1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tổng quan về honeypot

42 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tổng quan về honeypot
Trường học Trường Đại Học Công Nghiệp Hà Nội
Chuyên ngành Khoa Điện Tử, Chuyển mạch và định tuyến, Mạng máy tính & Truyền thông dữ liệu
Thể loại Bài tập lớn/Đồ án
Năm xuất bản 2023
Thành phố Hà Nội
Định dạng
Số trang 42
Dung lượng 1,31 MB

Cấu trúc

  • Chương I: Tổng quan về honeypot (8)
    • 1.1. Tìm hiểu chung về đề tài (8)
    • 1.2. Phân loại Honeypot (9)
    • 1.3. Phân loại theo cấp độ (10)
    • 1.4. Phân loại theo mục đích (12)
    • 1.5. Lợi đích sử dụng Honeypots (14)
    • 1.6. Rủi ro khi sử dụng Honeypots (15)
    • 1.7. HONEYNET (16)
    • 1.8. Công nghệ được sử dụng (19)
    • 1.9. Tổng quan về quy trình (20)
    • 2.1. Giới thiệu (21)
    • 2.2. Honeypot thông minh (21)
    • 2.3. Kết luận (24)
    • 2.4. Honey drive (24)
  • Chương III: THIẾT LẬP VÀ CẤU HÌNH HONEYDRIVE (0)
    • 3.1. Mô tả (28)
    • 3.2. Chuẩn bị (28)
    • 3.3. Mô hình cài đặt (28)
    • 3.4. Các bước cài đặt (29)
    • 3.5. Thực hiện (29)
  • Chương IV: Mô phỏng trên Ubuntu (37)
    • 1. Tổng kết (40)
    • 2. Kết quả đạt được (40)
    • 3. Hạn chế (40)
    • 4. Định hướng và phát triển trong tương lai (40)
  • Tài liệu tham khảo (0)

Nội dung

Phân loại theo cấp độ Trang 22 Trong phần này, mục tiêu của nhóm là tạo một mô hình phân tích thông minh để nâng cấp các honeypot sẵn có, giúp chúng hoạt động tốt hơn.Luồng hoạt động củ

Tổng quan về honeypot

Tìm hiểu chung về đề tài

Trong lĩnh vực an ninh mạng, "honeypot" có thể hiểu đơn giản là một hệ thống máy tính được dựng lên với mục đích làm mồi nhử cho những kẻ tấn công Những hệ thống này có thể tồn tại những lỗ hổng bảo mật nhất định hoặc được thiết lập kém bảo mật tùy vào người xây dựng honeypot, khi kẻ xấu tấn công vào, những người ứng sau hệ thống này sẽ có thể theo dõi quá trình tấn công, công cụ, mã khai thác của chúng Từ Đưa ra các giải pháp phòng chống phù hợp trước các cuộc công trong tương lai.

Một “Honeypot” có thể là bất cứ thứ gì bạn muốn Nếu bạn quan tâm đến Honeypots với tư cách là người dùng mới, trước tiên bạn phải quyết định mục tiêu của mình, điều này sẽ xác định loại Honeypot bạn sẽ triển khai.

Có nhiều honeypots khác nhau và chúng có thể được thiết lập theo những gì tổ chức của bạn cần Bởi vì chúng có vẻ là những mối đe dọa hợp pháp, honeypots hoạt động giống như một cái bẫy, cho phép bạn xác định các cuộc tấn công sớm và đưa ra phản ứng thích hợp Ý nghĩa của honeypot này chỉ ra một số cách chứng có thể được sử dụng để hướng những kẻ tấn công ra khỏi hệ thống quan trọng nhất của bạn Trong khi kẻ tấn công rơi vào miếng mồi ngon, bạn có thể thu thập thông tin tình báo quan trọng về kiểu tấn công, cũng như các phương pháp mà kẻ tấn công đang sử dụng

Một honeypot hoạt động tốt nhất khi nó có vẻ là một hệ thống hợp pháp Nói cách khác, nó phải chạy cùng một quy trình mà hệ thống sản xuất thực tế của bạn sẽ chạy Nó cũng phải chứa các tệp mồi nhử mà kẻ tấn công sẽ thấy là thích hợp cho các quy trình được nhắm mục tiêu Trong nhiều trường hợp, tốt nhất là đặt honeypot phía sau tường lửa để bảo vệ mạng của tổ chức bạn điều này cho phép bạn kiểm tra các mối đe dọa vượt qua tường lửa và ngăn chặn các cuộc tấn công được thiết kế để khởi động từ bên trong một honeypot bị xâm phạm Khi cuộc tấn công xảy ra, tường lửa của bạn,được đặt giữa honeypot và internet, có thể chặn nó và loại bỏ dữ liệu.

Bằng cách theo dõi lưu lượng truy cập vào hệ thống honeypot, bạn có thể đánh giá:

• Tội phạm mạng đến từ đâu

• Mức Độ Của mối đe dọa

• Họ Đang sử dụng modus operandi nào

• Dữ liệu hoặc ứng dụng nào họ quan tâm

• Các biện pháp bảo mật của bạn đang hoạt động tốt như thế nào để ngăn chặn các cuộc tấn công mạng

Phân loại Honeypot

Có hai loại honeypots dựa trên việc thiết kế và triển khai các hợp đồng thông minh: honeypots nghiên cứu và sản xuất Honeypots để nghiên cứu thu thập thông tin về các cuộc tấn công và được sử dụng để phân tích hành vi thù địch trong tự nhiên.

Hình 1.1 Phân loại honeypot a)Nghiên cứu b)Sản xuất

Họ thu thập thông tin về xu hướng của kẻ tấn công, lỗ hổng bảo mật và các chủng phần mềm độc hại mà kẻ thù hiện đang nhắm mục tiêu bằng cách xem xét cả môi trường của bạn và thế giới bên ngoài Thông tin này có thể giúp bạn quyết định các biện pháp phòng ngừa, các ưu tiên vá lỗi và các khoản đầu tư trong tương lai.

Mặt khác, honeypots sản xuất nhằm mục đích phát hiện sự xâm nhập mạng đang hoạt động và đánh lừa kẻ tấn công Honeypots cung cấp thêm cơ hội giám sát và lấp đầy những khoảng trống phát hiện phổ biến xung quanh việc xác định quét mạng và chuyển động bên; do đó, việc lấy dữ liệu vẫn là trách nhiệm hàng đầu.

