Home Linux Honeypots dan Honeynets

Honeypots dan Honeynets

Linux December 18, 2022 2:08 pm Comments off
Honeypots dan Honeynets

Tutorial ini menjelaskan apa itu honeypots dan honeynets dan cara kerjanya, termasuk contoh implementasi praktisnya.

Bagian dari pekerjaan spesialis TI keamanan adalah mempelajari jenis serangan atau teknik yang digunakan oleh peretas dengan mengumpulkan informasi untuk analisis selanjutnya guna mengevaluasi karakteristik upaya serangan. Terkadang pengumpulan informasi ini dilakukan melalui umpan atau umpan yang dirancang untuk mencatat aktivitas mencurigakan dari penyerang potensial yang bertindak tanpa mengetahui aktivitas mereka sedang dipantau. Dalam keamanan TI, umpan atau umpan ini disebut Honeypots.

Apa itu honeypots dan honeynets:

Honeypot mungkin merupakan aplikasi yang mensimulasikan target yang sebenarnya merupakan perekam aktivitas penyerang. Beberapa Honeypot yang mensimulasikan beberapa service, perangkat, dan aplikasi disebut Honeynets.

Honeypots dan Honeynets tidak menyimpan informasi sensitif tetapi menyimpan informasi palsu yang menarik bagi penyerang untuk membuat mereka tertarik pada Honeypots; Honeynets, dengan kata lain, berbicara tentang jebakan peretas yang dirancang untuk mempelajari teknik serangan mereka.

Honeypots memberi kita dua manfaat: pertama, mereka membantu kita mempelajari serangan untuk mengamankan perangkat atau jaringan produksi kita dengan benar. Kedua, dengan menjaga honeypots mensimulasikan kerentanan di sebelah perangkat atau jaringan produksi, kami menjauhkan perhatian peretas dari perangkat yang diamankan. Mereka akan menemukan lebih menarik honeypot yang mensimulasikan lubang keamanan yang dapat mereka manfaatkan.

Jenis tempat madu:

Honeypots Produksi:
Jenis honeypot ini dipasang di jaringan produksi untuk mengumpulkan informasi tentang teknik yang digunakan untuk menyerang sistem di dalam infrastruktur. Jenis honeypot ini menawarkan berbagai kemungkinan, dari lokasi honeypot dalam segmen jaringan tertentu untuk mendeteksi upaya internal oleh user jaringan yang sah untuk mengakses sumber daya yang tidak diizinkan atau dilarang ke tiruan situs web atau service, identik dengan asli sebagai umpan. Masalah terbesar dari jenis honeypot ini adalah memungkinkan lalu lintas berbahaya di antara yang sah.

Pengembangan honeypots:
Jenis honeypot ini dirancang untuk mengumpulkan lebih banyak informasi tentang tren peretasan, target yang diinginkan oleh penyerang, dan asal serangan. Informasi ini kemudian dianalisa untuk proses pengambilan keputusan implementasi langkah-langkah keamanan.
Keuntungan utama dari jenis honeypots adalah, bertentangan dengan produksi; honeypots pengembangan honeypots terletak di dalam jaringan independen yang didedikasikan untuk penelitian; sistem yang rentan ini dipisahkan dari lingkungan produksi yang mencegah serangan dari honeypot itu sendiri. Kerugian utamanya adalah jumlah sumber daya yang diperlukan untuk mengimplementasikannya.

Ada 3 subkategori atau jenis klasifikasi honeypot yang berbeda yang ditentukan oleh tingkat interaksi yang dimilikinya dengan penyerang.

Honeypot Interaksi Rendah:

Honeypot mengemulasi service, aplikasi, atau sistem yang rentan. Ini sangat mudah diatur tetapi terbatas saat mengumpulkan informasi; beberapa contoh honeypots jenis ini adalah:

  • Honeytrap: dirancang untuk mengamati serangan terhadap service jaringan; Berbeda dengan honeypot lainnya, yang berfokus pada penangkapan malware, honeypot jenis ini dirancang untuk menangkap eksploitasi.
  • Nephentes: mengemulasi kerentanan yang diketahui untuk mengumpulkan informasi tentang kemungkinan serangan; itu dirancang untuk meniru kerentanan yang dieksploitasi worm untuk disebarkan, kemudian Nephentes menangkap kode mereka untuk analisis nanti.
  • HoneyC: mengidentifikasi server web berbahaya dalam jaringan dengan meniru client yang berbeda dan mengumpulkan respons server saat membalas permintaan.
  • HoneyD: adalah daemon yang membuat host virtual dalam jaringan yang dapat dikonfigurasi untuk menjalankan service arbitrer yang mensimulasikan eksekusi di OS yang berbeda.
  • Glastopf: mengemulasi ribuan kerentanan yang dirancang untuk mengumpulkan informasi serangan terhadap aplikasi web. Mudah diatur, dan pernah diindeks oleh engine pencari; itu menjadi target yang menarik bagi peretas.

