Honeypot en la red doméstica para ayudarme a aprender

Navega tus respuestas
25

Soy un probador de penetración de aplicaciones web bastante decente (IMO), pero estoy ansioso por ampliar mi conocimiento de otras áreas de seguridad. Dado que acabo de asumir algo así como un rol de administrador de sistemas mejorado en mi trabajo, pensé que sería una buena oportunidad para tratar de aprender más sobre la seguridad de la red y del sistema operativo.

En general, diría que tengo una comprensión decente de los conceptos generales de seguridad, pero las redes son un punto ciego importante para mí.

Ahora, la pregunta: estaba pensando que podría ser una buena idea ("buena idea") dejar una máquina vulnerable expuesta en la red de mi hogar, con la plena intención de que se rompa. Mi plan es instalar las diversas herramientas de auditoría (tripwire, logwatch, samhain, etc.) para brindarme experiencia en el mundo real al realizar autopsias en sistemas comprometidos, porque tengo muy poca experiencia allí.

Sin embargo, obviamente estoy indeciso de hacerlo, porque no estoy 100% seguro de poder limitar a los atacantes a la máquina de honeypot. Entonces, ¿cómo puedo hacer eso?

Según mi entender (lo cual es bastante pobre, en lo que respecta a las redes) esto implicará colocar mi sistema honeypot en la DMZ en mi red. Nunca he hecho esto antes.

Inicialmente, estaba pensando que podría imponer la DMZ de dos maneras:

  1. asigne estáticamente el IP en el enrutador, designando la máquina DMZ
  2. igualmente, bloquee la dirección MAC del resto de la LAN

Sin embargo, cuando lo pensé un poco más, empecé a dudar de ese plan. ¿No podría un usuario deshonesto con acceso de root 1) cambiar su IP estática y 2) flashear el MAC? ¿Eso lo sacaría de la DMZ y lo conectaría a mi red doméstica?

Lo anterior puede ser un montón de tonterías. Una vez más, este es un punto ciego para mí. Por favor, perdóname si he perdido el tiempo con una pregunta muy tonta :)

Gracias a todos.

    
pregunta Chris Allen Lane 20.05.2011 - 04:48
fuente

4 respuestas

14

Especialmente debido a su falta de experiencia en la red, eso me parece un riesgo importante para su red doméstica :) Alternativamente, puede implementarlo en la nube por poco dinero y verlo allí.

Consulte DMZ (Wikipedia) para obtener más información y otras respuestas aquí para obtener sugerencias sobre cómo diseñar DMZ. A menos que tenga un nodo de firewall real que proporcione separación de red entre su red DMZ y su red doméstica, no es realmente un DMZ.

    
respondido por el nealmcb 20.05.2011 - 05:43
fuente
10

Si quieres hacer esto, dos cosas podrían hacer que tu vida sea un poco más segura:

  • sepárelo completamente de su red (vea la respuesta y el enlace de @ nealmcb)
  • consulte el proyecto honeynet en honeynet.org para obtener scripts preconfigurados, máquinas virtuales, etc.
respondido por el Rory Alsop 20.05.2011 - 12:59
fuente
9

Hay muchas maneras de ganar experiencia. Puede seguir la guía de metasploit en Cómo configurar un laboratorio de pruebas de penetración , luego ataca los sistemas y observa si las herramientas de registro o seguridad detectaron tus actividades y cómo las detectó.

Para fines de aprendizaje, es mucho más fácil seguir la causa y el efecto cuando se hace lo anterior.

Consulte enlace & enlace

  

Bienvenido al desafío 'Escaneo del mes'. El propósito de estos desafíos es ayudar a la comunidad de seguridad a desarrollar las habilidades forenses y de análisis para descifrar ataques reales.

Lo bueno de los desafíos de Honeynet es que puedes leer las respuestas principales para ver cómo se desentrañaron los ataques.

Si busca en Google, puede encontrar muchos desafíos forenses de los que puede aprender, otro ejemplo es enlace .

    
respondido por el Tate Hansen 20.05.2011 - 16:09
fuente
9

Como sugiere Nealmcb, dada su falta de experiencia de red que es evidente, también aconsejaría no intentar ejecutar un honeypot de alta interacción.

Puede probar otras soluciones, pero todo depende de lo que quiera monitorear exactamente. Hay implementaciones de honeypot listas para usar con la captura de registros y pulsaciones de teclas y todo, pero son específicas para una tarea que desea enfocar.

Por ejemplo, los investigadores de malware que intentan capturar nuevos gusanos utilizan diferentes técnicas que las personas que intentan ver qué tipo de comandos de shell se pueden probar si obtiene root en un sistema Linux. Además, otras personas prefieren tener un honeypot para monitorear las acciones del escáner del sitio web para ver nuevos tipos de inyección de sql Intentos u otros abusos. ¿Desea capturar archivos uplodaded, registros de comandos, registros de auditoría o incluso realizar volcados de memoria regulares? Algunos honeypots solo emulan demonios específicos, otros emulan sistemas operativos completos, otros son solo módulos del kernel para uso en sistemas operativos normales.

Por lo que parece, parece que quieres algo más en el área de Sebek .

En general, eche un vistazo a esta página, enumera diferentes tipos de honeypots: enlace

Mi preferencia personal es Kippo , un SSH que emula un honeypot: a veces produce resultados muy divertidos como este: < a href="http://www.youtube.com/watch?v=oJagxe-Gvpw"> enlace

    
respondido por el john 20.05.2011 - 18:22
fuente

Lea otras preguntas en las etiquetas

¿cómo puedo saber si la autenticación de mdk3 realmente desconecta a los clientes sin verificar los dispositivos? Cómo robar un paquete HTTP, cambiarlo y reenviarlo