Sản xuất honeypots chạy các dịch vụ thường chạy trong môi trường của bạn cùng với phần còn lại của máy chủ sản xuất của bạn Honeypots cho nghiên cứu phức tạp hơn và lưu trữ nhiều loại dữ liệu hơn honeypots để sản xuất.

Ngoài ra còn có nhiều cấp bên trong honeypots sản xuất và nghiên cứu, tùy thuộc vào mức độ hoặc mục đích sử dụng.

Phân loại theo cấp độ

Hình 1.2 Phân loại Honeypot theo mức độ

Honeypot tương tác cao: Loại này có thể so sánh với honeypot nguyên chất ở chỗ nó vận hành một số lượng lớn dịch vụ, nhưng kém phức tạp hơn và chứa ít dữ liệu hơn Mặc dù honeypots có tính tương tác cao không nhằm tái tạo các hệ thống sản xuất quy mô đầy, nhưng chúng chạy (hoặc có vẻ chạy) tất cả các dịch vụ thường được liên kết với hệ thống sản xuất, bao gồm cả hệ điều hành đang hoạt động. Đây là kiểu honeypot phức tạp nhằm thu hút nhiều thời gian và thao tác của kẻ tấn công Nhằm thu thập càng nhiều càng tốt về mục đích , quá trình, lỗ hổng mà kẻ tấn công muốn khai thác Hệ thống dạng này sẽ tốn nhiều tài nguyên hơn nữa để triển khai cũng như giám sát cần người có kinh nghiệm vì nếu honeypot không bảo mật đúng cách sẽ bị tin tặc khai thác.

Honeypot tương tác giữa: Những đặc điểm này bắt chước các đặc điểm của lớp ứng dụng nhưng thiếu hệ điều hành của chúng Họ cố gắng can thiệp hoặc làm bối rối những kẻ tấn công để các doanh nghiệp có thêm thời gian tìm ra cách phản ứng phù hợp với một cuộc tấn công.

Honeypot tương tác thấp: Đây là honeypot phổ biến nhất được sử dụng trong môi trường sản xuất Mật ong tương tác thấp chạy một số dịch vụ và chủ yếu được sử dụng như một công cụ phát hiện cảnh báo sớm Nhiều nhóm bảo mật cài đặt nhiều honeypots trên các phân đoạn khác nhau của mạng vì chúng dễ thiết lập và duy trì. Đây là kiểu honeypot đơn giản, sử dụng ít tài nguyên đồng thời thông tin thu thập được cũng ở mức cơ bản Chúng có thể triển khai dễ dàng và nhanh chóng dưới dạng mô phỏng cơ bản các các dịch vụ mạng, giao thức TCP và IP.

Honeypot nguyên chất: Hệ thống sản xuất quy mô lớn này chạy trên nhiều máy chủ Nó chứa đầy các cảm biến và bao gồm dữ liệu "bí mật" và thông tin người dùng Thông tin họ cung cấp là vô giá, mặc dù việc quản lý có thể phức tạp và đầy thách thức. Đánh giá về Honeypot tương tác cao và thấp

Honeypots tương tác thấp sử dụng ít tài nguyên hơn và thu thập thông tin cơ bản về mức độ và loại mối đe dọa cũng như nguồn gốc của nó Chúng dễ dàng và nhanh chóng để thiết lập, thường chỉ với một số giao thức TCP và IP mô phỏng cơ bản và các dịch vụ mạng Nhưng không có gì trong honeypot để thu hút kẻ tấn công trong thời gian dài và bạn sẽ không nhận được thông tin chuyên sâu về thói quen của chúng hoặc về các mối đe dọa phức tạp.

Mặt khác, honeypots có tính tương tác cao nhằm mục đích khiến tin tặc dành nhiều thời gian nhất có thể trong honeypot, cung cấp nhiều thông tin về ý định và mục tiêu của chúng, cũng như các lỗ hổng mà chúng đang khai thác và phương thức hoạt động của chúng Hãy coi nó như một cái ấm có thêm 'keo' - cơ sở dữ liệu, hệ thống và quy trình có thể thu hút kẻ tấn công lâu hơn nữa điều này cho phép các nhà nghiên cứu theo dõi nơi những kẻ tấn công vào hệ thống để tìm thông tin nhạy cảm, những công cụ nào chúng sử dụng để nâng cao đặc quyền hoặc những cách khai thác chúng sử dụng để xâm phạm hệ thống.

Tuy nhiên, honeypots có tính tương tác cao lại rất tốn tài nguyên Việc thiết lập và giám sát chúng sẽ khó khăn và tốn thời gian hơn Họ cũng có thể tạo ra rủi ro; nếu chúng không được bảo mật bằng 'honeywall', một tin tặc thực sự kiên định và xảo quyệt có thể sử dụng honeypot tương tác cao để tấn công các máy chủ internet khác hoặc gửi thư rác từ một máy bị xâm nhập.

Cả hai loại honeypot đều có một vị trí trong vấn đề an ninh mạng của honeypot Sử dụng kết hợp cả hai, bạn có thể tinh chỉnh thông tin cơ bản về các loại mối đe dọa đến từ honeypot tương tác thấp bằng cách thêm thông tin về ý định, giao tiếp và khai thác từ honeypot tương tác cao.

Bằng cách sử dụng các honeypots trên mạng để tạo ra một khuôn khổ tình báo về mối đe dọa, một doanh nghiệp có thể đảm bảo rằng họ đang nhắm mục tiêu chi tiêu cho an ninh mạng của mình vào đúng nơi và có thể biết được đâu là điểm yếu về bảo mật.

Phân loại theo mục đích

Tuỳ vào cơ chế hoạt động, mục đích sử dụng sẽ có những loại honeypot khác nhau

Hình 1.3 Phân loại Honeypot theo mục đích

Các honeypots máy khách: Phần lớn các honeypots là các máy chủ đang lắng nghe các kết nối Các honeypots của khách hàng chủ động tìm kiếm các máy chủ độc hại nhắm mục tiêu đến các khách hàng và họ theo dõi honeypot để biết bất kỳ thay ổi đáng ngờ hoặc không mong muốn nào Các hệ thống này thường được ảo hóa và có kế hoạch ngăn chặn để giữ an toàn cho nhóm nghiên cứu.

