蜜罐是一种信息系统资源,其价值在于未经授权或非法使用该资源. –兰斯·斯皮兹纳
您可能已经猜到,被吸引的流量(然后根据目的被转移或更仔细地研究)是恶意的。来自黑客,恶意软件和病毒的内容.
为什么您的网络上需要蜜罐?
您在网络上需要蜜罐的主要原因是因为它会产生信息。入侵检测或防御系统无法提供的功能。有了这些信息和他们注册的警报,网络管理员将知道他们所针对的攻击类型,并且具有先知先知,以弄清楚他们需要采取哪些措施来增强防御能力.
话虽如此,有两种类型的蜜罐:
企业蜜罐 –这是在生产环境中设置的蜜罐,可作为用于 研究攻击,以利用这些知识进一步增强网络的安全性.
研究蜜罐 –这是一个供研究人员使用并充满希望的蜜罐。 研究攻击方法和其他特征,例如攻击动机。然后,例如,使用知识创建防御解决方案 (防病毒,防恶意软件等),可以在将来防止类似的攻击.
蜜罐从攻击者(或附近)捕获的数据类型可以包括但不限于:
- 的 用户名, 角色, 和 特权 攻击者使用的
- 的 IP地址 用于攻击的网络或主机的数量
- 正在什么数据 已访问, 改变了 要么 已删除
- 的 实际击键 攻击者输入,使管理员可以准确地看到他们在做什么
蜜罐也有帮助 与保持 黑客的注意力转移 来自主网络, 避免全力进攻, 直到管理员准备好采取适当的对策.
最后,我们需要提及在网络上使用蜜罐的利弊(每边各有一个):
使用蜜罐网络的优点
这是一种低成本的安全措施,可以产生有关攻击者的高价值信息.
使用蜜罐网络的缺点
设置和配置不容易,没有专家的帮助,这样做纯属疯狂。它可能适得其反,并使网络遭受更严重的攻击。不过,毫无疑问,蜜罐是有争议的 赶上黑客或攻击的最佳方法。它使管理员可以逐步完成整个过程,并实时跟踪所有过程 每个警报.
在哪里可以找到蜜罐安装说明
在这篇文章中 我们将专注于在网络上成功实施蜜罐所需的策略 而不是软件解决方案本身的实际分步安装。但是,对于确实需要查看Honeypot解决方案的那些人,那里有一些很棒的网站和视频。我们的建议是:
- 视窗 –对于世界大多数地区,这是首选的操作系统(OS)。在Analytical Security,您可以为此操作系统设置一个蜜罐,并将云(Amazon AWS)整合到您的网络中.
- 的Linux –如果您是喜欢Linux的实际动手者,并且喜欢在屋顶上摸索,摸索,那么这里是一个很好的网站,展示了如何在该OS环境中安装蜜罐:Hacking Blogs.
当然,在当今的YouTube教程,频道和GitHub等在线数字社区中,安装蜜罐确实没有那么困难。战略和管理才是真正具有挑战性的部分.
最好的蜜罐软件解决方案是什么?
对于正在搜索的任何人,在蜜罐解决方案方面都有无数的软件解决方案可供选择。下面,我们为您提供三种最受欢迎的选择:
- KF Sensor –这是一个基于Windows的蜜罐,可在建立网络后立即对其进行监视。这是一个功能强大的工具包,旨在模拟蜜罐–包括许多其他有用功能。但是,这种基于主机的入侵检测系统(IDS)的可爱之处在于它具有高度可配置性,这使管理员可以更轻松地保护自己的网络.
- Glastopf –这款蜜罐的最好之处在于它是一个开源软件解决方案,这意味着像所有协作解决方案一样,这是许多专家的脑力劳动,并且随着时间的推移会不断发展和改进.
Glastopf是一个Python Web应用程序蜜罐,它是一种低交互性的网络模拟器。该工具一个有趣的功能是它甚至可以模拟容易受到SQL注入攻击的应用程序.
