بشكل صحيح. ثانيًا ، من خلال إبقاء مواضع الجذب التي تحاكي الثغرات الأمنية بجوار أجهزة أو شبكات الإنتاج ، فإننا نبقي انتباه المتسللين بعيدًا عن الأجهزة الآمنة. سيجدون أكثر جاذبية لمواضع الجذب التي تحاكي الثغرات الأمنية التي يمكنهم استغلالها.

أنواع مواضع الجذب:

مواضع الإنتاج:
يتم تثبيت هذا النوع من مواضع الجذب في شبكة إنتاج لجمع المعلومات حول التقنيات المستخدمة لمهاجمة الأنظمة داخل البنية التحتية. يوفر هذا النوع من مواضع الجذب مجموعة متنوعة من الاحتمالات ، بدءًا من موقع موضع المصيدة داخل جزء شبكة معين من أجل اكتشاف المحاولات الداخلية من قِبل المستخدمين الشرعيين للشبكة للوصول إلى الموارد غير المسموح بها أو المحظورة إلى نسخة من موقع ويب أو خدمة مماثلة لـ أصلي كطعم. أكبر مشكلة في هذا النوع من مواضع الجذب هي السماح بالمرور الضار بين العناصر المشروعة.

تطوير مواضع الجذب:
تم تصميم هذا النوع من مواضع الجذب لجمع المزيد من المعلومات حول اتجاهات القرصنة والأهداف المرغوبة من قبل المهاجمين وأصول الهجوم. يتم تحليل هذه المعلومات لاحقًا لعملية اتخاذ القرار بشأن تنفيذ التدابير الأمنية.
الميزة الرئيسية لهذا النوع من مواضع الجذب هي عكس الإنتاج ؛ تقع مواضع الجذب لتطوير مواضع الجذب داخل شبكة مستقلة مخصصة للبحث ؛ يتم فصل هذا النظام الضعيف عن بيئة الإنتاج لمنع هجوم من موضع الجذب نفسه. عيبه الرئيسي هو عدد الموارد اللازمة لتنفيذه.

هناك 3 فئات فرعية مختلفة من مواضع الجذب أو أنواع تصنيف محددة حسب مستوى التفاعل الذي تتمتع به مع المهاجمين.

مواضع منخفضة التفاعل:

Honeypot يحاكي خدمة أو تطبيق أو نظام ضعيف. هذا سهل الإعداد ولكنه محدود عند جمع المعلومات ؛ بعض الأمثلة على هذا النوع من مواضع الجذب هي:

• عسل : تم تصميمه لمراقبة الهجمات على خدمات الشبكة ؛ على عكس مواضع الجذب الأخرى ، والتي تركز على التقاط البرامج الضارة ، فإن هذا النوع من مواضع الجذب مصمم لالتقاط الثغرات.
• نيفينتس : يحاكي نقاط الضعف المعروفة من أجل جمع المعلومات حول الهجمات المحتملة ؛ تم تصميمه لمحاكاة الثغرات الأمنية التي تستغلها الديدان لتنتشر ، ثم تلتقط Nephentes الكود الخاص بها لتحليلها لاحقًا.
• العسل ج : يحدد خوادم الويب الضارة داخل الشبكة عن طريق محاكاة عملاء مختلفين وجمع استجابات الخادم عند الرد على الطلبات.
• عسل د : هو برنامج خفي يقوم بإنشاء مضيفات افتراضية داخل شبكة يمكن تهيئتها لتشغيل خدمات عشوائية تحاكي التنفيذ في أنظمة تشغيل مختلفة.
• جلاستوبف : يحاكي آلاف الثغرات المصممة لجمع معلومات الهجوم ضد تطبيقات الويب. من السهل إعداده وفهرسته بمجرد فهرسته بواسطة محركات البحث ؛ يصبح هدفًا جذابًا للقراصنة.

