Consigli per il software honeypot

Naviga le tue risposte
18

Un paio di noi desiderava impostare un honeypot / honeynet con l'obiettivo di apprendere; non progettato per essere in un ambiente di produzione. Qual è una buona raccomandazione per un'interazione elevata o un honeypot a bassa interazione. Inoltre vorremmo finalmente riportare i risultati in una sorta di rapporto sullo stile di business in modo che qualcosa che compili le informazioni sarebbe anche buono.

Ho esaminato quanto segue ma, se ti piacciono questi, fammi sapere perché:

  • honeyd - ottimo generale, ma un honeypot a bassa interazione
  • mwcollect / nepenthes - most ben supportato ma troppo basso nell'interazione
  • cucù - sembra una configurazione interessante ma difficile e una documentazione obsoleta

EDIT: quali honeypot ti hanno fornito i migliori risultati per l'analisi del malware. Gli honeypot a bassa interazione non andranno molto oltre il pretendere di avere una porta aperta, ma mi piacerebbe tenere traccia di un attacco, consentire l'infezione del payload, contenerlo da qualsiasi altra parte e generare un rapporto basato su quello e poi dopo l'attacco, ricomincia da capo con un ambiente pulito.

Qualcuno fa più honeypot? :)

    
posta Lizbeth 28.05.2011 - 02:30
fonte

3 risposte

6

Non ho le specifiche esatte a portata di mano, tuttavia abbiamo usato un honeynet wireless di grande successo basato su fonti liberamente disponibili che porteremmo in ambienti sensibili per vedere se ci fossero attaccanti attivi nell'ambiente, e cosa loro farebbe.

Alla base del nostro setup c'era un laptop con un ambiente basato su honeynet, con traffico simulato tra più host virtuali in esecuzione su macchine virtuali come server, database, utenti, ecc. Senza questa emulazione del traffico reale, un utente malintenzionato si renderà conto molto rapidamente che sono dentro un honeynet.

Su un altro laptop, collegato da un cavo ethernet unidirezionale per impedire la sua visibilità all'attaccante, c'era la nostra piattaforma di registrazione. Di nuovo, se un attaccante individua un logger che non è appropriato per l'ambiente presunto, sarà sospettoso.

Questo honeynet era abbastanza configurabile, e anche se inizialmente ci sono voluti un bel po 'di lavoro da impostare (uno dei miei team ha creato la maggior parte di esso) ha detto che era piuttosto semplice.

    
risposta data 15.06.2011 - 23:15
fonte
3

Sono sorpreso che nessuno abbia consigliato HoneyBOT

Per me è sufficiente eseguirlo nella mia DMZ a casa su un netbook rotto. Ho pagato $ 20 per cui avevo bisogno di drive e schermo. Ora è solo una macchina senza testa per meno di $ 50 usata come scatola di ricerca. La bassa potenza è anche economica per funzionare 24/7/365 e se

Mi sono sempre chiesto senza attività di rete sulla mia rete domestica perché tutte le luci del router e del modem via cavo si accendono sempre come un albero di Natale, @ # @ $ scansioni della porta alle 2:00 e così via.

    
risposta data 22.06.2012 - 18:27
fonte
2

Per honeypot leggero, puoi sempre cercare

Honeypot Dionaea: link [emula i servizi Windows vulnerabili, principalmente SMB, e supporta recentemente VOIP]

Honeypot Kippo: link [per emulazioni SSH-Secure SHell]

Entrambi sono abbastanza per me. L'installazione è più semplice di quella completa nella configurazione di installazione della scatola.

    
risposta data 26.06.2011 - 06:21
fonte

Leggi altre domande sui tag

Controllo degli accessi basato sui ruoli + Permessi basati sulla proprietà dei dati Il modo giusto per utilizzare il TPM per la crittografia completa del disco