Mật ong phần mềm độc hại: Những phần mềm này xác định phần mềm độc hại bằng cách sử dụng các kênh sao chép và tấn công đã thiết lập Honeypots (chẳng hạn như Ghost)đã được thiết kế để trông giống như thiết bị lưu trữ USB. Đây là dạng honeypot thường được sử dụng bởi các công ty bảo mật, các chuyên gia nghiên cứu mã độc với mục đích phát hiện mã độc Ví dụ sử dụng honeypot mô phỏng một thiết bị USB, nếu một máy bị nhiễm mã độc lây nhiễm qua USB, honeypot sẽ đánh lừa mã độc lây nhiễm sang thiết bị giả lập.

Honeypot: Honeynet Được thiết kế để theo dõi các hành động và động cơ của kẻ tấn công trong khi chứa tất cả các thông tin liên lạc đến và đi.

Là một mạng bao gồm nhiều honeypot với nhiều loại khác nhau tạo thành có thể dùng để nghiên cứu các kiểu tấn công như DDos, tấn công vào CDN (content delivery network), tấn công của ransomware Honeynet Được sử dụng nhằm theo nghiên cứu quá trình cũng như phương pháp của kẻ tấn công đồng thời lưu lại traffic vào/ra hệ thống phục vụ mục đích theo dõi phân tích.

Open mail relay Đây là một địa chỉ email được tạo ra và đưa vào website để người dùng thông thường không tìm thấy nhưng để các công cụ thu thập tự động có thể tìm ra và để những kẻ spam gửi email Địa chỉ email này thực tế là một cái bẫy chỉ để nhận mail rác Khi những email rác được gửi vào địa chỉ này dữ liệu sẽ được phân tích và thu thập để đưa vào bộ lọc nhằm ngăn chặn người dùng nhận được những email tương tự.

Cơ sở dữ liệu mồi nhử có thể được thiết lập để theo dõi các lỗ hổng phần mềm và phát hiện các cuộc tấn công khai thác kiến trúc hệ thống không an toàn hoặc sử dụng SQL injection, khai thác dịch vụ SQL hoặc lạm dụng đặc quyền.

Một cơ sở dữ liệu cũng có thể được lập ra để bẫy và theo dõi những cuộc tấn công SQL injection, khai thác dịch vụ của SQL Với dạng honeypot này có thể triển khai bằng cách sử dụng tường lửa cơ sở dữ liệu (database firewall).

Một honeypot hình nhện được dùng để bẫy các web crawler/spider bằng cách tạo ra những trang web và những liên kết mà chỉ các crawler mới có thể truy cập Sau đó dùng thông tin thu thập được để chặn các crawler độc hại Việc phát hiện trình thu thập thông tin có thể giúp bạn tìm hiểu cách chặn các chương trình độc hại, cũng như trình thu thập thông tin mạng quảng cáo.

Lợi đích sử dụng Honeypots

Honeypots có thể là một cách tốt để phơi bày các lỗ hổng trong các hệ thống chính Ví dụ, một honeypot có thể cho thấy mức độ đe dọa cao do các cuộc tấn công vào các thiết bị ioT Nó cũng có thể ề xuất các cách mà bảo mật có thể được cải thiện.

Sử dụng honeypot có một số lợi thế so với việc cố gắng phát hiện sự xâm nhập trong hệ thống thực Ví dụ, theo định nghĩa, honeypot sẽ không nhận được bất kỳ lưu lượng truy cập hợp pháp nào, vì vậy bất kỳ hoạt động nào được ghi lại đều có khả năng là một nỗ lực thăm dò hoặc xâm nhập. điều đó giúp dễ dàng phát hiện ra các mẫu, chẳng hạn như ịa chỉ IP tương tự (hoặc địa chỉ IP đều đến từ một quốc gia)đang được sử dụng để thực hiện quét mạng Ngược lại, những dấu hiệu báo trước về một cuộc tấn công rất dễ bị mất đi khi bạn đang xem xét mức lưu lượng truy cập hợp pháp cao trên mạng lõi của mình Lợi thế lớn của việc sử dụng bảo mật honeypot là những ịa chỉ độc hại này có thể là những ịa chỉ duy nhất mà bạn nhìn thấy, làm cho cuộc tấn công được xác định dễ dàng hơn nhiều.

Bởi vì honeypots xử lý lưu lượng truy cập rất hạn chế, chúng cũng là đánh sáng tài nguyên Họ không ưa ra yêu cầu lớn về phần cứng; có thể thiết lập honeypot bằng máy tính cũ mà bạn không dùng nữa Đối với phần mềm, một số honeypot được viết sẵn có sẵn từ các kho lưu trữ trực tuyến, giúp giảm thiểu nỗ lực nội bộ cần thiết để khởi động và chạy honeypot.

Honeypots có tỷ lệ dương tính giả thấp điều đó hoàn toàn trái ngược với các hệ thống phát hiện xâm nhập (IDS) truyền thống có thể tạo ra cảnh báo sai ở mức độ cao Một lần nữa, điều đó giúp ưu tiên các nỗ lực và giữ cho nhu cầu tài nguyên từ một honeypot ở mức thấp (Trên thực tế, bằng cách sử dụng dữ liệu do honeypots thu thập và so sánh nó với các nhật ký tường lửa và hệ thống khác,đi có thể được định cấu hình với các cảnh báo phù hợp hơn, để tạo ra ít dương tính giả hơn Bằng cách đó, honeypots có thể giúp tinh chỉnh và cải thiện các hệ thống an ninh mạng khác )

Honeypots có thể cung cấp cho bạn thông tin tình báo đáng tin cậy về cách các mối đe dọa đang phát triển Chúng cung cấp thông tin về các vectơ tấn công, cách khai thác và phần mềm độc hại - và trong trường hợp bẫy gmail, về những kẻ gửi thư rác và các cuộc tấn công lừa đảo Tin tặc liên tục tinh chỉnh các kỹ thuật xâm nhập của họ; một honeypot mạng giúp phát hiện các mối đe dọa và sự xâm nhập mới xuất hiện Sử dụng tốt cây mật nhân cũng giúp loại bỏ các điểm mù.

