Sospecho que alguien no autorizado está intentando o ya está en la red tratando de obtener información sobre algunos datos que tenemos. ¿Cómo puedo atraer a esta persona a un "Honeypot" y recopilar información mientras están conectados a la red, y registrar las intrusiones para procesarlos mejor por lo que hacen?
Si ya están en su red, solo agregar un honeypot puede o no ser efectivo, usted no sabe lo que ya saben de su red.
En esta etapa, si los datos son importantes, puede resultarle más útil cambiar el acceso y eliminarlos de su red, en lugar de intentar rastrearlos.
Alternativamente, si sabe dónde están estos datos importantes, no necesita un honeypot; lo que necesita es controlar de cerca toda la actividad y ver si se están realizando conexiones inusuales.
¿Qué ha inspirado tus sospechas? Si estaba viendo algo extraño en sus registros de red, sería un buen lugar para comenzar.
En general, los honeypots son útiles antes de una intrusión, ya que detienen o frenan a un intruso antes de llegar a sus datos, lo que le da la oportunidad de identificarlos o bloquearlos.
"Luering" es una actividad que puede requerir asesoramiento legal.
La configuración de trampas es simple, pero es posible que desee iniciar o mejorar los procedimientos de registro para ayudar a las autoridades policiales a construir una buena pista de auditoría.
A menudo he pensado en hacer esto con la gran cantidad de intentos fallidos de iniciar sesión en mi servidor SSH; Nunca lo he hecho, pero podrías hacer algo así:
No hago esto porque no sirve para nada; piensan que entraron cuando en realidad los dejé entrar, y además, una vez que descubren que es una olla de miel, acabas de golpear el nido de avispas.