honeyd sigue siendo una buena alternativa?

Navega tus respuestas
0

He estado investigando para implementar un honeypot con fines de investigación, Honeyd parece ser la opción más popular y adecuada para mis necesidades, pero parece demasiado antigua, la última versión de este software se lanzó hace casi siete años (2007) y me hace pensar si sigue siendo una buena solución para honeypot.

Me gustaría saber si hay otras soluciones como lo fue Honeyd en su época, o si sigue siendo la mejor opción, ¿cuáles son las nuevas tendencias en Honeypot? y ¿cuáles son las formas más comunes de implementar un Honeypot de investigación?

Necesito implementar un honeypot dentro de una red que es atacada, los ataques más comunes son los análisis de puertos, la configuración de sesión NETBIOS SMB-DS, la solicitud SNMP, ICMP, etc. Pero hay más de 400 tipos de ataques.

También me gustaría integrar este honeypot con un snort implementado actualmente, para una recopilación de datos óptima, ¿cuál podría ser la mejor opción? ¿O puedo integrar diferentes soluciones de honeypot?

Gracias por delante ...

    
pregunta Alonimus 11.06.2014 - 15:59
fuente

2 respuestas

1

He utilizado un ssh honeypot en una máquina virtual en mis redes internas. Es un honeypot especializado que me da información sobre 2 áreas:

  1. Cualquier persona que intente iniciar sesión en el puerto 22 es un mal actor y puedo correlacionar la información de conexión con mis registros de tráfico. También puedo ver qué credenciales se intentan para ver qué cuentas podrían estar comprometidas.
  2. Una vez que el usuario inicia sesión (siempre les permite), registra todas las pulsaciones de teclado que el usuario escribe, lo que es muy útil para recopilar datos sobre la intención del atacante y el nivel de sofisticación del ataque.

Para mis necesidades, una alta interactividad ssh honeypot funciona muy bien porque los datos que proporciona son útiles. Debe elegir un honeypot en función de los datos que espera obtener y cómo planea usarlos.

Lo que no veo en mi solución elegida son los ataques contra otros servicios como http, correo electrónico, etc. Todo se reduce a lo que quieres proteger.

    
respondido por el schroeder 11.06.2014 - 18:22
fuente
0

Hay un lote de opciones a este respecto. Si honeyd es el nivel que estás buscando, permíteme decirte que soy un gran fanático del proyecto NOVA: utiliza honeyd como base y proporciona una interfaz de usuario web fácil de usar, así como funciones de correlación de datos.

Consulte novaproject.org para ver la página de inicio oficial.

El Proyecto Nova es de código abierto. Consulte la página github para obtener la fuente e instrucciones para la instalación.

Si quieres algo precompilado, ADHD es una opción.

    
respondido por el Tim Brigham 11.06.2014 - 16:25
fuente

Lea otras preguntas en las etiquetas

Apretones de manos Cowpatty vs Pyrit alerta SNORT para Trufflehunter SFVRT 3: 29312: 1