Honeypots cũng là công cụ đào tạo tuyệt vời cho các nhân viên an ninh kỹ thuật Honeypot là một môi trường được kiểm soát và an toàn để hiển thị cách những kẻ tấn công hoạt động và kiểm tra các loại mối đe dọa khác nhau Với honeypot, nhân viên an ninh sẽ không bị phân tâm bởi lưu lượng truy cập thực sử dụng mạng - họ sẽ có thể tập trung 100% vào mối đe dọa.

Honeypots cũng có thể bắt được các mối đe dọa nội bộ Hầu hết các tổ chức đều dành thời gian để bảo vệ vành ai và đảm bảo người ngoài và kẻ xâm nhập không thể xâm nhập Nhưng nếu bạn chỉ bảo vệ vành ai, bất kỳ hacker nào đã vượt qua tường lửa của bạn thành công đều có thể thực hiện bất cứ thiệt hại nào mà họ có thể làm bây giờ 'đang ở bên trong.

Tường lửa cũng sẽ không giúp chống lại mối đe dọa nội bộ - chẳng hạn như một nhân viên muốn đánh cắp tệp trước khi nghỉ việc Một honeypot có thể cung cấp cho bạn thông tin tốt như nhau về các mối đe dọa bên trong và hiển thị các lỗ hổng trong các lĩnh vực như quyền cho phép người trong cuộc khai thác hệ thống.

Các tin tặc càng lãng phí công sức của mình vào các honeypots, thì chúng càng có ít thời gian hơn để hack các hệ thống đang hoạt động và gây ra thiệt hại thực sự - cho bạn hoặc cho những người khác.

Cuối cùng, Honeypots Đem lại cho chúng ta:

• Có thể theo dõi được quá trình và kỹ thuật mà những kẻ tấn công sử dụng.

• Giúp thu thập thông tin về những kẻ tấn công.

• Xây dựng phương án phòng thủ dựa trên dữ liệu thuđược.

• Giúp tổ chức đánh lạc hướng, làm mất thời gian những kẻ tấn công từ bên ngoài.

• Giúp phát hiện sớm những nguy cơ tiềm ẩn từ nội bộ doanh nghiệp.

Rủi ro khi sử dụng Honeypots

Mặc dù an ninh mạng của honeypot sẽ giúp lập biểu đồ về môi trường đe dọa, nhưng honeypots sẽ không nhìn thấy mọi thứ đang diễn ra - chỉ hoạt động hướng vào honeypot Chỉ vì một mối đe dọa nào đó không nhắm vào honeypot, bạn không thể cho rằng nó không tồn tại; điều quan trọng là phải cập nhật tin tức bảo mật CNTT, không chỉ dựa vào honeypots để thông báo cho bạn về các mối đe dọa.

Một honeypot tốt,được cấu hình đúng cách sẽ đánh lừa những kẻ tấn công tin rằng họ đã có quyền truy cập vào hệ thống thực Nó sẽ có các thông báo cảnh báo đăng nhập giống nhau, các trường dữ liệu giống nhau, thậm chí là giao diện và biểu trưng giống như các hệ thống thực của bạn Tuy nhiên, nếu kẻ tấn công xác định được đó là honeypot, thì chúng có thể tiến hành tấn công các hệ thống khác của bạn trong khi vẫn để nguyên honeypot.

Khi một honeypot được 'lấy dấu vân tay', kẻ tấn công có thể tạo ra các cuộc tấn công giả mạo để đánh lạc hướng sự chú ý khỏi việc khai thác thực sự đang được nhắm mục tiêu chống lại hệ thống sản xuất của bạn Họ cũng có thể cung cấp thông tin xấu cho honeypot.

Tệ hơn nữa, kẻ tấn công thông minh có thể sử dụng honeypot như một cách để xâm nhập vào hệ thống của bạn Đó là lý do tại sao honeypots không bao giờ có thể thay thế các biện pháp kiểm soát bảo mật thích hợp, chẳng hạn như tường lửa và các hệ thống phát hiện xâm nhập khác Vì honeypot có thể đóng vai trò như một bệ phóng để xâm nhập thêm, hãy đảm bảo rằng tất cả các honeypot đều được bảo mật tốt Một 'bức tường mật ong' có thể cung cấp bảo mật honeypot cơ bản và ngăn chặn các cuộc tấn công nhắm vào honeypot xâm nhập vào hệ thống trực tiếp của bạn.

Tổng kết lại, rủi ro khi sử dụng Honeypot Đem lại:

• Honeypot không được bảo mật tốt có thể bị lợi dụng để tấn công vào hệ thống thật của tổ chức, doanh nghiệp.

• Một hệ thống honeypot vẫn có thể bị những kẻ tấn công có kinh nghiệm phát hiện và làm sai lệch dữ liệu honeypot cần thu thập nhằm đánh lạc hướng.

Nhìn chung, lợi đích của việc sử dụng honeypots lớn hơn nhiều so với rủi ro Tin tặc thường được coi là một mối đe dọa vô hình, xa vời - nhưng sử dụng honeypots, bạn có thể thấy chính xác những gì chúng đang làm, trong thời gian thực và sử dụng thông tin để ngăn chúng được những gì chúng muốn Honeypots hỗ trợ các nhà nghiên cứu hiểu được rủi ro trong hệ thống mạng, nhưng chúng không nên được sử dụng thay cho aDS tiêu chuẩn.

HONEYNET

Honeynet là hình thức honeypot tương tác cao Khác với các honeypots, Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật

Quan trọng nhất khi xây dựng một honeynet chính là honeywall Honeywall là gateway ở giữa honeypots và mạng bên ngoài Nó hoạt động ở tầng 2 như là Bridged Các luồng dữ liệu khi vào và ra từ honeypots đều phải đi qua honeywall

1.7.2 Các chức năng của Honeynet a điều khiển dữ liệu:

Khi Hacker sử dụng các mã độc ( như : virus, trojan, spyware, worm,…) để thâm nhập vào Hệ thống Honeynet, thì hai công cụ iDS Snort và Firewall IPtable ở trên Honeywall sẽ thực hiện kiểm soát các hoạt động của các loại mã độc này, cũng như các hành vi mà Hacker thực hiện trên hệ thống ;đồng thời đưa ra các cảnh báo cho người quản lý hệ thống biết để kịp thời xử lý.

Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ bị hạn chế Chính vì vậy, mà Hacker sẽ rất khó khăn, thậm chí nếu Hệ thống Honeynet được cấu hình tốt thì Hacker sẽ không thể thu thập được đầy đủ thông tin về hệ thống của ta, điều này cũng có nghĩa là Hacker sẽ không thể thâm nhập thành công vào hệ thống mạng. b Thu nhận dữ liệu

Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc c Phân tích dữ liệu

Mục đích chính của honeynet chính là thu thập thông tin Khi đã có thông tin thì người dùng cần phải có khả năng để phân tích các thông tin này d Thu thập dữ liệu

Thu thập dữ liệu từ các honeypots về một nguồn tập trung Chỉ áp dụng cho các tổ chức có nhiều honeypots Đa số các tổ chức chỉ có một honeynet

1.7.3 Mô hình kiến trúc vật lý

Mô hình kiến trúc Honeynet thế hệ I:

Mô hình Honeynet thế hệ I gồm một mạng riêng biệt được tạo ra để đằng sau một thiết bị điều khiển truy nhập mạng, thường là tường lửa (Firewall); và bất kỳ luồng dữ liệu vào ra Honeynet Đều phải đi qua tường lửa Honeyney Được bố trí trên một mạng riêng biệt với vùng mạng sản xuất để giảm nguy cơ mất an toàn cho hệ thống.

Hình 1.4 Mô hình Honeynet GEN I Ở mô hình Honeynet thế hệ I này thì hệ thống tường lửa (Firewall) và Hệ thống phát hiện xâm nhập (instruction Detection System –IDS) là hai hệ thống độc lập nhau Đây chính là sự khác biệt giữa Honeynet I Với Honeynet II và Honeynet III Ở mô hình Honeypot II và III thì hai hệ thống Firewall và IDS được kết hợp thành một hệ thống Gateway duy nhất là Honeywall.

Trong hệ thống Honeypot, Firewall giữ vai trò kiểm soát các luồng dữ liệu ra vào hệ thống, nhằm chỉ cho Hacker tấn công vào Honeynet và ngăn chặn không cho Hacker tấn công vào vùng mạng sản xuất hay không cho Hacker biến Honeynet làm công cụ để tấn công các Hệ thống mạng bên ngoài Firewall thực hiện được nhiệm vụ này là dựa vào các luật (Rule)định nghĩa sự cho phép (Allow) hoặc không cho phép (Deny ) các truy cập từ bên ngoài vào hoặc bên trong hệ thống ra.

Mô hình kiến trúc Honeynet II,III

Honeynet thế hệ II được phát triển vào năm 2002 và Honeynet thế hệ III được đưa ra vào cuối năm 2004 Về cơ bản, Honeynet II và Honeynet III có cùng một kiến trúc Điểm khác biệt chính là Honeynet III cải tiến việc triển khai và quản lý

Một thay đổi cơ bản trong kiến trúc của Honeynet II và Honeynet III so với Honeypot I Là sử dụng một thiết bị đơn lẻ điều khiển việc kiểm soát dữ liệu và thu nhận dữ liệu được gọi là Honeywall (Honeynet Sensor)

Honeywall là sự kết chức năng của hai hệ thống tường lửa Firewall và hệ thống phát hiện xâm nhập iDS của mô hình kiến trúc Honeynet Đi Nhờ vậy chúng ta dễ dàng triển khai và quản lý hơn

Sự thay đổi trong Honeywall chủ yếu ở module kiểm soát dữ liệu Honeywall làm việc ở tầng hai (trong mô hình OSI) như là một thiết bị Bridge Nhờ sự thay đổi này mà Honeynet II, Honeynet III đã khiến cho kẻ tấn công khó phát hiện ra là chúng đang tương tác với Hệ thống “bẫy” Honeypot vì hai đầu card mạng của eth0 (kết nối với mạng bên ngoài Honeynet – phía hacker) và eth1 (kết nối với Honeypot)đều không có địa chỉ mạng IP Vì vậy, Honeynet hoàn toàn “trong suốt” với Hacker

Hình 1.5 Mô hình kiến trúc Honeynet thế hệ II, III

Công nghệ được sử dụng

Honeypot Frameworks: Có nhiều framework Honeypot khác nhau như Honeyd,

Dionaea, Cowrie, và nhiều loại khác được sử dụng để triển khai Honeypots trên mạng.

Virtualization Technologies: Công nghệ ảo hóa như VMware, VirtualBox, hoặc

Docker thường được sử dụng để triển khai Honeypots một cách an toàn trên một môi trường cô lập.

Network Monitoring Tools: Các công cụ giám sát mạng như Wireshark, tcpdump,

Snort, Suricata cung cấp thông tin về các hoạt động mạng xung quanh Honeypot để phân tích và giám sát.

Logging and Alerting Systems: Các hệ thống ghi nhật ký (logging) như eLK Stack

(Elasticsearch, Logstash, Kibana), Splunk, hoặc các hệ thống tương tự giúp thu thập, lưu trữ và phân tích dữ liệu từ Honeypots Hơn nữa, hệ thống cảnh báo (alerting) có thể được cấu hình để thông báo khi có hoạt động bất thường.

Honeynet Architectures: Các kiến trúc Honeynet có thể được xây dựng bằng cách kết hợp nhiều Honeypots để tạo ra một môi trường mô phỏng rộng lớn hơn, giúp thu thập thông tin chi tiết hơn về các hành vi tấn công.

Threat Intelligence và Tập trung dữ liệu: Kết hợp thông tin từ các nguồn thông tin về mối đe dọa (threat intelligence) có thể giúp cải thiện khả năng phát hiện và phản ứng đối với các tấn công Việc tập trung dữ liệu từ nhiều Honeypots cũng giúp phân tích hành vi tấn công một cách toàn diện hơn.

