honeyd è ancora una buona alternativa?

0

Ho indagato per implementare un honeypot a scopo di ricerca, Honeyd sembra l'opzione più popolare e adeguata alle mie esigenze, ma sembra troppo vecchia, l'ultima versione di questo software è stata lanciata quasi sette anni fa (2007) e mi fa pensare se è ancora una buona soluzione honeypot.

Vorrei sapere se ci sono altre soluzioni come Honeyd era ai suoi tempi, o è ancora l'opzione migliore ?, quali sono le nuove tendenze in Honeypot? e quali sono i modi più comuni per implementare una ricerca Honeypot?.

Ho bisogno di implementare un honeypot all'interno di una rete che viene attaccata, gli attacchi più comuni sono le scansioni delle porte, l'installazione della sessione SMB-DS NETBIOS, la richiesta SNMP, ICMP, ecc. Ma ci sono più di 400 tipi di attacco.

Vorrei anche integrare questo honeypot con uno snort attualmente implementato, per una raccolta ottimale dei dati, quale potrebbe essere la scelta migliore? o posso integrare diverse soluzioni honeypot?

Grazie in anticipo ...

    
posta Alonimus 11.06.2014 - 15:59
fonte

2 risposte

1

Ho utilizzato un honeypot ssh su una VM nelle mie reti interne. È un honeypot specializzato che mi dà informazioni su 2 aree:

  1. Chiunque tenti di accedere alla porta 22 è un cattivo attore e posso correlare le informazioni di connessione con i miei registri di traffico. Posso anche vedere quali credenziali vengono tentate per vedere quali account potrebbero essere compromessi.
  2. Una volta che l'utente effettua l'accesso (li fa sempre entrare), registra tutte le battute che l'utente digita, il che è molto utile per raccogliere dati sull'intento dell'attaccante e sul livello di sofisticazione dell'attacco.

Per i miei bisogni, un hothypot ssh ad alta interattività funziona molto bene perché i dati che fornisce sono utili. È necessario scegliere un honeypot in base ai dati che si spera di ottenere e in che modo si prevede di utilizzare i dati.

Ciò che non vedo dalla mia soluzione scelta sono attacchi contro altri servizi come http, email, ecc. Tutto si riduce a ciò che si desidera proteggere.

    
risposta data 11.06.2014 - 18:22
fonte
0

Ci sono un lotto di opzioni a questo riguardo. Se honeyd è il wa che stai oscillando, lasciami dire che sono un grande fan del progetto NOVA - utilizza honeyd come base e fornisce un'interfaccia utente web facile da usare e servizi di correlazione dati.

Vedi novaproject.org per la home page ufficiale.

Il Nova Project è open source. Vedi la pagina github per la fonte e le istruzioni per l'installazione.

Se vuoi qualcosa di precompilato ADHD è un'opzione.

    
risposta data 11.06.2014 - 16:25
fonte

Leggi altre domande sui tag