- 幽灵USB –使这款蜜罐脱颖而出的原因在于,它特别专注于通过USB存储设备传播的恶意软件。考虑到员工和授权用户使用的USB驱动器继续引起严重关注,这是一个大问题.
安装后,Ghost USB会模拟USB存储设备并通过网络进行广播,目的是诱骗任何使用类似设备传播的恶意软件以感染它。一旦检测到并秘密观察,管理员就可以轻松地采取必要的步骤和预防措施.
尽管这三种蜜罐解决方案满足了大多数网络安全需求,但是您可以在此处找到更详尽的解决方案列表,以满足各种网络和安全需求.
蜜罐策略
您可以采用两种类型的蜜罐实施策略:
低互动法
在这种方法中,您将使用 伪造数据,文件夹和数据库作为诱饵,目的在于监视攻击,以查看在实际数据泄露情况下会发生什么. 当然,他们将可以访问其他外围设备信息集,例如IP地址,用户名和密码,管理员可以密切注意这些信息集。如果要测试网络外围渗透性的某些方面以及授权过程的安全性,例如,这就是您想做的事情。.
高互动方式
在这种设置下, 允许攻击者与看似现实的数据,软件(包括OS),服务和硬件进行交互。目的是评估和掌握攻击者的技能. 此设置主要用于研究方案中,研究结果用于提高反病毒和反恶意软件的防御能力.
照顾自己!
好的,现在让我们看看在实施蜜罐之前您需要了解和注意的一些问题.
法律问题
无论是掩盖自己的情况,以防万一您因客户的数据丢失而被客户起诉,还是要确保对入侵者提出的任何指控都坚持下去,您都需要理清法律联系。尽管我们不是法人实体,但我们仍然可以告诉您,您将需要了解并注意以下三个法律方面:
- 陷害 –入侵者可以声称他们不知道自己不应该访问您的网络或网络上的资产和数据。他们可能会反驳说您对它的标签不够清楚,甚至走得更远,使用“诱捕”防御.
- 隐私 – 实施蜜罐需要非常谨慎; 这一点压力不够大. 一个端口错误打开或管理员帐户受到威胁可能会打开闸门,以攻击您的主网络。反过来,这可能会危及您任何客户的个人数据。如果攻击者设法与全世界共享它,则您可能会发现自己是违反信任的诉讼的目标,因为客户说他们没有允许您共享数据.
- 责任 –可能使自己(或您的网络)陷入困境的另一种方法是,入侵者决定通过将恶意内容存储在受感染的服务器上来向您发起犯罪,更糟糕的是,将流量引向IP地址。存储和分发诸如儿童色情内容之类的内容可以使您真正快速地看到法庭内部.
忠告:如果您在服务器上或通过网络访问发现有任何此类犯罪内容,那么您要做的第一件事就是与当局联系.
被入侵者发现
设置蜜罐 需要真实网络的匿名性 那是它的背后。入侵者发现入侵者确实是他们正在处理的蜜罐,而不是真正的交易,这不会给它带来更大的风险。破坏主网络。因此,至关重要的是,没有任何迹象表明警报可以提醒他们必须在蜜罐网络上对其进行监视的事实。通常会放弃该策略的常见标志-因此应避免-是:
- 如果网络太容易受到攻击或无法访问, 会让他们怀疑或使他们认为没有足够的理由来保证他们的努力.
- 如果有太多不必要的服务在运行,或者打开了太多端口, 这与现实相反,在现实中,通常面向Internet的设备通常会剥离不相关的服务,并且仅打开所需的端口.
- 如果正在运行的软件解决方案的配置仍为默认设置, 在实时网络中几乎从未发生过.
- 如果几乎没有流量通过网络 表示没有兴趣,但仍属于主要品牌.
- 如果付出了太多努力,看起来就像他们走进糖果店一样 与名为“密码”,“机密”或“用户名”的文件夹。
- 如果连接到网络的服务器显示为空或有很多可用磁盘空间 这表明它们没有价值.
