V tomto článku Vás seznámím s honeypoty, v překladu „medovými hrnci“. Můžete si je představit doslova jako návnadu, na kterou chcete útočníky nalákat k sobě. V počítačovém světě můžeme za med považovat citlivá data, informace, know-how a systémy, které chceme chránit před neoprávněnými uživateli, hackery. Proč bychom se ale snažili nalákat útočníky na naše citlivá data? Co je pravým záměrem a jak si vytvořit vlastní honeypot?
Honeypot může být fyzický či virtuální počítač, který má za cíl analyzovat vektor možných útoků. Většinou se jedná o izolované systémy dostupné přímo z internetu nebo také často bývají součástí demilitarizované zóny firemní sítě. Demilitarizovaná zóna obsahuje právě entity dostupné přímo z internetu, které jsou oddělené od zbytku lokální sítě a používají se pro směrování síťové komunikace či jiným službám. Honeypot v sobě většinou obsahuje nějaký zranitelný software či služby s výchozími přihlašovacími údaji. Je také možné nastavit honeypot tak, aby akceptoval veškeré pokusy o přihlášení s libovolnými hesly.
Zdroj: https://ipwithease.com
Proč je dobré mít na síti honeypot?
Pokud jste z předchozích řádků pochopili, co je honeypot zač, tak si pravděpodobně říkáte, proč byste na své síti měli chtít mít zranitelný počítač? Důvod je velmi prostý. Jak již bylo řečeno v předchozím odstavci, jedná se o naprosto izolovaná zařízení. Na honeypotu nikdy nenajdete pravá citlivá data, ale pouze např. náhodně generovaná data. Pro útočníky i všechny okolo se honeypot tváří jako legitimní počítač. Jeho obrovským přínosem je schopnost detekovat infiltraci systému, monitorovat akce prováděné neoprávněným uživatelem a upozornit na ně správce systému. V momentě, kdy se někdo na honeypot připojí, jsou všechny jeho akce logovány. Ukládají se veškeré informace o pohybu útočníka, manipulace se soubory a aplikacemi. Následným studiem sledu těchto událostí jsme schopni analyzovat vektor útoku, analyzovat přemýšlení útočníků a následně pak nasazovat vhodná bezpečnostní opatření.
Jak na svou síť nasadit honeypot?
Existuje velké množství různých honeypotů a mnoho z nich je volně dostupných, většinou i se zdrojovými kódy. Nejlepším zdrojem pro vybrání toho správného honeypotu s požadovanými funkcemi je portál GitHub, kde najdete právě i zdrojové kódy nejrůznějších systémů. Ve známém repozitáři nejpoužívanějších honeypotů lze nalézt databázové, webové či SSH honeypoty, a také spoustu užitečných nástrojů. Tento repozitář je dostupný na https://github.com/paralax/awesome-honeypots a obsahuje kromě popisů jednotlivých řešení také návody k jejich zprovoznění. Všechna tato řešení mohou být nasazena na virtuální i fyzický server.
Nevylučuje se ani použití mikropočítačů jako jsou Rasberry Pi či Arduino. Osobně jsem testoval vytvoření honeypotu na mikropočítači ESP8266 a během několika minut se mi podařilo vytvořit FTP honeypot s vlastní wifi sítí. Cena tohoto zařízení se pohybuje okolo 150 Kč a je vhodné spíše pro účely testování. Do produkčního prostředí doporučuji virtuální počítač či mikropočítač Rasberry Pi, jehož cena se pro nižší modely pohybuje okolo 1 500 Kč.
Nasazení honeypotu na síťové infrastruktuře má své výhody. Můžete analyzovat pokusy o napadení Vašich zařízení a vhodně a včas na tyto události reagovat. Může se zdát, že se jedná o ultimátní bezpečnostní opatření, avšak opak je pravdou. Honeypoty nijak nezabezpečují síťovou infrastrukturu, ale slouží spíše k analýze průběhu potenciálních útoků. Další nevýhodou je, že honeypot musí běžet neustále a to s sebou přináší určité režijní nároky na provoz a údržbu. Rizikem je také, že špatně nakonfigurovaný honeypot může šikovný útočník zneužít pro další útoky i bez povšimnutí, a proto je nutné v případě nasazování honeypotu důkladě otestovat správnost konfigurace.