Automation và Machine Learning: Công nghệ tự động hóa và học máy được sử dụng để phân tích dữ liệu từ Honeypots và nhận biết các mẫu tấn công mới, giúp cải thiện khả năng phát hiện và phản ứng.

Policy Enforcement và Access Controls: Thiết lập các chính sách (policy) và kiểm soát truy cập (access controls) đối với Honeypots để đảm bảo an toàn và ngăn chặn tấn công từ các kẻ tấn công đã xâm nhập.

Một số các thư viện hỗ trợ:

- Honeyd: Honeyd là một trong những framework Honeypot phổ biến Nó cho phép người dùng tạo ra môi trường mạng ảo với nhiều loại hệ điều hành và dịch vụ mạng giả mạo để thu hút kẻ tấn công.

- Honeynet là một hệ thống mạng giả mạo, bao gồm nhiều Honeypots và thiết bị mạng giả mạo để mô phỏng một mạng thực tế Nó giúp thu thập thông tin chi tiết về các mẫu tấn công và hành vi của kẻ tấn công, tạo ra một cách tiếp cận phức tạp hơn đối với an ninh mạng.

Tổng quan về quy trình

Bước 1: Cấu hình IP và check ping trên Ubuntu

Khởi chạy dịch vụ kippo Kippo đã chạy thì sẽ không thể bắt đầu lần nữa

Bước 2: Tiến hành tấn công: cài nmap và hydra Phát hiện ssh mở, ta sẽ dùng hydra để bruteforce cred trên cổng đó Cài wordlist rockyou (danh sách mật khẩu phổ biến để tấn công từ điển) để brute force

CHƯƠNG II– HONEYPOT THÔNG MINH

Giới thiệu

Trên Internet, hầu hết các kẻ tấn công đều nhắm tới thông tin người dùng qua các trang mạng xã hội Một trong những cách tấn công phổ biến nhất là Phishing attack (Man In the Middle) – Tấn công giả mạo.

Hình 2.1 Phishing attack – Tấn công giả mạo

• Phishing là hình thức tấn công mạng bằng việc xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin nhạy cảm, như tên ăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng Phishing xuất hiện như một thực thể đáng tin cậy, một trang thông tin điện tử,eBay, Paypal, email, hay các ngân hàng trực tuyến là những mục tiêu hướng đến của hình thức tấn công này.

Honeypot là một công cụ đánh lạc hướng/chuyển hướng các cuộc tấn công từ thông tin được bảo mật đến một server giả nhằm đánh lừa kẻ tấn công rằng hắn đã thành công Tuy nhiên honeypot vẫn có một số lỗ hổng bảo mật mà kẻ tấn công có thể lợi dụng, một số công cụ hacker thường dùng để nhận biết honeypot trong network có thể kể đến như:

Honeypot thông minh

Trong phần này, mục tiêu của nhóm là tạo một mô hình phân tích thông minh để nâng cấp các honeypot sẵn có, giúp chúng hoạt động tốt hơn.

Luồng hoạt động của một Phishing attack xảy ra như sau:

Hình 2.2 Luồng hoạt động của Phishing attack

Hình 2.3 Mô hình phân tích AI Honeypot

2.2.2 Client Honeypot tương tác thấp

Tất cả các URL đều sẽ được đưa vào Client Honeypot tương tác thấp Tại đây

Honeypot sẽ dùng phương pháp Heuristic để nhận dạng mã độc hại trong đường link bằng cách đọc mã nguồn.

Heuristic là một bộ quy tắc được đặt ra để chống lại một số các phần mềm cụ thể, dùng để nhận dạng các hành vi độc hại/nguy hiểm mà không cần phải xác định được chính xác phần mềm có hành vi ó.

Phương pháp Heuristic dùng bởi một phần mềm antimalware bao gồm các quy tắc sau chống các phần mềm:

• Phần mềm có hành vi copy chính nó vào phần mềm khác (nói cách khác, virus máy tính).

• Phần mềm có hành vi viết trực tiếp lên ổ ĩa.

• Phần mềm có hành vi tồn lại trong bộ nhớ kể cả sau khi đã hoàn thành thực thi.

• Phần mềm giải mã (decrypt) chính nó khi thực thi (một phương pháp malware thường dùng để qua mắt quét signature).

• Phần mềm có hành vi bắt port TCP/IP và nghe một kết nối mạng

• Phần mềm có hành vi [copy, delete, modify, rename, replace…] file hệ thống.

• Phần mềm tương đồng với các phần mềm độc hại khác.

2.2.3 Client Honeypot tương tác cao

Thay vì điều hướng đường link đến server giả, đường link được chuyển tiếp đến Client Honeypot tương tác cao để nhận dạng loại code/script độc hại được sử dụng Client Honeypot tương tác cao hoạt động như sau:

• Các file log (từ các công cụ như wireshark) sẽ được dùng để thực hiện phương pháp K-means Clustering để phân loại các hành vi khác nhau vào các nhóm riêng biệt để phân tích điểm tương đồng giữa tất cả các mã độc hại.

• Dựa trên kết quả phân tích, tạo ra log riêng của chính nó để tạo signature mới Các signature này sẽ được dùng trong những lần tấn công tiếp theo.

Kết luận

Mô hình sẽ được chạy lặp lại liên tục trong mạng, qua đó có tính tự cải tiến bằng cách log các hành vi độc hại mới và dùng nó làm signature để xác định mã/script tấn công mới trong tương lai.

Honey drive

2.4.1.Khái niệm https://sourceforge.net/projects/honeydrive/

HoneyDrive là một bản phân phối Linux được thiết kế để thu thập và phân tích dữ liệu mạng cũng như các hoạt động độc hại Đây thực sự là một hệ điều hành ảo chứa sẵn các công cụ Honeypot và tiện đích an ninh mạng khác đã được cài đặt và cấu hình trước.

Mục đích chính của HoneyDrive là cung cấp một nền tảng dễ tiếp cận và sẵn sàng sử dụng cho các chuyên gia an ninh, nhà nghiên cứu và người đam mê an ninh mạng để thiết lập Honeypot và tiến hành các thử nghiệm liên quan đến an ninh mạng Nó đi kèm với nhiều công cụ Honeypot, phần mềm giám sát mạng và tiện đích phân tích pháp y, cung cấp một môi trường toàn diện để nghiên cứu về các mối đe dọa và tấn công an ninh mạng.

