Configuración de un honeypot para detectar actividad de red maliciosa

Question

Configuración de un honeypot para detectar actividad de red maliciosa

#1 de pineappleman (6 votos)

3

Así, en el mundo de las redes, las personas intentan acceder a la máquina cliente y realizar movimientos laterales. Los honeypots a menudo se usan para darles un punto de acceso fácil y mostrarles un entorno desfavorable o falso, por lo que se van antes de hacer un daño real, se registra la intrusión y la red es segura.
Al menos en teoría, así es como debería funcionar un honeypot, desde mi punto de vista. Sin embargo, recientemente me encargaron la configuración de uno y, si bien veo un par que existe, siento curiosidad por lo que hace un honeypot para mantener su red segura.

SI obtienen acceso al honeypot, ¿no se puede lograr el movimiento lateral o el honeypot tiene algún tipo de software para hacer de esto una pesadilla para el atacante?

network active-directory honeypot

pregunta Robert Mennell 25.09.2015 - 22:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas network active-directory honeypot

¿Cómo estimar el tiempo necesario para las pruebas de seguridad de aplicaciones web? ¿Es seguro usar sqlite con un archivo de nombre aleatorio?

score 6 · Accepted Answer

Depende del honeypot que estés usando. Si está utilizando un honeypot de interacción baja o media que solo emula algunos servicios, las posibilidades son muy bajas de que el atacante pueda salir del honeypot (excepto si encuentra un error en el honeypot).

Si está utilizando honeypots de interacción completa, como una máquina Windows real, existe una gran probabilidad de que el atacante pueda usar el honeypot como punto de partida para atacar a otras máquinas (en su red o en Internet). Por lo tanto, debe colocar un llamado "honeywall" entre el honeypot y el resto de su red, que básicamente bloqueará el tráfico malicioso que intenta dejar el honeypot. Honeywall es básicamente una combinación de IPS / firewall / WAF de su elección.

Incluso si usa un honeywall, no puede estar 100% seguro de que el atacante no pueda salir del honeypot. Esto se debe a que debe permitir que cierto tráfico salga del honeypot para que el atacante reciba comentarios de su ataque, pero debe evitar el tráfico malicioso que podría dañar otras máquinas fuera del honeypot para dejarlo. Encontrar el equilibrio correcto es bastante difícil y siempre existe un riesgo.