Honeypot Interaksi Sedang:

Dalam skenario ini, Honeypots tidak dirancang untuk mengumpulkan informasi saja; ini adalah apli
kasi yang dirancang untuk berinteraksi dengan penyerang sambil mendaftarkan aktivitas interaksi secara menyeluruh; itu mensimulasikan target yang mampu menawarkan semua jawaban yang mungkin diharapkan penyerang; beberapa honeypots jenis ini adalah:

  • Cowrie: Honeypot ssh dan telnet yang mencatat serangan brute force dan interaksi shell peretas. Ini mengemulasi OS Unix dan berfungsi sebagai proxy untuk mencatat aktivitas penyerang. Setelah bagian ini, Anda dapat menemukan instruksi untuk implementasi Cowrie.
  • Sticky_elephant: ini adalah honeypot PostgreSQL.
  • Hornet: Versi yang ditingkatkan dari honeypot-tawon dengan permintaan kredensial palsu yang dirancang untuk situs web dengan halaman login akses publik untuk administrator seperti /wp-admin untuk situs WordPress.

Honeypot Interaksi Tinggi:

Dalam skenario ini, Honeypots tidak dirancang untuk mengumpulkan informasi saja; ini adalah aplikasi yang dirancang untuk berinteraksi dengan penyerang sambil mendaftarkan aktivitas interaksi secara menyeluruh; itu mensimulasikan target yang mampu menawarkan semua jawaban yang mungkin diharapkan penyerang; beberapa honeypots jenis ini adalah:

  • Sebek: bekerja sebagai HIDS (Sistem Deteksi Intrusi Berbasis Host), memungkinkan untuk menangkap informasi tentang aktivitas sistem. Ini adalah alat client-server yang mampu menyebarkan honeypots di Linux, Unix, dan Windows yang menangkap dan mengirim informasi yang dikumpulkan ke server.
  • HoneyBow: dapat diintegrasikan dengan honeypots interaksi rendah untuk meningkatkan pengumpulan informasi.
  • HI-HAT (High Interaction Honeypot Analysis Toolkit): mengonversi file PHP menjadi honeypots interaksi tinggi dengan interface web yang tersedia untuk memantau informasi.
  • Capture-HPC: mirip dengan HoneyC, mengidentifikasi server jahat dengan berinteraksi dengan client menggunakan engine virtual khusus dan mendaftarkan perubahan yang tidak sah.

Di bawah ini Anda dapat menemukan contoh praktis honeypot interaksi medium.

Menyebarkan Cowrie untuk mengumpulkan data tentang serangan SSH:

Seperti yang dikatakan sebelumnya, Cowrie adalah honeypot yang digunakan untuk merekam informasi tentang serangan yang menargetkan service ssh. Cowrie mensimulasikan server ssh rentan yang memungkinkan penyerang mengakses terminal palsu, mensimulasikan serangan yang berhasil saat merekam aktivitas penyerang.

Agar Cowrie mensimulasikan server rentan palsu, kita perlu menetapkannya ke port 22. Jadi kita perlu mengubah port ssh kita yang sebenarnya dengan mengedit file /etc/ssh/sshd_config seperti yang ditunjukkan di bawah ini.

sudo nano /etc/ssh/sshd_config

Edit baris, dan ubah untuk port antara 49152 dan 65535.

Port 22

Mulai ulang dan periksa service berjalan dengan benar:

sudo systemctl restart ssh
 sudo systemctl status ssh

Instal semua perangkat lunak yang diperlukan untuk langkah selanjutnya, pada distribusi Linux berbasis Debian jalankan:

sudo apt install -y python-virtualenv libssl-dev libffi-dev build-essential libpython3-dev python3-minimal authbind git

Tambahkan user yang tidak memiliki hak istimewa bernama cowrie dengan menjalankan perintah di bawah ini.

sudo adduser --disabled-password cowrie

Pada distribusi Linux berbasis Debian, instal authbind dengan menjalankan perintah berikut:

sudo apt install authbind

Jalankan perintah di bawah ini.

sudo touch /etc/authbind/byport/22

Ubah kepemilikan dengan menjalankan perintah di bawah ini.

sudo chown cowrie:cowrie /etc/authbind/byport/22

Ubah izin:

sudo chmod 770 /etc/authbind/byport/22

Masuk sebagai cowrie

sudo su cowrie

Masuk ke direktori home cowrie.