HoneyDrive đơn giản hóa quá trình thiết lập các Honeypot khác nhau, loại bỏ việc cài đặt và cấu hình từng công cụ một Người dùng có thể triển khai nhanh chóng các Honeypot, ghi lại dữ liệu mạng, phân tích phần mềm độc hại và nghiên cứu các mẫu tấn công trong một môi trường được kiểm soát Tổng thể, đây là một nguồn tài nguyên quý giá để học hỏi, nghiên cứu và thử nghiệm trong lĩnh vực an ninh mạng.

2.4.2 Mô phỏng Linux trên Ubuntu

Honeyd : Đây là một công cụ Honeypot phổ biến cho Linux Nó cho phép bạn tạo ra các máy chủ giả mạo với các dịch vụ mạng giả mạo để thu hút và theo dõi kẻ tấn công.

• Cài đặt: Sử dụng Terminal trên Ubuntu và nhập lệnh sau để cài đặt: sudo apt-get update sudo apt-getđinstall honeyd

• Sử dụng: Tạo file cấu hình cho Honeyd (ví dụ: honeyd.conf), chỉ định IP giả mạo, dịch vụ mạng và khả năng giả mạo Khởi động Honeyd với file cấu hình này: sudo honeyd -f honeyd.conf

Dionaea: Đây là một Honeypot chuyên dụng để giả mạo các dịch vụ như SMB,

HTTP, FTP, và SSH để thu thập thông tin về các mẫu tấn công và malware. ã Cài đặt: Cài đặt Dionaea từ mó nguồn: sudo apt-get update sudo apt-getđinstall autoconf automake build-essential checkinstall cmake libcurl4-gnutls-dev libemu-dev libev-dev libglib2.0-dev libloudmouth1-dev libnetfilter-queue-dev libnl-3-dev libpcap-dev libssl-dev libtool libudns-dev python3 python3-bson python-gridfs python3-pymongo python3-yaml subversion sudo apt-getđinstall -y libpython3-dev git clone https://github.com/rep/dionaea.git cd dionaea mkdir build cd build cmake make sudo make install ã Sử dụng: Thiết lập cấu hỡnh trong file dionaea.conf và khởi động dịch vụ Dionaea: sudo dionaea -c dionaea.conf

Cowrie: Đây là một Honeypot SSH được sử dụng để ghi lại hoạt động của kẻ tấn công đối với dịch vụ SSH. ã Cài đặt: Cài đặt từ mó nguồn với Git: sudo apt-get update sudo apt-getđinstall python-virtualenv python-dev libssl-dev libffi-dev build- essential libpython3-dev git clone https://github.com/cowrie/cowrie.git cd cowrie virtualenv python=python3 cowrie-env source cowrie-env/bin/activate pipđinstall -r requirements.txt ã Sử dụng: Cấu hỡnh trong file cowrie.cfg và khởi động Cowrie: /start.sh

Wireshark: Đây là một công cụ phân tích gói tin mạng mạnh mẽ, cho phép bạn xem và phân tích dữ liệu mạng trong thời gian thực. ã Cài đặt: Cài đặt từ kho lưu trữ Ubuntu: sudo apt-get update sudo apt-getđinstall wireshark ã Sử dụng: Mở Wireshark từ Terminal với quyền root: sudo wireshark

ELK Stack: Nếu bạn muốn lưu trữ và phân tích dữ liệu từ Honeypot một cách tập trung,đeLK Stack (Elasticsearch, Logstash, Kibana) là một giải pháp tốt.elasticsearch lưu trữ và tìm kiếm dữ liệu, Logstash thu thập và chuẩn hóa dữ liệu, và Kibana là giao diện người dùng đồ họa để hiển thị dữ liệu. ã Cài đặt: Cài đặt elasticsearch, Logstash, và Kibana từ kho lưu trữ của elastic: ã Elasticsearch: Hướng dẫn cài đặt elasticsearch ã Logstash: Hướng dẫn cài đặt Logstash ã Kibana: Hướng dẫn cài đặt Kibana

Docker: Đôi khi, sử dụng Docker để triển khai Honeypot và các công cụ khác có thể làm cho việc mô phỏng trở nên dễ dàng hơn.

Sau khi cài đặt, chúng ta có thể cấu hình và sử dụng các công cụ này để tạo và quản lý môi trường Honeypot trên Ubuntu để mô phỏng và thu thập thông tin về các mẫu tấn công và hành vi mạng.

THIẾT LẬP VÀ CẤU HÌNH HONEYDRIVE

Mô tả

HoneyDrive là môi trường đã được cài đặt sẵn một số Honeypot để thu hút tấn công của tin tặc, giúp người quản trị xây dựng môi trường thử nghiệm Bản thân HoneyDrive được tích hợp một số công cụ sau:

- Dionaea and Amun malware honeypots

- Glastopf web honeypot and Wordpot

- Kippo-Graph, Honeyd-Viz, DionaeaFR, anđeLK stack

Trong bài thực hành này hướng dẫn sinh viên sử dụng Kippo SSH Honeypot.

Chuẩn bị

- 01 máy ảo hệ điều hành Kali linux

- 01 máy ảo hệ điều hành HoneyDrive.

- Trình duyệt trên máy vật lý

Mô hình cài đặt

Hình 3.1: Mô hình cài đặt

Các bước cài đặt

- Download phần mềm: https://sourceforge.net/projects/honeydrive/

- Tải phần mềm dưới dạng máy ảo đã cài sẵn:

Sử dụng phần mềm máy ảo để bung tệp tin ova này thành máy ảo HoneyDrive.

- Sử dụng máy Kali linux để thực hiện tấn công vào Honeypot SSH kippo

- Sử dụng trình duyệt trên máy vật lý truy cập vào Kippo-graph trên máy HoneyDrive để phân tích.

