Honeypots

Hoje eu gostaria de falar com você sobre honeypots. O objetivo deste termo papel é fornecer a todos com um detalhe de analisar quais são honeypots, que são algumas das suas características, e até mesmo para os diferentes tipos de honeypots. Os prós e contras de honeypots, até mesmo para a mecânica de como o trabalho de honeypots, e quem os utiliza. Os métodos de como eles podem evitar ataques, e, claro, o seu valor como o uso de um usuário comum forma de tecnologia para o valor corporativo.

A palavra "honeypot" se originou a partir de uma técnica de espionagem usado durante a Guerra Fria, com suas origens com base na armadilha sexual. O "honeypot" foi usado para descrever o uso do agente de retenção fêmea sexual de um oficial macho do outro lado com a finalidade de obter informação. Por exemplo, a manipulação sobre informações secretas para os seus olhos apenas coisas do tipo, não sabendo que sua intenção verdadeira como espião informativo a entregar os nossos movimentos de tropas por: terra, ar, mar, linha de alimentação, para o futuro planeja implantação de invasão ou de evacuação de tropas. Não sei a intenção agentes verdade, que filme Hostel. Portanto, agora é o termo computador do que é um honeypot. Um honeypot é um recurso chamariz que finge ser um alvo real configurando uma armadilha esperando ser atacados ou comprometidos. Os principais objetivos são como uma distração de um atacante eo ganho de informações sobre o atacante, seus métodos de ataque, e suas ferramentas. Praticamente uma honeypot atrai ataques para eles por causa de seu ato de ser um sistema enfraquecido e como uma entrada para o alvo, "é como o fogo levando uma mariposa para a chama".

Eu me sinto honeypot são uma contramedida eficaz nas tentativas de impedir o uso não autorizado de sistemas de informação críticos na rede. Aqui, a característica base para uma honeypots são sistemas altamente flexíveis, dois deles capazes de detectar movimentos atacantes e comportamentos, e três de captura das últimas spreads dos on-line vulnerabilidades para as redes para a equipe de administração analisar e corrigir para uma rede mais forte. Onde Honeypots sendo usado e por quem? Honeypots estão sendo usados ​​na construção de governo, grandes empresas, outras organizações sem fins lucrativos e escolas como aqui na ECU. Como você vai ler e ser explicado o Governo, as grandes empresas, e Organização Sem Fins Lucrativos outro vai usar a tecnologia honeypot para fins de produção, como o apoio de ataques de tentativa de invasão de sistema seguro e trazê-los para baixo. Em vez disso o atacante irá atacar o honeypot chamariz e sirva propósito. Quanto às escolas que iriam usar a tecnologia honeypot para fins de pesquisa para o estudo de ensinar segurança futura grande fraqueza de diferentes ataques ganhou para os honeypots e como um método de desenvolvimento de novas ferramentas para a futura defesa para adicionar à rede.

Honeypots vêm em todas as formas e tamanhos, e há um projeto para cada topologia de rede. Honeypots são divididos em duas categorias gerais: existe uma interacção de baixa e existe uma interacção de alta. Ao conhecer cada uma dessas categorias, podemos saber que tipo de honeypot estamos lidando, seus pontos fortes, e, claro, suas fraquezas. Vamos primeiro começar com a explicação da interação palavra que definiu como o nível de atividade permitido entre o honeypot e seu atacante. Interação de baixa honeypots são permitidos interação limitada e trabalho emulando sistemas operacionais e serviços. Atividade atacante é limitada ao nível de emulação pelo honeypot. As vantagens e características de um honeypot de baixa interação são a sua simplicidade. Eles são fáceis de instalar, implantar e manter. Geralmente requer simplesmente instalar e configurar o software em um computador. Tudo que você tem a fazer é instalar o software, selecionando os sistemas operacionais e serviços que você deseja emular e monitorar, e deixando o honeypot de lá ir é o plug and play abordagem. Há desvantagens com o uso de baixa interação honeypots sendo a primeira de que há um risco mínimo, como os serviços emulados controlar o que os atacantes podem e não podem fazer. Segunda desvantagem é que eles só registrar e capta quantidades limitadas de informação, dados principalmente transacionais e alguma interação limitada. A terceira é que é a oportunidade para um atacante para detectar um honeypot de baixa interação, não importa o quão boa a artimanha de emulação é que haverá pessoas que viram, experimentá-los ou projetá-los. Mesmo que às vezes um atacante habilidoso pode ter sorte e pegar um freio e detectar a presença destes honeypots de baixa interação.