مواضع الجذب المتوسطة التفاعل:

في هذا السيناريو ، لم يتم تصميم مواضع الجذب لجمع المعلومات فقط ؛ إنه تطبيق مصمم للتفاعل مع المهاجمين أثناء التسجيل الشامل لنشاط التفاعل ؛ يحاكي هدفًا قادرًا على تقديم جميع الإجابات التي قد يتوقعها المهاجم ؛ بعض مواضع الجذب من هذا النوع هي:

• Cowrie: نقطة جذب ssh و telnet تسجل هجمات القوة الغاشمة وتفاعل المتسللين. إنه يحاكي نظام تشغيل Unix ويعمل كوكيل لتسجيل نشاط المهاجم. بعد هذا القسم ، يمكنك العثور على إرشادات لتطبيق Cowrie.
• Sticky_elephant : إنه موضع جذب PostgreSQL.
• زنبور : نسخة محسّنة من honeypot-wasp مع مطالبة بأوراق اعتماد مزيفة مصممة لمواقع الويب التي تحتوي على صفحة تسجيل دخول عامة للمسؤولين مثل / wp-admin لمواقع WordPress.

مواضع الجذب عالية التفاعل:

في هذا السيناريو ، لم يتم تصميم مواضع الجذب لجمع المعلومات فقط ؛ إنه تطبيق مصمم للتفاعل مع المهاجمين أثناء التسجيل الشامل لنشاط التفاعل ؛ يحاكي هدفًا قادرًا على تقديم جميع الإجابات التي قد يتوقعها المهاجم ؛ بعض مواضع الجذب من هذا النوع هي:

• الجروح : يعمل كنظام HIDS (نظام اكتشاف التسلل المستند إلى المضيف) ، مما يسمح بالتقاط المعلومات حول نشاط النظام. هذه أداة خادم عميل قادرة على نشر مواضع الجذب على Linux و Unix و Windows التي تلتقط وترسل المعلومات المجمعة إلى الخادم.
• عسل القوس : يمكن دمجها مع مواضع الجذب منخفضة التفاعل لزيادة جمع المعلومات.
• HI-HAT (مجموعة أدوات تحليل مواضع الجذب عالية التفاعل) : يحول ملفات PHP إلى مواقع جذب عالية التفاعل مع واجهة ويب متاحة لمراقبة المعلومات.
• التقاط- HPC : على غرار HoneyC ، يحدد الخوادم الضارة من خلال التفاعل مع العملاء باستخدام جهاز افتراضي مخصص وتسجيل التغييرات غير المصرح بها.

أدناه يمكنك العثور على مثال عملي لمصيدة تفاعل متوسط ​​التفاعل.

نشر Cowrie لجمع البيانات حول هجمات SSH:

كما ذكرنا سابقًا ، يعد Cowrie نقطة جذب تستخدم لتسجيل المعلومات حول الهجمات التي تستهدف خدمة ssh. يحاكي Cowrie خادم ssh ضعيف ويسمح لأي مهاجم بالوصول إلى محطة زائفة لمحاكاة هجوم ناجح أثناء تسجيل نشاط المهاجم.

لكي يقوم Cowrie بمحاكاة خادم ضعيف وهمي ، نحتاج إلى تخصيصه للمنفذ 22. وبالتالي نحتاج إلى تغيير منفذ ssh الحقيقي لدينا عن طريق تحرير الملف / etc / ssh / sshd_config كما هو مبين أدناه.

قم بتحرير الخط وقم بتغييره لمنفذ بين 49152 و 65535.

أعد التشغيل وتحقق من أن الخدمة تعمل بشكل صحيح:

قم بتثبيت كل البرامج المطلوبة للخطوات التالية ، على توزيعات Linux القائمة على دبيان:

أضف مستخدمًا غير مميز يسمى Cowrie عن طريق تشغيل الأمر أدناه.

على توزيعات Linux القائمة على دبيان ، قم بتثبيت authbind عن طريق تشغيل الأمر التالي:

قم بتشغيل الأمر أدناه.

قم بتغيير الملكية عن طريق تشغيل الأمر أدناه.