Thực hiện

Bước 1 Chạy máy ảo HoneyDrive

Sau khi bung nén máy ảo HoneyDrive, khởi chạy máy ảo thành công có giao diện như sau:

Tiếp theo cần xác định địa chỉ IP của máy:

Chạy terminal trên Desktop và sử dụng lệnh ifconfig để xem:

Bước 2 Chạy chương trình Honeypot kippo

Bước 3 Quản lý Honeypot Kippo

Trên máy vật lý sử dụng trình duyệt web truy cập vào máy ảo HoneyDrive theo địa chỉ đã xem ở trên và theo đường dẫn sau: http://192.168.211.151/kippo-graph/

Bước 4: Kịch bản tấn công dò quét IP và dịch vụ

- Sử dụng Nmap trên Kali tấn công thăm dò mạng nội bộ:

Phát hiện một số máy tính đang chạy với IP.

- Thực hiện dò quét dịch vụ và hệ điều hành trên máy 192.168.211.151

Kết quả phát hiện dịch vụ SSH và web đang chạy trên cổng 22, 80 Hệ điều hành máy đích là Linux => khả năng đây là máy chủ web.

Kẻ tấn công thực hiện các bước mà không phát hiện ra họ đang tấn công vào dịch vụ của Honeypot.

Bước 5 Kịch bản tấn công mật khẩu dịch vụ SSH

Sử dụng Hydra trên Linux tấn công từ điển vào mật dịch vụ SSH

Kết quả thành công, thu được mật khẩu của tài khoản root.

Bước 6 Truy cập vào máy chủ thông qua dịch vụ SSH

Với tài khoản và mật khẩu đã có, kẻ tấn công thực hiện lệnh kết nối tới máy chủ:

Bước 7 Thực hiện một số lệnh trên máy chủ

Bước 8 Phân tích hành vi

Tại trình duyệt Kippo đã bật trong bước 3 Refresh lại trình duyệt thì kết quả như sau:Giao diện này cho biết mật khẩu và số lượng tin tặc đã sử dụng.

Giao diện này cho biết tài khoản và số lần đăng nhập.

Giao diện này cho biết tài khoản được đăng nhập bởi mật khẩu tương ứng.

Giao diện này cho biết số lần đăng nhập đúng và sai.

Giao diện này cho biết IP của tin tặc đã sử dụng để xâm nhập vào máy chủ Honeypot.

Chuyển sang Tab Kippo-Input để phân tích một số lệnh tin tặc đã sử dụng

Với HoneyDrive người quản trị có thể sử dụng để thực hiện một số Honeypot để thu hút tấn công của tin tặc Từ đó biết được cách thức tấn công, dịch vụ bị tấn công.

Vì vậy mà người quản trị có thể đưa ra các giải pháp ngăn chặn cho hệ thống thực.

Mô phỏng trên Ubuntu

Tổng kết

Trên hành trình không ngừng nâng cao độ bảo mật của mạng, việc áp dụng

Honeypot đã chứng minh sự hiệu quả trong việc phát hiện, thu thập thông tin và đánh giá rủi ro an ninh mạng Honeypot không chỉ là một công cụ mà còn là một phần quan trọng trong chiến lược an ninh mạng, cung cấp cái nhìn sâu rộng về các mẫu tấn công, kỹ thuật tấn công mới và hành vi của kẻ tấn công.

Việc triển khai Honeypot đòi hỏi sự hiểu biết sâu sắc về mạng và an ninh mạng Tuy nhiên, những thông tin thu được từ Honeypot đáng giá và đóng góp quan trọng vào việc cải thiện cả khả năng phòng ngừa lẫn phản ứng đối với các mối đe dọa mạng.

Với sự phát triển không ngừng của các kỹ thuật tấn công, việc liên tục nâng cao hiệu suất và tính linh hoạt của Honeypot cũng là một thách thức Tuy nhiên, không thể phủ nhận rằng Honeypot vẫn là một công cụ quan trọng trong hộp công cụ của chuyên gia an ninh mạng, đóng vai trò không thể thiếu trong việc đối phó với môi trường an ninh mạng ngày càng phức tạp và đa dạng.

Kết quả đạt được

Hiểu được khái niệm cũng như nguyên lý hoạt động hệ thống Honeypots Đồng thời, kết hợp công nghệ AI với Honeypots nhằm cải thiện hệ thống bảo mật, cụ thể là phòng chống tấn công giả mạo.

Trong hệ thống bảo mật, lớp lá chắn bảo mật luôn phải được cập nhật và đi trước những kẻ xâm nhập Hiện nay, các cuộc tấn công mạng đang dần trở nên tinh vi hơn, sử dụng công nghệ AI kết hợp hệ thống bảo mật đang vấn đề đáng được quan tâm Tuy nhiên, công nghệ AI cũng tồn tại điểm yếu, các kẻ tấn công có thể lợi dụng ngược lại tìm được lỗ hổng và tấn công hệ thống.

Hạn chế

- Nguy cơ trở thành điểm yếu trong hệ thống an ninh mạng.

- Đòi hỏi tài nguyên và chi phí đáng kể.

- Khả năng bị phát hiện và tránh qua bởi các kẻ tấn công có trình độ cao.

- Vấn đề về pháp lý và việc tuân thủ quy định về quyền riêng tư.

- Hạn chế trong việc giả mạo tất cả các loại tấn công.

- Quản lý rủi ro và dữ liệu thu thập có thể trở nên phức tạp.

Định hướng và phát triển trong tương lai

- Intelligence Artificial (AI) và Machine Learning: Sử dụng AI và machine learning để cải thiện phát hiện tấn công.

- Khả năng giả mạo cao hơn: Phát triển Honeypot với khả năng giả mạo đa dạng hơn các loại tấn công.

- Đa dạng hóa và linh hoạt: Tạo ra các Honeypot linh hoạt để phù hợp với nhiều môi trường mạng.

- Chia sẻ thông tin và hợp tác: Xây dựng cơ sở dữ liệu chia sẻ thông tin giữa các tổ chức.

- Bảo vệ ioT và Đám mây: Mở rộng việc sử dụng Honeypot để bảo vệ các hệ thống ioT và đám mây.

- Quản lý thông minh dữ liệu: Phát triển cách tiếp cận thông minh để quản lý và phân tích dữ liệu từ Honeypot.

- Tích hợp với công nghệ an ninh khác: Kết hợp Honeypot và iDS/IPS, firewall để tạo hệ thống an ninh toàn diện.

Ngày đăng: 25/03/2024, 17:26

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w