A segunda categoria de honeypots que vamos discutir é chamado de interação de alta honeypots. Interação de alta honeypots fazer tudo interação de baixa pode fazer e muito mais, não há emulação que dá atacantes abertura no sistema real, tudo é baseado em sistemas operacionais e serviços reais são fornecidos. Eles têm muitas das características e vantagens, mas vou apenas falar sobre os principais. O primeiro é que eles são soluções mais complexas de implementar e manter, pois envolvem sistemas operacionais e aplicações reais. A segunda vantagem, é dando uma atacantes de sistemas reais para jogar e interagir com o honeypot é que você pode capturar grandes quantidades de informações de log. Fazendo com que você aprenda a extensão do comportamento do atacante, característica, dano, teclas, e até mesmo as ferramentas que eles usam de rootkits novas comunicação sobre as sessões internacionais de IRC. A terceira vantagem de usar uma alta interação é a captura de todas as atividades em um ambiente aberto não faz suposições sobre como um atacante vai se comportar permitindo interação soluções de alta para aprender o comportamento que atacante não seria de esperar ou desistir. Há desvantagem de usar interação de alta honeypots, como um aumento do risco de vulnerabilidade criada para ser administrador de rede permite atacante sistema operacional real para interagir e causar estragos à rede.

Em seguida, você precisa saber o Pro eo do Con para Honeypots. O que dar-lhes a sua força é e onde fazer lá no final fraqueza?

Pro ou Vantagens de Honeypots:

1. Dados pequenos conjuntos de alto valor: Honeypots coletar pequenas quantidades de informações apenas quando atacante interage com eles. Lembre-se que honeypots apenas capturar a atividade ruim e qualquer interação com um honeypot é mais provável que a atividade não autorizada ou maliciosos. Honeypots reduzir o 'ruído', recolhendo os conjuntos de dados apenas pequenos, mas a informação de alto valor, como é só os maus. Isto significa que é muito mais fácil (e mais barato) para analisar os dados de um honeypot coleta e deriva valor dela.

2. Deter atacante: Honeypots vai evitar que intrusos invadam rede porque os atacantes pode perceber que há um honeypot dissuadindo-os porque eles não sabem que o honeypot e que é o sistema. Então eles tomam uma caminhada e passar captura.

3. Criptografia: Ao contrário da maioria das tecnologias de segurança (como sistema IDS) honeypots funcionar bem em criptografada. Não importa o que os bandidos jogar em um pote de mel, o honeypot irá detectar e capturá-lo. Criptografia deter os esforços atacantes por comer todo o seu tempo educar o proprietário honeypots é para fortalecer o sistema e resultado final da captura de agressores.

4. Informações: Coletar informações detalhadas que educa pesquisa e fins de produção para fornecer atualizações sobre os métodos utilizados para atacar o sistema. Fornecimento de novas ferramentas e táticas para implementar a segurança da rede.

5. Simplicidade: Muito simples para evitar erros de configuração, não há algoritmos de fantasia para desenvolver, tabelas estaduais para manter, ou assinaturas para atualizar.

Con ou Desvantagens: É por causa deste honeypots são nenhuma medida de segurança stand-alone, eles não substituem qualquer tecnologia atual, mas eles trabalham com as tecnologias existentes. Desvantagens = fraquezas.

1. Visão limitada: apenas capaz de rastrear e capturar a atividade que interage diretamente com eles. Honeypots não irá capturar ataques contra outros sistemas, a menos que o atacante ou ameaça interage com os honeypots também.

2. Risco: Todas as tecnologias de segurança no mercado têm os seus problemas e têm a sua própria conta e risco. Ninguém fez um produto 100% ou mesmo 95% de precisão que pode produto o utilizador e a rede de todo o tempo. Honeypots não são diferentes, eles têm risco também. Especificamente, honeypots tem o risco de ser tomado pelo atacante e até mesmo sendo usado para prejudicar outros sistemas. Isso riscos diversos para honeypots diferentes níveis de definição, mesmo diferentes de segurança aplicado o honeypot. Dependendo do tipo de honeypot, ele não pode ter mais riscos em seguida outro IDS de segurança, embora alguns honeypots tem uma grande quantidade de risco porque alguns não ambiente e ajuste.

Então, como é que funciona o honeypot? Bem tipicamente um honeypot consiste de um computador, os dados ou uma rede local que parece ser parte de uma rede de existir grande, mas que na verdade é isolado e protegido, e que parece conter informação de valor ou de um recurso que seria de valor e interesse para os atacantes. É uma rede secundária que está configurado exatamente como a rede real que pode é ou pode tornar-se parte de uma rede já existente, mas só de pensar um honeypot como uma emboscada armadilha à espera de uma presa ou vítima para entrar. Mais uma vez o seu valor reside nos maus interagindo com eles. Eles são um recurso que não tem nenhuma atividade autorizada, pois eles não têm qualquer valor da produção. Um honeypot não deve ver o tráfego, porque não tem atividade legítima. Isto significa que qualquer interação com um honeypot é mais provável que a atividade não autorizada ou maliciosos. Qualquer conexão tenta um honeypot é mais provável uma sonda, ataque, compromisso ou. Como é possível a partir da imagem abaixo na maioria dos honeypots ambas as partes de rede atuais medidas de segurança semelhantes, ambos são protegidos pelo roteador ADSL básica integrada no pacote de baixo nível de filtragem firewalls um sistema de passe ou negação. O próximo é o Firewall checkpoint onde malware, vírus, trojans, e worms de atacante para tentar inteiro. Como eu disse há segurança é 100% ou mesmo perto, por isso, se a falha firewall há uma escolha de qual caminho seguir no hub de rede baía. Quer o percurso fácil onde existe um honeypot oculto existente numa rede de chamariz look-a-like que oferecem um ponto de fácil acesso com informação valiosa potencial ou a via difícil acesso não conceder sem os critérios. Às vezes o honeypot é tanto como o negócio real mesmo as pessoas que executá-los não pode dizer a diferença entre eles.

