Configurando um honeypot em um ambiente corporativo

5

Estou interessado em ver se alguém aqui que administra um ambiente grande (200-500 Servidores) e tem uma base de clientes pública muito grande (100.000+), configurou (ou pelo menos considerou configurar) um pote de mel? Estou especialmente interessado por aqueles que fornecem serviços para redes desagradáveis / malvadas / hostis.

Se você criou um, você pode elaborar sua experiência? De fato, por favor, comente se você não considera seu ambiente grande, até mesmo um ambiente pequeno que contém algumas redes hostis é perfeito!

Estou planejando montar um onde eu trabalho, mas naturalmente isso vai começar com algumas batalhas da administração, naturalmente. Existem riscos - o maior risco seria que as coisas não fossem configuradas corretamente, e seus servidores de produção entrassem no "cluster" do honeypot, ou simplesmente que as informações sobre sua rede vazassem (qualquer informação é muita informação).

Honeypots de produção

Um honeypot de produção é usado para ajudar uma organização a proteger sua infraestrutura de TI interna, enquanto um honeypot de pesquisa é usado para acumular evidências e informações para estudar padrões e motivos de ataques criminosos de hackers ou blackhat.

Os honeypots de produção são valiosos para a organização, especialmente comerciais, pois ajudam a reduzir ou reduzir os riscos enfrentados por uma organização específica. Honeypots de produção protegem o organização policiando seu ambiente de TI para identificar ataques. Esses honeypots de produção são úteis para capturar hackers com intenções criminosas. A implementação e implantação de honeypots de produção são relativamente mais fáceis do que os honeypots de pesquisa.

    
por Xerxes 31.05.2009 / 07:17

3 respostas

3

Você quer Honeyd - O Honeyd é um pequeno daemon que cria hosts virtuais em uma rede. Os hosts podem ser configurados para executar serviços arbitrários, e sua personalidade pode ser adaptada para que eles pareçam estar executando certos sistemas operacionais. O Honeyd permite que um único host solicite vários endereços - testei até 65536 - em uma LAN para simulação de rede. O Honeyd melhora a segurança cibernética ao fornecer mecanismos para detecção e avaliação de ameaças. Também detém adversários escondendo sistemas reais no meio de sistemas virtuais.

    
por 31.05.2009 / 08:35
2

Os honeypots são extremamente úteis para qualquer ambiente e não precisam ser nada extravagantes ou malucos.

Exemplos que fazemos:

-Crie uma conta falsa no servidor de e-mails (digamos userX) com alguns links falsos em sua caixa de correio (coisas como link de diretório de usuários, link de pagamento, etc., todos apontando para um servidor interno). Agora, monitoramos qualquer acesso a essas páginas por meio dos registros e sabemos que, se alguma vez vermos o acesso a elas, é porque alguém está lendo o email de outra pessoa ou invadiu o sistema.

-Adicione um sistema não publicado com IP não usado à nossa rede. Qualquer acesso a eles provavelmente é causado por uma varredura ou talvez um sistema mal configurado (sim, acontece).

E muitas outras coisas ... Esses pequenos "honeypots" são tão fáceis de configurar e os benefícios são incríveis. Nós até tivemos um administrador do sistema demitido por olhar para um link de folha de pagamento falso.

    
por 02.06.2009 / 14:25
-1

Eu tenho que ser franco e dizer que se eu fosse seu empresário, eu encerraria essa ideia antes mesmo de começar. Há muitos riscos e benefícios zero associados à configuração de um honeypot em um grande ambiente de TI.

Você poderia elaborar sobre por que você gostaria de fazer isso? Os honeypots não são confinados em grande parte aos pesquisadores de segurança? O que você está tentando conseguir?

    
por 31.05.2009 / 07:31