Настройка Honeypot в корпоративной среде

Question

Настройка Honeypot в корпоративной среде

Мне интересно посмотреть, если кто-нибудь здесь, кто администрирует большую среду (200-500 серверов) и имеет очень большую общедоступную клиентскую базу (более 100000), настроил (или хотя бы рассматривал возможность создания) приманку? Меня особенно интересуют те, которые предоставляют услуги противным / злым / враждебным сетям.

Если вы создали один, можете ли вы рассказать о своем опыте? На самом деле, пожалуйста, прокомментируйте, если вы не считаете свою среду большой, даже небольшая среда, содержащая некоторые враждебные сети, идеальна!

Я планирую создать один, где я работаю, но, естественно, это начнется с нескольких битв со стороны руководства, естественно. Существуют риски - самый большой риск состоит в том, что все настроено неправильно, и ваши производственные серверы присоединяются к вашему "кластеру" приманки, или просто утечка информации о вашей сети (любая информация слишком большая).

Производство Honeypots

Производственный honeypot используется для того, чтобы помочь организации защитить внутреннюю ИТ-инфраструктуру, а исследовательский honeypot - для сбора доказательств и информации с целью изучения моделей и мотивов хакерских или черных атак.

Производственные приманки ценны для организации, особенно коммерческой, поскольку они помогают снизить или уменьшить риск, с которым сталкивается конкретная организация. Производственные блоки защищают организацию, применяя ИТ-среду для выявления атак. Эти производственные приманки полезны для ловли хакеров с преступными намерениями. Внедрение и развертывание производственных приманок относительно проще, чем исследование приманок.

5

networking security honeypot

Источник

Xerxes 31 май '09 в 05:17

3 ответа

Другие вопросы по тегам networking security honeypot

Kurt 31 май '09 в 06:35 2009-05-31 06:35 · Answer 1 · 2009-05-31 06:35

Вы хотите Honeyd - Honeyd - это небольшой демон, который создает виртуальные хосты в сети. Хосты могут быть сконфигурированы для запуска произвольных сервисов, а их индивидуальность может быть адаптирована так, что они работают под управлением определенных операционных систем. Honeyd позволяет одному хосту запрашивать несколько адресов - я протестировал до 65536 - в локальной сети для симуляции сети. Honeyd улучшает кибербезопасность, предоставляя механизмы для обнаружения и оценки угроз. Это также отпугивает противников, скрывая реальные системы в середине виртуальных систем.

sucuri 02 июн '09 в 12:25 2009-06-02 12:25 · Answer 2 · 2009-06-02 12:25

Honeypots чрезвычайно полезны для любой окружающей среды, и они не должны быть чем-то необычным или сумасшедшим.

Примеры, которые мы делаем:

-Создайте поддельную учетную запись или почтовый сервер (скажем, userX) с несколькими поддельными ссылками в своем почтовом ящике (например, ссылка на каталог пользователя, ссылка на платеж и т. Д., Все они указывают на внутренний сервер). Теперь мы отслеживаем любой доступ к этим страницам через журналы и знаем, что если мы когда-либо увидим доступ к ним, это потому, что кто-то читает чужую электронную почту или взломал систему.

-Добавить неопубликованную систему с неиспользованным IP в нашу сеть. Любой доступ к ним, вероятно, вызван сканированием или, возможно, плохо настроенной системой (да, это происходит).

И многое другое... Эти маленькие "приманки" очень просты в настройке, а преимущества просто потрясающие. У нас даже был уволен системный администратор за просмотр поддельной ссылки на заработную плату.

Neobyte 31 май '09 в 05:31 2009-05-31 05:31 · Answer 3 · 2009-05-31 05:31

Я должен быть тупым и сказать, что если бы я был вашим менеджером, я бы отказался от этой идеи еще до того, как она началась. Существует слишком много рисков и нулевых преимуществ, связанных с настройкой honeypot в большой ИТ-среде.

Не могли бы вы уточнить, почему вы хотите это сделать? Разве honeypots не в значительной степени ограничены исследователями безопасности? Чего ты пытаешься достичь?