Então, o que o valor desta tecnologia? Há mais duas categorias, como honeypot são utilizados e que o que irá tocar um pouco, eles podem ser utilizados quer para fins de produção ou para fins de investigação. Quando utilizado para fins de produção, honeypots são usados ​​para proteção de propósito de negócios de uma organização. Isso inclui recursos de prevenção, detecção, ou ajudar as organizações a responder e evasão a um ataque na rede. Quando honeypots são utilizados para fins de pesquisa, eles estão sendo usados ​​para a coleta de coleta de informações. Esta informação tem um valor diferente para diferentes pesquisadores. Alguns estudar as tendências da atividade atacante, enquanto outros estão interessados ​​em funções de vigilância, sistema de alerta precoce, e instrumentos de previsão. No entanto honeypots interacção de baixa são muitas vezes utilizados para fins de produção, enquanto interacção de alta honeypots são utilizados para fins de investigação, ou outro tipo de honeypot pode ser usado para qualquer finalidade. Não há desafiador isso é só para isso e que para é quando lidam com honeypots. Fins de produção de fornecer três maneiras que honeypots pode proteger as organizações: a prevenção, detecção e resposta.

Como pode honeypots ajudar a evitar ataques por meio do uso da finalidade para a produção das suas redes? Existem várias maneiras que honeypots podem ajudar a prevenir e minimizar a ocorrência de ataques a suas redes:

1. Primeira maneira que honeypots podem ajudar a defender contra tais ataques é pela prevenção, através do acompanhamento espaços IP não utilizados e retardando sua exploração até pará-los. Eles fazem isso usando uma variedade de truques TCP, tais como o tamanho do Windows do zero, colocando o atacante em um padrão de exploração. A idéia é confundir um atacante, para fazê-lo perder o seu tempo e recursos "interagindo com um chamariz, entretanto, a sua organização detectou atividade do atacante e tem tempo para reagir e parar o atacante.

2. A segunda maneira é através da detecção. A finalidade de detecção é identificar uma falha ou avaria em prevenção é crítica. Ao detectar um atacante, você pode rapidamente reagir a eles, parar ou mitigar os danos que eles fazem. Tecnologias como sensores e sistemas IDS registra paraíso ineficazes geram grande porcentagem de falsos positivos, a incapacidade de detectar novos ataques em ambientes criptografados ou IPv6. Honeypots reduzir os falsos positivos, capturando pequenos conjuntos de dados de alto valor, a captura de ataques desconhecidos, tais como novas explorações ou shellcode polimórfico, e trabalhar em ambientes criptografados e IPv6.

3. A terceira maneira é em resposta à informação de que o atacante é, como eles tem, ou o quanto de dano que eles fizeram. Em situações como essas informações detalhadas sobre a atividade do atacante são críticos. Honeypots pode ajudar a resolver este problema. Honeypots tornar uma ferramenta excelente resposta a incidentes, como eles podem rapidamente e facilmente ser tirado do ar para uma análise completa forense, sem afetar as operações do dia-a-dia. A única atividade de captura honeypot é desautorizado ou malicioso atividade tornam lá o valor para fornecer informações detalhadas que a organização precisa rapidamente e responder eficazmente a um incidente. Um profundo conhecimento sobre o que eles têm feito, como eles quebraram, e as ferramentas que eles usaram.

No final, eu espero que todos vocês terminar de ler este artigo vai o entendimento do propósito que eu tentei dar com um detalhe de analisar quais são honeypots, quais foram algumas de suas características, e até mesmo para os diferentes tipos de honeypots e seus propósitos. Os prós e contras de honeypots de por que usá-los, até mesmo para a mecânica de como honeypots trabalhar. Os métodos de como eles podem evitar ataques, e, claro, o seu valor como uma tecnologia para profissionais de segurança. Honeypots nos proporcionar uma educação sobre o avanço do conhecimento sobre a forma como a segurança do computador para fortalecer os sistemas Nós projetamos e adquirir o conhecimento de nossos inimigos que desejam fazer mal a nossa rede sem o seu conhecimento. Deixo-vos com este pensamento, um honeypots é apenas uma ferramenta, como usar essa ferramenta é com você....