cd ~

Download cowrie honeypot menggunakan git seperti gambar dibawah ini.

git clone https://github.com/micheloosterhof/cowrie

Pindah ke direktori cowrie.

cd cowrie/

Buat file konfigurasi baru berdasarkan file default dengan menyalinnya dari file /etc/cowrie.cfg.dist ke cowrie.cfg dengan menjalankan perintah di bawah ini di dalam direktori cowrie/

cp etc/cowrie.cfg.dist etc/cowrie.cfg

Edit file yang dibuat:

nano etc/cowrie.cfg

Temukan baris di bawah ini.

listen_endpoints = tcp:2222:interface=0.0.0.0

Edit baris, ganti port 2222 dengan 22 seperti yang ditunjukkan di bawah ini.

listen_endpoints = tcp:22:interface=0.0.0.0

Simpan dan keluar dari nano.

Jalankan perintah di bawah ini untuk membuat lingkungan python:

virtualenv cowrie-env

Aktifkan lingkungan virtual.

source cowrie-env/bin/activate

Perbarui pip dengan menjalankan perintah berikut.

pip install --upgrade pip

Instal semua persyaratan dengan menjalankan perintah berikut.

pip install --upgrader requirements.txt

Jalankan cowrie dengan perintah berikut:

bin/cowrie start

Periksa honeypot mendengarkan dengan menjalankan.

netstat -tan

Sekarang upaya login ke port 22 akan dicatat dalam file var/log/cowrie/cowrie.log di dalam direktori cowrie.

Seperti yang dikatakan sebelumnya, Anda dapat menggunakan Honeypot untuk membuat shell rentan palsu. Cowries menyertakan file di mana Anda dapat menentukan “user yang diizinkan” untuk mengakses shell. Ini adalah daftar nama user dan password yang melaluinya peretas dapat mengakses shell palsu.

Format daftar ditunjukkan pada gambar di bawah ini:

Anda dapat mengganti nama daftar default cowrie untuk tujuan pengujian dengan menjalankan perintah di bawah ini dari direktori cowrie. Dengan melakukan itu, user akan dapat masuk sebagai root menggunakan password root atau 123456.

mv etc/userdb.example etc/userdb.txt

Hentikan dan mulai ulang Cowrie dengan menjalankan perintah di bawah ini:

bin/cowrie stop
 bin/cowrie start

Sekarang uji coba akses melalui ssh menggunakan nama user dan password yang termasuk dalam daftar userdb.txt.

Seperti yang Anda lihat, Anda akan mengakses shell palsu. Dan semua aktivitas yang dilakukan di shell ini dapat dipantau dari cowrie log, seperti gambar di bawah ini.

Seperti yang Anda lihat, Cowrie berhasil diimplementasikan. Anda dapat mempelajari lebih lanjut tentang Cowrie di https://github.com/cowrie/.

Kesimpulan:

Implementasi honeypots bukanlah ukuran keamanan yang umum, tetapi seperti yang Anda lihat, ini adalah cara yang bagus untuk memperkuat keamanan jaringan. Menerapkan Honeypots adalah bagian penting dari pengumpulan data yang bertujuan untuk meningkatkan keamanan, mengubah peretas menjadi kolaborator dengan mengungkapkan aktivitas, teknik, kredensial, dan target mereka. Ini juga merupakan cara yang hebat untuk memberikan informasi palsu kepada peretas.

Jika Anda tertarik dengan Honeypots, mungkin IDS (Intrusion Detection Systems) mungkin menarik bagi Anda; di LinuxHint, kami memiliki beberapa tutorial menarik tentang mereka:

Saya harap Anda menemukan artikel tentang Honeypots dan Honeynets ini bermanfaat. Ikuti terus Linux Hint untuk tips dan tutorial Linux lainnya.

Related Posts

Menginstal NextCloud Di Ubuntu:

Menginstal NextCloud Di Ubuntu:

Mempersiapkan Ubuntu untuk PyCharm:

Mempersiapkan Ubuntu untuk PyCharm:

Instal SuperTuxKart di Ubuntu 18.04

Instal SuperTuxKart di Ubuntu 18.04

Bagaimana Mengkonfigurasi Jaringan di Ubuntu 18.04 LTS dengan Netplan?

Bagaimana Mengkonfigurasi Jaringan di Ubuntu 18.04 LTS dengan Netplan?

Sistem Operasi Utama – Windows atau Ubuntu?

Sistem Operasi Utama – Windows atau Ubuntu?

Menginstal GParted di Ubuntu:

Menginstal GParted di Ubuntu: