Ho cercato di impostare un honeypot, ma sembra che il codice sorgente di honeyd non sia aggiornato e ci siano poche altre opzioni.
Che mi porta alla domanda, qualcuno impiega honeypot come pratica? Che software usi e quali opzioni ci sono nell'arena open source?
Con la definizione di un vaso per il miele, no, non sono uno strumento di prevenzione. Gli honeypot sono uno strumento per l'analisi comportamentale (vedendo che tipo di dati cercano), rallentando un aggressore (dando loro una grande quantità di rumore da manipolare) o impronte digitali di un attaccante (si ha una copia di tutti i file nel honeypot, e puoi confrontare i loro download con i tuoi).
Un honeypot è disponibile solo per l'attaccante dopo che hanno compromesso la tua rete. Se non si fermano prima gli attaccanti, potrebbero non arrivare durante il loro attacco.
Qualcuno impiega honeypot come pratica? Sì, conosco personalmente diverse società che gestiscono documenti medici che lo fanno. Anche alcune reti militari li usano.
Cerca honeynet.
Inoltre:
Are honeypots successful in preventing attacks?
Direttamente, non lo sono. Possono fornire molti che aiutano indirettamente a prevenire gli attacchi, tuttavia. Per i ricercatori, gli honeypot sono un ottimo modo per conoscere il comportamento di attacco.
Per un amministratore di rete, gli honeypot possono attirare l'attenzione dell'attaccante lontano da sistemi più preziosi e avvisare che è già avvenuto un certo livello di compromesso. Questo potrebbe consentire di affrontare un attacco prima che si verifichi una perdita reale dei dati se il sistema è ben monitorato.
Prevenire gli attacchi? No. Ma io uso honeypot all'interno delle mie reti come strumenti di monitoraggio e avviso e uno su Internet per la ricerca.
I honeypot interni sono economici e facili da mantenere e integrano gli altri strumenti di monitoraggio che ho in atto. Se c'è un buco nel mio monitoraggio o qualcuno ha eluso i miei sforzi, l'honeypot esiste come un indicatore passivo dell'attività non autorizzata. Serve anche come un "high water mark" per potenziali intrusioni. Se c'è un incidente, ma l'honeypot non viene toccato, posso fare alcune ipotesi sulla portata della violazione. Se l'honeypot viene toccato, allora so di intensificare immediatamente l'incidente. Con un honeypot interno, non ci sono "falsi positivi".
Honeypots esterni sono molto utili per la ricerca. Vedo cosa fanno gli hacker, guardo le tendenze e le tecniche e apprendo metodi di hacking aggiornati. Li trovo più educativi di qualsiasi classe che ho preso. Inoltre, ci sono rari casi in cui sono stato in grado di identificare personalmente un hacker e fare una risposta "proattiva".
Mi piace Kippo perché offre un'elevata interattività e mi consente di riprodurre il battito di un attacco tramite la pressione di un tasto, che è più informativo di quanto pensassi sarebbe. È facile estendere e personalizzare. Fornisce inoltre un alto valore di intrattenimento guardando i nuovi hacker derisi dal software.
Leggi altre domande sui tag honeypot