Honeypot sulla rete domestica per aiutarmi ad imparare

25

Sono un collaudatore di penetrazione di applicazioni web abbastanza decente (IMO), ma sono desideroso di ampliare la mia conoscenza di altre aree di sicurezza. Dato che ho appena assunto un ruolo di sysadmin potenziato nel mio lavoro, ho pensato che sarebbe stata una buona opportunità per cercare di saperne di più sulla sicurezza della rete e del sistema operativo.

In generale, direi che ho una conoscenza decente dei concetti di massima sicurezza, ma il networking è un importante punto di non ritorno per me.

Ora, la domanda: stavo pensando che potrebbe essere una buona idea ("buona idea") lasciare una macchina vulnerabile esposta sulla mia rete domestica, con la piena intenzione di vederla violata. Il mio piano è installare i vari strumenti di auditing (tripwire, logwatch, samhain, ecc.) Per darmi un'esperienza del mondo reale nell'eseguire post-mortem su sistemi compromessi, perché qui ho poca esperienza.

Ovviamente sono riluttante a farlo, perché non sono sicuro al 100% di poter confinare gli attaccanti alla macchina honeypot. Quindi, come posso farlo?

Per quanto mi riguarda (che è ancora piuttosto scarso, quando si parla di networking) ciò comporterà il posizionamento del mio sistema honeypot nella DMZ sulla mia rete. Non l'ho mai fatto prima.

Inizialmente pensavo di poter applicare la DMZ in due modi:

  1. mappare staticamente l'IP sul router, designando la macchina DMZ
  2. allo stesso modo, blocca l'indirizzo MAC dal resto della LAN

Quando ci ho pensato un po 'di più, però, ho iniziato a dubitare di quel piano. Non è possibile che un utente canaglia con accesso root 1) modifichi il suo IP statico e 2) flash il MAC? Lo farebbe uscire dalla DMZ e sulla mia rete domestica?

Quanto sopra può essere un mucchio di sciocchezze. Di nuovo, questo è un punto cieco per me. Per favore perdonami se ho perso tempo con una domanda molto stupida:)

Grazie a tutti.

    
posta Chris Allen Lane 20.05.2011 - 04:48
fonte

4 risposte

14

Soprattutto data la tua mancanza di esperienza di rete, mi sembra un grosso rischio per la tua rete domestica :) In alternativa potresti distribuirlo nel cloud per non avere molti soldi e guardarlo lì.

Vedi DMZ (Wikipedia) per lo sfondo e altre risposte qui per suggerimenti sulla progettazione di DMZ. A meno che tu non abbia un vero nodo firewall che fornisce la separazione di rete tra la tua rete DMZ e la tua rete domestica, non è in realtà una DMZ.

    
risposta data 20.05.2011 - 05:43
fonte
10

Se vuoi farlo, due cose potrebbero rendere la tua vita un po 'più sicura:

  • separalo completamente dalla tua rete (vedi la risposta e il collegamento di @ nealmcb)
  • consulta il progetto honeynet su honeynet.org per script preconfigurati, VM ecc.
risposta data 20.05.2011 - 12:59
fonte
9

Ci sono molti modi per acquisire esperienza. Puoi seguire la guida di metasploit su Come impostare un laboratorio di test di penetrazione , quindi attacca i sistemi autonomamente e osserva se e in che modo gli strumenti di registrazione o sicurezza hanno rilevato le tue attività.

Ai fini dell'apprendimento, è molto più facile seguire la causa e l'effetto quando si fa quanto sopra.

Controlla link e amp; link

Welcome to the 'Scan of the Month' challenge. The purpose of these challenges are to help the security community develop the forensic and analysis skills to decode real attacks.

La cosa bella delle sfide di Honeynet è che puoi leggere le risposte migliori per vedere come hanno sbrogliato gli attacchi.

Se cerchi google in giro, puoi trovare molte sfide forensi da cui puoi imparare, un altro esempio è link .

    
risposta data 20.05.2011 - 16:09
fonte
9

Come nealmcb suggerisce, data la tua mancanza di esperienza di rete che è evidente, vorrei anche sconsigliare di provare a eseguire un honeypot ad alta interazione.

Ci sono altre soluzioni che potresti provare, ma tutto dipende da cosa vuoi monitorare esattamente. Esistono implementazioni di honeypot pronte all'uso con la cattura dei log e dei tasti e tutto, ma sono specifiche per un'attività che si desidera mettere a fuoco.

Ad esempio, i ricercatori di malware che tentano di acquisire nuovi worm utilizzano diverse tecniche rispetto a coloro che cercano di vedere che tipo di comandi della shell si può provare se si ottiene root in un sistema linux. Inoltre, altre persone preferiscono avere un honeypot per monitorare le azioni dello scanner del sito per vedere nuovi tipi di iniezione sql tentativi o altri abusi. Vuoi acquisire file uplodaded, registri di comando, record di controllo o anche fare regolari dump di memoria? Alcuni honeypot emulano solo deamon specifici, altri emulano sistemi operativi completi, altri sono solo moduli del kernel da utilizzare nei normali sistemi operativi.

Da quello che sembra, sembra che tu voglia qualcosa di più nell'area Sebek .

In generale, dai un'occhiata a questa pagina, elenca molti diversi tipi di honeypot: link

La mia preferenza personale è Kippo , un honeypot di emulazione SSH - a volte porta a risultati molto divertenti come questo: < a href="http://www.youtube.com/watch?v=oJagxe-Gvpw"> link

    
risposta data 20.05.2011 - 18:22
fonte

Leggi altre domande sui tag