Honeypot "Network Security" para Honeynet Guia de primeiros passos (2) Origem, função e classificação do Honeypot

Others 2020-10-29 11:30:57 views: null

Originalidade não é fácil, assim mesmo! Sinta-se à vontade para agradecer se você gostar.

Prefácio

Olá a todos, "Segurança de rede" Guia de introdução do Honeypot para Honeynet "entra no segundo capítulo.

No primeiro artigo, começamos com a segurança de rede, do mais raso ao mais profundo, e introduzimos o conceito de honeypot.
A partir deste artigo, continuaremos a escrever conteúdo de acompanhamento principalmente em torno de honeypots ( honeypot) e Minet ( honeynet).

O desenvolvimento de qualquer tecnologia é um processo longo! Depois de um longo tempo de exibição, sempre podemos deixar um conteúdo que nos satisfaça.

Revisão anterior
  1. Honeypot "Network Security" para Honeynet Guia de primeiros passos (1) Primeira compreensão do Honeypot
  2. Honeypot "Network Security" para Honeynet Guia de primeiros passos (3) Análise da composição interna do honeypot

Conteúdo deste artigo

  • 1. A origem do honeypot
  • Em segundo lugar, o papel dos honeypots
  • Terceiro, a classificação dos honeypots

1. A origem do honeypot

O conceito de honeypot não apareceu do nada, mas apareceu pela primeira vez em um romance: "O Ovo do Cuco" .
Autor Cliff Stolloriginalmente um astrônomo, a força vital, após a redistribuição, a sorte de ser um administrador de rede. Cliff StollBaseado em minha própria experiência, ele conta a história de como eu rastreei e descobri um espião comercial depois de me tornar um administrador de rede.

Cliff Stoll É um verdadeiro especialista em segurança de computador, ele propôs em 1988: "Honeypot é um meio eficaz de entender os hackers"

dica: Amigos que querem ler este romance, tenho versão em inglês e versão em chinês traduçãopdf , mensagem privada na conta pública, vou mandar para vocês. Nome da conta pública do WeChat: dia do programador .

Depois que o conceito de honeypot foi apresentado, ele não recebeu atenção imediatamente.
Até 1990anos, Bill Cheswickele publicou um 《An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied》artigo:.

Neste artigo, o autor discute o conceito de honeypots mais de uma perspectiva técnica.
O autor criou um honeypot real e discutiu como o pessoal de segurança deve conduzir pesquisas sobre hackers quando eles estão atacando e destruindo sistemas em grande escala e descobrir como os invasores se comportam.

O conteúdo do artigo é muito interessante, mas a falha é que ele ainda não define com precisão o significado dos honeypots, nem discute o valor dos honeypots no campo da segurança.

Após a Bill Cheswickpublicação do artigo, a tecnologia do honeypot começou a atrair lentamente a atenção da comunidade de segurança. Até agora, os pesquisadores de segurança pesquisaram e desenvolveram muitos tipos diferentes de produtos do honeypot, e eles têm sido amplamente usados ​​em diferentes situações.

O processo de desenvolvimento da tecnologia de honeypot pode ser dividido em três estágios. Vamos dar uma olhada rápida.

1.1, o primeiro estágio do desenvolvimento do honeypot

Desde a introdução do conceito de honeypot em 1990 a 1998, a tecnologia de honeypot estava no primeiro estágio.
No momento, os honeypots são limitados a apenas uma ideia. Normalmente, apenas administradores de rede profissionais usarão honeypots para rastrear ataques de hackers enganosos.

Os honeypots neste estágio geralmente são hosts e sistemas que são realmente hackeados.

1.2, o segundo estágio do desenvolvimento do honeypot

Desde 1998, a tecnologia honeypot atraiu a atenção de um grupo de pesquisadores de segurança.
Pesquisadores profissionais da indústria desenvolveram uma série de ferramentas projetadas para enganar os hackers do honeypot, conforme Fred Cohendesenvolvido por DTK(cheat kit) e Niels Provosdesenvolvimento de Honeydoutros produtos de código aberto. Ao mesmo tempo, alguns produtos honeypot comerciais tais como KFSensor, Specteretc. também apareceram .

O honeypot neste estágio usa a ferramenta honeypot para simular um sistema operacional virtual ou serviço de rede. Podemos chamá-lo de honeypot virtual .

Honeypots virtuais podem responder a ataques de hackers, enganando assim os hackers.

Além disso, o surgimento de ferramentas de honeypots virtuais torna a implantação de honeypots mais fácil.

dica: Honeypots virtuais são usados ​​há muito tempo e se tornaram fáceis de serem identificados por hackers. Se você usar diretamente os honeypots acima, deve ser cauteloso.