تغيير الأذونات:

سجل دخول رعاة البقر

انتقل إلى دليل موقع Cowrie.

قم بتنزيل Cowrie honeypot باستخدام git كما هو موضح أدناه.

انتقل إلى دليل Cowrie.

قم بإنشاء ملف تكوين جديد بناءً على الملف الافتراضي عن طريق نسخه من الملف /etc/cowrie.cfg.dist إلى cowrie.cfg من خلال تشغيل الأمر الموضح أدناه داخل دليل Cowrie /

تحرير الملف الذي تم إنشاؤه:

ابحث عن السطر أدناه.

قم بتحرير الخط ، واستبدل المنفذ 2222 بـ 22 كما هو موضح أدناه.

حفظ والخروج من nano.

قم بتشغيل الأمر أدناه لإنشاء بيئة بيثون:

قم بتمكين بيئة افتراضية.

قم بتحديث النقطة عن طريق تشغيل الأمر التالي.

قم بتثبيت جميع المتطلبات عن طريق تشغيل الأمر التالي.

قم بتشغيل Cowrie باستخدام الأمر التالي:

تحقق من موضع الجذب يستمع عن طريق الجري.

سيتم الآن تسجيل محاولات تسجيل الدخول إلى المنفذ 22 في الملف var / log / cowrie / cowrie.log داخل دليل Cowrie.

كما ذكرنا سابقًا ، يمكنك استخدام Honeypot لإنشاء قشرة ضعيفة مزيفة. يتضمن Cowries ملفًا يمكنك من خلاله تحديد المستخدمين المسموح لهم بالوصول إلى shell. هذه قائمة بأسماء المستخدمين وكلمات المرور التي يمكن للمتسلل من خلالها الوصول إلى الصدفة المزيفة.

يظهر تنسيق القائمة في الصورة أدناه:

يمكنك إعادة تسمية قائمة Cowrie الافتراضية لأغراض الاختبار عن طريق تشغيل الأمر أدناه من دليل Cowries. من خلال القيام بذلك ، سيتمكن المستخدمون من تسجيل الدخول كجذر باستخدام كلمة المرور جذر أو 123456 .

أوقف Cowrie وأعد تشغيله عن طريق تشغيل الأوامر أدناه:

الآن اختبر محاولة الوصول من خلال ssh باستخدام اسم مستخدم وكلمة مرور مضمنين في ملف userdb.txt قائمة.

كما ترى ، ستصل إلى قذيفة مزيفة. ويمكن مراقبة جميع الأنشطة التي يتم إجراؤها في هذه القشرة من سجل البقر ، كما هو موضح أدناه.

كما ترى ، تم تنفيذ Cowrie بنجاح. يمكنك معرفة المزيد عن Cowrie في https://github.com/cowrie/ .

استنتاج:

لا يُعد تنفيذ مواضع الجذب إجراءً أمنيًا شائعًا ، ولكن كما ترى ، فهي طريقة رائعة لتعزيز أمان الشبكة. يعد تنفيذ مواضع الجذب جزءًا مهمًا من جمع البيانات الذي يهدف إلى تحسين الأمان وتحويل المتسللين إلى متعاونين من خلال الكشف عن نشاطهم وتقنياتهم وبيانات اعتمادهم وأهدافهم. إنها أيضًا طريقة رائعة لتزويد المتسللين بمعلومات مزيفة.

إذا كنت مهتمًا بمواضع الجذب ، فمن المحتمل أن تكون IDS (أنظمة كشف التسلل) ممتعة بالنسبة لك ؛ في LinuxHint ، لدينا بعض البرامج التعليمية الشيقة عنهم:

• تكوين Snort IDS وإنشاء القواعد
• بدء استخدام OSSEC (نظام كشف التسلل)

آمل أن تكون قد وجدت هذه المقالة حول مواضع الجذب وشبكات العسل مفيدة. استمر في اتباع Linux Hint للحصول على مزيد من النصائح والبرامج التعليمية حول Linux.