Recomendaciones para el software honeypot

18

Un par de nosotros queríamos configurar un honeypot / honeynet con el objetivo de aprender; No planeado estar en un entorno de producción. ¿Cuál es una buena recomendación para un honeypot de alta interacción o baja interacción? También nos gustaría informar los hallazgos en algún tipo de informe de estilo comercial para que algo que compile la información también sea bueno.

He investigado lo siguiente, pero si te gustan, dime por qué:

  • honeyd - excelente en general pero un honeypot de baja interacción
  • mwcollect / nepenthes : la mayoría bien soportado pero demasiado bajo de interacción
  • cuckoo - suena interesante pero difícil de configurar y la documentación está desactualizada

EDIT: Qué honeypots le han dado los mejores resultados para el análisis de malware. Los honeypots de baja interacción no irán mucho más lejos que pretender tener un puerto abierto, pero me gustaría rastrear un ataque, permitir la infección de la carga útil, contenerla desde cualquier otro lugar y generar un informe basado en eso y luego después del ataque. empezar de nuevo con un ambiente limpio.

¿Alguien hace honeypots más? :)

    
pregunta Lizbeth 28.05.2011 - 02:30
fuente

3 respuestas

6

No tengo las especificaciones exactas a mi disposición, sin embargo, solíamos ejecutar una red inalámbrica inalámbrica muy exitosa basada en fuentes disponibles de forma gratuita que llevaríamos a entornos sensibles para ver si había atacantes activos en el entorno y qué haría.

El núcleo de nuestra configuración era una computadora portátil que funcionaba con un entorno basado en Honeynet, con tráfico simulado entre múltiples hosts virtuales que se ejecutan en máquinas virtuales para parecerse a servidores financieros, bases de datos, usuarios, etc. Rápidamente que están dentro de una red de pesca.

En otra computadora portátil, conectada por un cable Ethernet unidireccional para evitar su visibilidad al atacante, estaba nuestra plataforma de registro. Nuevamente, si un atacante detecta un registrador que no es apropiado para el supuesto entorno, será sospechoso.

Este honeynet era bastante configurable, y aunque tomó una buena cantidad de trabajo para configurarlo inicialmente (uno de mi equipo creó la mayor parte) dijo que era bastante sencillo.

    
respondido por el Rory Alsop 15.06.2011 - 23:15
fuente
3

Estoy sorprendido de que nadie haya recomendado HoneyBOT

Es suficiente para que lo ejecute en mi DMZ en casa en una netbook rota por la que pagué $ 20 por lo que necesitaba un disco y una pantalla. Ahora es solo una máquina sin cabeza por menos de $ 50 que se usa como caja de investigación. La potencia baja también es barata para funcionar 24/7/365 y si

Siempre me pregunté sin actividad de la red en mi red doméstica por qué todas las luces de mi enrutador y cable módem siempre se encienden como un árbol de Navidad todo el tiempo, @ # @ $ puerto escanea a las 2AM y así.

    
respondido por el Brad 22.06.2012 - 18:27
fuente
2

Para honeypot ligero, siempre puedes buscar

Dionaea honeypot: enlace [emula servicios vulnerables de Windows, principalmente SMB, y recientemente soporta VOIP]

Honeypot de Kippo: enlace [para las emulaciones SSH- Secure SHell]

Ambos son suficientes para mí. La instalación es más fácil que la configuración completa de instalación en caja.

    
respondido por el talfiq 26.06.2011 - 06:21
fuente

Lea otras preguntas en las etiquetas