1.3, o terceiro estágio do desenvolvimento do honeypot

Como o honeypot virtual do segundo estágio possui baixo grau de interação, é fácil de ser identificado pelos hackers. Portanto, desde 2000, os pesquisadores de segurança estão mais inclinados a usar hosts, sistemas operacionais e aplicativos reais para construir honeypots.

Ao contrário de antes, o honeypot de terceiro estágio incorpora ferramentas poderosas, como captura de dados, análise de dados e controle de dados, e integra o honeypot em um sistema de rede honeypot completo, tornando mais fácil para os pesquisadores rastrearem ataques cibernéticos , E analise o comportamento ofensivo.

Neste estágio, nem uma única implantação de honeypot, muitas vezes combinados sistemas de auditoria de log, sistemas de gerenciamento, sistemas de alarme, front-end web, a formação de uma rede unificada, chamamos esta rede: honeynet ( honeynet).

dica: Um honeypot é um honeypot e uma rede densa é uma rede densa. O Honeypot pertence ao módulo principal do Minet.

O surgimento de redes densas nos permite implantar e gerenciar honeypots na nuvem. Além disso, por meio da webexibição humanizada da página, dados como registros de ataques, número de ataques e origem dos ataques ficam claros à primeira vista.
A rede densa reduz efetivamente o limite para os usuários.Mesmo se você não for um administrador de rede profissional, você pode descobrir ataques rapidamente através da rede densa.

A tecnologia Honeynet é uma nova tecnologia desenvolvida gradualmente na tecnologia honeypot. Na tecnologia de rede densa, o honeypot é o núcleo! Portanto, continuaremos a estudar e discutir os honeypots mais tarde. Depois que a tecnologia de rede densa for colocada no honeypot, falaremos sobre isso separadamente. Bem-vindos a todos para continuarem prestando atenção.

Em segundo lugar, o papel do honeypot

No artigo anterior, dissemos: Honeypot é um tipo de recurso de segurança cujo valor está em ser verificado, atacado e comprometido.
Considerando o desenvolvimento de honeypots, podemos concluir que as principais funções dos honeypots são:Enganar hackers, induzir ataques, capturar ataques

Além disso, os honeypots também protegem empresas reais e atrasam os ataques até certo ponto .

Imagine que há dois bancos de dados implantados em um servidor, um é um banco de dados de negócios real e o outro é um banco de dados honeypot. Então, a probabilidade de um hacker atacar um banco de dados de negócios real torna-se pela metade.
Hoje em dia, em tecnologia de rede densa, a implantação de honeypots adota principalmente o método de drenagem de nós, o que é muito conveniente, não é impossível implantar 100 nós de honeypot em um servidor ... exagerado

Hacker: "É uma boa colheita hoje. Existem 100 ativos expostos neste servidor. Qual deles devo atacar primeiro ...?"

Finalmente, os honeypots também com base na análise comportamental, descobriram que 0dayataques desconhecidos.

dica: O dano da vulnerabilidade de 0 dias, ninguém sabe antes do ataque!

Terceiro, a classificação dos honeypots

De diferentes perspectivas, os honeypots podem ser classificados de diferentes maneiras.
No entanto, a maioria das classificações não é estrita e não tem muito significado prático para nós. Aqui são apresentados principalmente vários métodos de classificação comuns, basta entender.

3.1 De acordo com o propósito

De acordo com diferentes propósitos, os honeypots podem ser divididos em: produção de honeypots e pesquisa de honeypots.

  • Honeypot de produção

Usado para capturar ataques no ambiente de produção e proteger o ambiente de produção, utilizado principalmente pela empresa. Os honeypots de produção são organizados e colocados na rede de produção junto com outros servidores de produção para melhorar seu status geral de segurança. Normalmente, os honeypots de produção são honeypots de baixa e média interação, que são fáceis de implantar.

  • Honeypot de pesquisa

Usado principalmente para atividades de pesquisa, como como atrair ataques, coletar informações, detectar novos tipos de ataques, etc., bem como entender o histórico, a finalidade e os padrões de atividade de hackers e grupos de hackers. Portanto, os honeypots de pesquisa são muito valiosos para escrever novas regras de detecção de intrusão e descobrir vulnerabilidades do sistema.

3.2. De acordo com o grau de interação

A chave para o sucesso do engano e do disfarce está na autenticidade do honeypot. Quanto maior o grau de interação, mais real o honeypot parece e maior o efeito.

De acordo com diferentes níveis de interação, os honeypots podem ser divididos em honeypots de baixa interação, honeypots de média interação e honeypots de alta interação.

  • Honeypot de baixa interação

Geralmente, ao simular os principais recursos do serviço, os hackers são impedidos de se mover dentro de um intervalo especificado e apenas uma pequena quantidade de interação é permitida. Por exemplo, os honeypots escutam em portas específicas e registram todos os dados de tráfego de entrada e saída, que podem ser usados ​​para detectar varreduras e conexões ilegais.

