He estado buscando configurar un honeypot, pero parece que el código fuente de honeyd está desactualizado y hay otras pocas opciones.
Lo que me lleva a la pregunta, ¿alguien emplea honeypots como práctica? ¿Qué software utilizas y qué opciones hay en la arena de código abierto?
Por la definición de una olla de miel, no, no son una herramienta de prevención. Los honeypots son una herramienta para el análisis del comportamiento (al ver qué tipo de datos están buscando), ralentizar a un atacante (al darles grandes cantidades de ruido para manipular) o tomar las huellas dactilares de un atacante (tienes una copia de todos los archivos en honeypot, y puedes comparar sus descargas con las tuyas).
Un honeypot solo está disponible para el atacante después de que haya comprometido su red. Si no es la primera vez que los atacantes se detienen, es posible que no lleguen allí durante su ataque.
¿Alguien emplea honeypots como práctica? Sí, personalmente conozco varias compañías que manejan documentos médicos que sí lo hacen. Algunas redes militares también las usan.
Busca la redecilla.
También:
¿Los honeypots tienen éxito en la prevención de ataques?
Directamente, no lo son. Sin embargo, pueden proporcionar varios que ayudan indirectamente en la prevención de ataques. Para los investigadores, los honeypots son una excelente manera de aprender sobre el comportamiento de ataque.
Para un administrador de red, los honeypots pueden atraer la atención de un atacante lejos de sistemas más valiosos y alertarle de que ya se ha producido algún nivel de compromiso. Esto puede permitirle abordar un ataque antes de que ocurra una pérdida de datos real si el sistema está bien monitoreado.
¿Prevenir ataques? No. Pero uso honeypots dentro de mis redes como herramientas de monitoreo y alerta y uno en Internet para investigación.
Loshoneypots internos son de bajo costo y fáciles de mantener y complementan las otras herramientas de monitoreo que tengo implementadas. Si hay un agujero en mi monitoreo o si alguien ha eludido mis esfuerzos, el honeypot existe como un indicador pasivo de actividad no autorizada. También sirve como una 'marca alta' para posibles intrusiones. Si hay un incidente, pero el honeypot no se toca, puedo hacer algunas suposiciones en cuanto al alcance de la violación. Si se toca el honeypot, entonces sé que hay que intensificar el incidente de inmediato. Con un honeypot interno, no hay "falsos positivos".
Loshoneypots externos son muy útiles para la investigación. Puedo ver lo que hacen los piratas informáticos, ver tendencias y técnicas y aprender métodos de piratería actualizados. Los encuentro más educativos que cualquier clase que haya tomado. Además, hay casos raros en los que he podido identificar personalmente a un pirata informático y hacer una respuesta "proactiva".
Me gusta Kippo porque ofrece una gran interactividad y me permite reproducir la pulsación de tecla de ataque pulsando una tecla, que es más Informativo de lo que pensé que sería. Es fácil de ampliar y personalizar. También proporciona un alto valor de entretenimiento al ver a los nuevos piratas informáticos que se burlan del software.
Lea otras preguntas en las etiquetas honeypot