Configurare un honeypot per rilevare attività di rete dannose

Question

Configurare un honeypot per rilevare attività di rete dannose

#1 da (6 voti)

3

Quindi nel mondo delle reti, le persone cercano di accedere alla macchina client ed eseguire movimenti laterali. Gli honeypot sono spesso usati per dare loro un punto di accesso facile e mostrare loro un ambiente sfavorevole o falso, così se ne vanno prima di fare del male reale, l'intrusione viene registrata e la rete è al sicuro.
Almeno in teoria è così che dovrebbe funzionare un honeypot, dalla mia comprensione. Tuttavia, recentemente ho avuto il compito di crearne uno e mentre vedo un paio che esiste, sono curioso di sapere cos'è un honeypot per mantenere la tua rete al sicuro?

SE hanno accesso all'honeypot, non è ancora possibile raggiungere il movimento laterale o l'honeypot ha una sorta di software per rendere questo un incubo vivente per l'aggressore?

active-directory network honeypot

posta Robert Mennell 25.09.2015 - 22:44

fonte

1 risposta

Leggi altre domande sui tag active-directory network honeypot

C'è qualche motivo per rinunciare agli annunci basati sugli interessi? Utilizza sempre HTTPS una buona idea? [duplicare]

score 6 · Accepted Answer

Dipende dallo honeypot che stai usando. Se stai utilizzando un honeypot di interazione bassa o media che emula solo alcuni servizi, allora le probabilità sono molto basse che l'attaccante possa uscire dall'honeypot (eccetto se trova un bug nell'honeypot stesso).

Se utilizzi honeypot di interazione completa, come una vera macchina Windows, è probabile che l'hacker possa utilizzare l'honeypot come punto di partenza per attaccare altre macchine (sulla tua rete o su Internet). Pertanto è necessario inserire un cosiddetto honeywall tra l'honeypot e il resto della rete, che bloccherà fondamentalmente il traffico dannoso che tenta di abbandonare l'honeypot. Il honeywall è fondamentalmente una combinazione di IPS / firewall / WAF di tua scelta.

Anche se si utilizza un honeywall, non si può essere sicuri al 100% che l'attaccante non possa uscire dall'honeypot. Questo perché è necessario consentire a determinati tipi di traffico di abbandonare l'honeypot affinché l'attaccante possa ricevere feedback dal proprio attacco, ma è necessario impedire il traffico dannoso che potrebbe danneggiare altre macchine al di fuori dell'honeypot per lasciarlo. Trovare il giusto equilibrio è abbastanza difficile, e rimane sempre un rischio.