Un par de nosotros queríamos configurar un honeypot / honeynet con el objetivo de aprender; No planeado estar en un entorno de producción. ¿Cuál es una buena recomendación para un honeypot de alta interacción o baja interacción? También nos gustaría informar los hallazgos en algún tipo de informe de estilo comercial para que algo que compile la información también sea bueno.
He investigado lo siguiente, pero si te gustan, dime por qué:
- honeyd - excelente en general pero un honeypot de baja interacción
- mwcollect / nepenthes : la mayoría bien soportado pero demasiado bajo de interacción
- cuckoo - suena interesante pero difícil de configurar y la documentación está desactualizada
EDIT: Qué honeypots le han dado los mejores resultados para el análisis de malware. Los honeypots de baja interacción no irán mucho más lejos que pretender tener un puerto abierto, pero me gustaría rastrear un ataque, permitir la infección de la carga útil, contenerla desde cualquier otro lugar y generar un informe basado en eso y luego después del ataque. empezar de nuevo con un ambiente limpio.
¿Alguien hace honeypots más? :)