Если ваш сервер часто подвергается атакам недоброжелателей есть прекрасный способ выявить злодея и обезопасить при этом себя. Метод достаточно известен, но надеюсь всё же будет интересен кому то из жителей форума.
Для привлечения внимания и поимки атакующего мы воспользуемся KFSensor Honeypot . Поскольку из-за различных известных дефектов и уязвимостей злоумышленники по всему миру обращают внимание именно на серверы Windows мы и настроим приманку в этой среде. Затем, оставив её готовой к действию, основательно пополнив запасы попкорна удобно расположимся на диване - сможем наблюдать, как злодеи репетируют свою атаку, и готовятся к ней.
Введение в Honeypot
Honeypot (горшочек с медом – ресурс приманка) маскируется под фактический сервер, чтобы дать злоумышленникам ложную цель и отвлечь их атаки. Следовательно, honeypot должен быть настроен так же, как реальный сервер, чтобы данные могли выглядеть аутентичными, показывая поддельные файлы, поддельные порты, поддельные каталоги и т. Поскольку honeypot создает иллюзию легитимности; злоумышленник склонен полагать, что он получил доступ к реальному серверу. Замаскированная машина обычно устанавливается где-то в DMZ (Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных Цель ДМЗ - добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов- внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ. Это гарантирует, что внутренняя система не будет видна злоумышленнику.
Honeypots работают, проверяя и время от времени контролируя нарушителя в процессе работы. Это происходитнезависимо от того, исходило ли нападение из других мест или изнутри системы. В зависимости от зоны отвлечения внимания Honeypots, как правило, предназначены для проверки действий нарушителя - просмотра резервных копий журнала и записи таких случаев, как запущенные процессы, команды на запись, стирание, изменение и даже нажатия клавиш.
Введение в KFSensor
KFSensor - это продвинутая система honeypot для Windows, которая обеспечивает расширенное обнаружение вторжений и угроз изнутри для вашей сети. Программа действует как приманка, предназначенная для привлечения и обнаружения хакеров и червей путем симуляции уязвимых системных служб и троянов. Он предварительно настроен для мониторинга всех портов TCP и UDP, а также ICMP. Он начинает мониторинг сразу после установки и может быть легко настроен для последующего добавления дополнительных услуг для клиентов.
Действует как IDS(система обнаружения вторжений). Его задача - привлекать и выявлять всех злоумышленников в сети, отсюда и название «Honeypot». Он делает это, имитируя уязвимую среду и маскируя себя под сервер, и, таким образом, ему удается не только поймать злоумышленника, но и помочь узнать его мотив. Он специально разработан для Windows и содержит множество уникальных функций. Это довольно удобно для пользователя благодаря консоли на основе графического интерфейса, а также небольшому размеру.
Начинаем работу
Роль KFSensor заключается в том, чтобы служить сервером-приманкой для злоумышленников, для защиты реальных машин. Он отлично справляется со своей задачей, открывая поддельные порты в системе, в которой он установлен, и собирая информацию при установлении соединения. Он делает это точно так же, как обычная серверная программа , такая как веб-сервер или SMTP-сервер. Делая это, он устанавливает целевой сервер или honeypot-сервер, который будет записывать действия злоумышленника.
После загрузки и установки KFSensor ( взять программу можно по ссылке в конце статьи), при его включении вы увидите следующее окно. Здесь, нажмите на “Next”.
Затем вам будет предложено выбрать порты, как показано на рисунке ниже, после выбора портов нажмите кнопку «Далее».
Затем он спросит вас, хотите ли вы получать уведомления по электронной почте с предупреждениями о попытках вторжения. Итак, здесь вы можете добавить адрес электронной почты, с которого вы хотите отправить сообщение, и адрес электронной почты, на который вы хотите получать сообщения.
После этих формальностей, нажмите на кнопку “Готово”.
Как только вы нажмете кнопку «Готово», появится следующее окно.
Теперь, когда honeypot был настроен и вы сканируете цель-жертву (которая установлена с honeypot) с помощью nmap, он покажет вам все порты, открытые как приманка, как показано на рисунке ниже:
KFSensor покажет детали сканирования вместе со своим IP. Он также будет генерировать сигнал тревоги, чтобы предупредить вас.
Если злоумышленник использует любой другой инструмент для сканирования сети, например, Nessus, работа KFSensor будет такой же . Например, если атака осуществляется через Nessus, как показано на рисунке ниже:
И когда атака от Nessus будет завершена, он покажет вам ложный результат, как вы можете видеть на изображении ниже:
И аналогично, KFSensor предупредит вас, как показано на рисунке ниже:
Вот и всё - мы на практике рассмотрели неплохой способ обнаружить и запутать злоумышленника, обезопасив при этом себя.