A maioria das empresas simula TCPe IPespera pelo acordo, o que faz o invasor pensar que está se conectando a um sistema real, e não a um ambiente honeypot.

Um honeypot de baixa interação pode não ser eficaz o suficiente para ser facilmente detectado por invasores e não é suficiente para capturar ameaças complexas, como 0dayataques. No entanto, os honeypots de baixa interação são fáceis de implantar, têm baixo custo de manutenção e são relativamente seguros, não permitindo o acesso a serviços reais do sistema.

  • Honeypot de interação

O honeypot interativo chinês fornece informações mais interativas, mas ainda não fornece um sistema operacional ou serviço real. Por meio desse alto grau de interação, métodos de ataque mais sofisticados podem ser registrados e analisados. Um honeypot interativo chinês é uma simulação de vários comportamentos de um sistema operacional ou serviço real. Nesse sistema de comportamento simulado, os usuários podem realizar várias configurações à vontade, de modo que o honeypot não seja diferente de um sistema operacional real.

Considerando os fatores abrangentes como custo de desenvolvimento, custo de manutenção e segurança, o mais comumente utilizado no projeto é o honeypot de interação.

  • Honeypot de alta interação

Um honeypot de alta interação não é uma simulação simples, geralmente fornece um sistema operacional ou serviço real. Os honeypots de alta interação reduzem muito a probabilidade de um honeypot ser detectado e aumentam muito o grau de atração de atacantes. Mas, ao mesmo tempo, o perigo também aumentou. Um dos propósitos dos hackers que entram no sistema é obter privilégios de root. Um honeypot com um alto nível de interação apenas fornece esse ambiente.

Os honeypots de alta interação têm grandes efeitos e riscos elevados. O isolamento da rede deve ser feito para evitar que os honeypots se tornem um trampolim para que hackers ataquem outros hosts na mesma rede.

3.3, de acordo com a implementação

De acordo com diferentes métodos de implementação, os honeypots podem ser divididos em honeypots de serviço reais e honeypots de serviço simulados.

  • Honeypot de serviço real

O sistema honeypot de alta interação semelhante, muitas vezes um host físico real ou máquina virtual, é independente com um ipsistema real, fizemos um serviço baseado em um honeypot real conhecido como: honeypot de serviço real.

  • Honeypot de serviço virtual

Honeypots de baixa e média interação são honeypots que são implementados por meio de código e simulam parte dos serviços reais. Nós os chamamos de honeypots de serviço simulado.

A alma pergunta: Que tipo de honeypot o desenvolvimento secundário remove parte da função do honeypot? Não preste muita atenção à classificação do honeypot ...

3.4 De acordo com a cobrança

Dependendo se eles cobram uma taxa, os honeypots podem ser divididos em honeypots de código aberto e honeypots comerciais.

  • Honeypot de código aberto

Um honeypot desenvolvido por bonitos e atraentes especialistas do setor, de código aberto, gratuito para compartilhar e disponível para todos usarem e aprenderem. É chamado de honeypot de código aberto.
O desenvolvimento de honeypots de código aberto geralmente não tem um gerenciamento completo do ciclo de vida do software e as funções podem ser alcançadas.O ciclo de desenvolvimento é relativamente lento e não pode ser comparado com produtos honeypot comerciais.

  • Honeypot comercial

Um honeypot pago desenvolvido por uma equipe profissional e operado por uma empresa profissional com o objetivo principal de ganhar dinheiro é chamado de honeypot comercial.

Em comparação com a confidencialidade dos honeypots comerciais, os honeypots de código aberto são mais fáceis de identificar. Os honeypots comerciais são usados ​​para grandes fundos, e os honeypots de código aberto são usados ​​para fundos insuficientes ... sem problemas

Digressão

Após a primeira publicação do Honeypot "Network Security" para o Honeynet Getting Started Guide, poucas pessoas prestaram atenção. Isso me faz perder a motivação para atualizar, quem estaria disposto a escrever um artigo que ninguém se importe?

Até que, um leitor me perguntou em uma mensagem privada até que ponto a série será escrita. Percebi que estava errado e recuperei minha motivação criativa. Enquanto houver um leitor, continuarei!

FIM.

Um programador comum, segue em frente na estrada da luta. Gosto de escrever coisas fora do trabalho, envolvendo programação , vida , pontos quentes, etc. Amigos do WeChat interessados ​​podem pesquisar por: [ Dia do Programador ], bem-vindo atenção e suporte, obrigado!

Acho que você gosta

Origin blog.csdn.net/pythontide/article/details/109050530
Recomendado
Clasificación
Diario
Más
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)
2024-06-03(0)

Code World

© 2018 codetd.com