简而言之,即使存在伪造的数据和流量,您的蜜罐网络及其上的设备也应模拟真实的连接。让自己陷入攻击者的视线,从攻击者的角度看待您的网络.
保护好自己!
别忘了,当您选择蜜罐设置时,您正在步入狮子的窝房。因此,您需要始终确保以下几点:
- 永远不要使用真实数据 –不管是哪种类型,创建看上去真实的垃圾数据并将其用作诱饵.
- 切勿将蜜罐连接到主网络 –攻击者不可能通过您的蜜罐跳入您的网络;确保隔离并保持这种方式.
- 使用虚拟机 –可以放在蜜罐上的最安全的硬件是虚拟的;如果遇到问题,只需重新启动并重新创建它.
- 防火墙和路由器应该是通往蜜罐的唯一方法 –所有进入的流量在进入假冒网络之前都应经过它们;配置它们上的所有端口号以指向蜜罐.
- 用户名和角色对于蜜罐应该是唯一的 –使用可以访问您的主网络的相同网络会很疯狂;创建新凭证并将其仅用于蜜罐.
- 始终进行测试,测试和测试 –切勿让蜜罐投入使用而不丢掉一切;实际上,在让专家面对互联网之前,请专家尝试突破它并进入您的主网络.
在这里采用的一个好的策略是 确保除管理员外没有人可以访问蜜罐,即使那样,他们也应使用在真实网络上具有零特权的专用登录帐户. 或者,更好的是,它根本不存在.
蜜罐的放置
可以说,创建蜜罐的理想场所是非军事区(DMZ)。这是您的主网络之外的区域,但仍位于面向Internet的路由器后面.
图片归因:zh:User:Pbroks13 [公共领域],通过Wikimedia Commons
再说一次,您应该知道并非所有攻击都来自Internet。实际上,研究表明,“内部威胁”的统计数据(超过30%)非常令人恐惧,这些统计数据来自防火墙后以及被授权使用您的网络的人员。这也很有意义。 安装内部蜜罐. 这样,网络管理员将洞悉恶意尝试或造成这些错误的简单人为错误。以下视频将帮助解释将蜜罐放置在网络中各个位置的目的,优点和缺点:
蜜糖
观察入侵者策略的一个好方法是在服务器或数据库上放置一个honeytoken。蜂蜜令牌是 攻击者看似感兴趣的文件或数据集,但实际上是真实交易的伪造副本.
的 Honeytokens也可以是嵌入文件或数据集,否则它们似乎是合法的服务器或数据库. 由于在每个位置都放置了不同的honeytoken,因此管理员可以轻松地跟踪数据,以防万一数据被盗(例如谁被盗以及如何被盗)。.
此类honeytoken的示例包括电子邮件地址和用户名或登录ID. 如果攻击者获得了这些信息,那么很容易知道他们已经破坏了哪个数据库,这反过来将有助于弄清他们如何做到这一点。.
如果正确使用并以多种方式进行设置,则honeytoken和honeynet(同一网络上的两个或多个honeypot)可以为管理员画出清晰的画面.
一旦威胁发生并由蜜罐识别,就可以配置警报,以响应对数据的访问,修改或删除的尝试,甚至可以在网络上发现恶意数据包和有效负载时进行配置.
在网络上建立蜜罐的最终想法
正如我们所看到的,蜜罐可以通过更清晰地描绘攻击者以及攻击者可能用来尝试破坏的方法来帮助您抵御攻击。将其放置在正确的位置并进行正确的配置将有助于增强网络的安全性,这样做的任何错误都可能导致主网络的崩溃。.
所以,…
永远记住:蜜罐本身并不是网络安全解决方案。实际上,它是一种获得安全网络解决方案的工具。从中学习并使用其他网络监视和保护解决方案拧紧螺钉,同时确保您有其他活动 网络安全解决方案 作为备份.