Взять бесплатную пробную версию KFSensor можно здесь
Voronpes
Для привлечения внимания и поимки атакующего мы воспользуемся KFSensor Honeypot . Поскольку из-за различных известных дефектов и уязвимостей злоумышленники по всему миру обращают внимание именно на серверы Windows мы и настроим приманку в этой среде. Затем, оставив её готовой к действию, основательно пополнив запасы попкорна удобно расположимся на диване - сможем наблюдать, как злодеи репетируют свою атаку, и готовятся к ней.
Введение в Honeypot
Honeypot (горшочек с медом – ресурс приманка) маскируется под фактический сервер, чтобы дать злоумышленникам ложную цель и отвлечь их атаки. Следовательно, honeypot должен быть настроен так же, как реальный сервер, чтобы данные могли выглядеть аутентичными, показывая поддельные файлы, поддельные порты, поддельные каталоги и т. Поскольку honeypot создает иллюзию легитимности; злоумышленник склонен полагать, что он получил доступ к реальному серверу. Замаскированная машина обычно устанавливается где-то в DMZ (Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных Цель ДМЗ - добавить дополнительный уровень безопасности в локальной сети, позволяющий минимизировать ущерб в случае атаки на один из общедоступных сервисов- внешний злоумышленник имеет прямой доступ только к оборудованию в DMZ. Это гарантирует, что внутренняя система не будет видна злоумышленнику.
Honeypots работают, проверяя и время от времени контролируя нарушителя в процессе работы. Это происходитнезависимо от того, исходило ли нападение из других мест или изнутри системы. В зависимости от зоны отвлечения внимания Honeypots, как правило, предназначены для проверки действий нарушителя - просмотра резервных копий журнала и записи таких случаев, как запущенные процессы, команды на запись, стирание, изменение и даже нажатия клавиш.
Введение в KFSensor
KFSensor - это продвинутая система honeypot для Windows, которая обеспечивает расширенное обнаружение вторжений и угроз изнутри для вашей сети. Программа действует как приманка, предназначенная для привлечения и обнаружения хакеров и червей путем симуляции уязвимых системных служб и троянов. Он предварительно настроен для мониторинга всех портов TCP и UDP, а также ICMP. Он начинает мониторинг сразу после установки и может быть легко настроен для последующего добавления дополнительных услуг для клиентов.
Действует как IDS(система обнаружения вторжений). Его задача - привлекать и выявлять всех злоумышленников в сети, отсюда и название «Honeypot». Он делает это, имитируя уязвимую среду и маскируя себя под сервер, и, таким образом, ему удается не только поймать злоумышленника, но и помочь узнать его мотив. Он специально разработан для Windows и содержит множество уникальных функций. Это довольно удобно для пользователя благодаря консоли на основе графического интерфейса, а также небольшому размеру.
Начинаем работу
Роль KFSensor заключается в том, чтобы служить сервером-приманкой для злоумышленников, для защиты реальных машин. Он отлично справляется со своей задачей, открывая поддельные порты в системе, в которой он установлен, и собирая информацию при установлении соединения. Он делает это точно так же, как обычная серверная программа , такая как веб-сервер или SMTP-сервер. Делая это, он устанавливает целевой сервер или honeypot-сервер, который будет записывать действия злоумышленника.
После загрузки и установки KFSensor ( взять программу можно по ссылке в конце статьи), при его включении вы увидите следующее окно. Здесь, нажмите на “Next”.
Затем вам будет предложено выбрать порты, как показано на рисунке ниже, после выбора портов нажмите кнопку «Далее».
Затем он спросит вас, хотите ли вы получать уведомления по электронной почте с предупреждениями о попытках вторжения. Итак, здесь вы можете добавить адрес электронной почты, с которого вы хотите отправить сообщение, и адрес электронной почты, на который вы хотите получать сообщения.
После этих формальностей, нажмите на кнопку “Готово”.
Как только вы нажмете кнопку «Готово», появится следующее окно.
Теперь, когда honeypot был настроен и вы сканируете цель-жертву (которая установлена с honeypot) с помощью nmap, он покажет вам все порты, открытые как приманка, как показано на рисунке ниже:
KFSensor покажет детали сканирования вместе со своим IP. Он также будет генерировать сигнал тревоги, чтобы предупредить вас.
Если злоумышленник использует любой другой инструмент для сканирования сети, например, Nessus, работа KFSensor будет такой же . Например, если атака осуществляется через Nessus, как показано на рисунке ниже:
И когда атака от Nessus будет завершена, он покажет вам ложный результат, как вы можете видеть на изображении ниже:
И аналогично, KFSensor предупредит вас, как показано на рисунке ниже:
Вот и всё - мы на практике рассмотрели неплохой способ обнаружить и запутать злоумышленника, обезопасив при этом себя.
Взять бесплатную пробную версию KFSensor можно здесь
Ссылка скрыта от гостей
Voronpes
Последнее редактирование:
