it-swarm-eu.dev

Nastavení honeypot

Ve svém domě ležel náhradní počítač, a tak jsem se rozhodl ho změnit v medonosnou. Dosud jsem na něm nainstaloval Windows XP (bez aktualizace Service Pack) a nastavil jsem pravidla na mém routeru pro předávání (některých) portů do honeypotu. Protože můj router nepodporuje DMZ "Musím vytvořit pravidla ručně. V současné době předávám TCP porty 80, 100-140 a 1000-1500 (tyto hodnoty jsem si vybral téměř náhodně). Na honeypotu používám Wireshark sledovat síťový provoz.

Zdá se však, že honeypot není infikován. Venku přijímám jen velmi malý provoz.

Co dělám špatně? Musím poslat další porty? Musím nějakým způsobem inzerovat svou přítomnost na internetu?

Díky za jakýkoli vstup!

P.S .: Vím o nebezpečích, které může spáchat honeypot uvnitř domácí sítě.

16
ryyst

Pokud chcete, aby byl váš stroj Honeypot kompromitován a součástí botnetu, budete muset na stroji provozovat zranitelné služby. Zranitelné služby, které vyberete, se budou muset shodovat s porty, které jste předali stroju honeypot, a také se musí shodovat se službami, které červi aktivně využívají.

U počítačů se systémem Windows XP, by forwarding porty 137, 138, 139 a 445 měly dostat spoustu útoku). Tyto porty jsou pro NetBIOS a Sambu a všechny dostávají konstantní proud provozu z Internet.

Port 80 pro předávání bude užitečný pouze v případě, že na serveru honeypot používáte webový server. S webovým serverem můžete jít dvěma směry; buď spusťte starou verzi samotného démona HTTP, který má známé chyby zabezpečení, nebo spusťte aktuální verzi a poté spusťte zranitelnou webovou aplikaci, jako je starší verze Wordpress nebo phpMyAdmin).

Můžete jen zkusit provozovat služby a doufat, že jsou zranitelné a že se červi snaží využívat, ale může být efektivnější vyhledat služby, na které konkrétní červi cílí, a provozovat je.

Dalším směrem, jak vyřešit tento problém, je umožnit přihlášení na váš vstupní bod a zjistit, jaký provoz vás zasahuje. Mám podezření, že na portech, které jsem zmínil výše, uvidíte hodně provozu, ale pravděpodobně uvidíte i provoz na jiných portech. Zjistěte, k čemu porty jsou používány spustit tuto službu na vašem počítači.

Co se týče včel, přidám k tomu pár věcí:

Účelem honeypota je studovat, co útočník nebo červ udělá, jakmile napadne hostitele. Budete chtít nastavit rozsáhlé monitorování a protokolování na samotné krabici, abyste ze cvičení skutečně získali nějaké užitečné informace. Je také důležité, abyste věděli, kdy jste byli ohroženi. Většina honeypotů je provozována uvnitř virtuálních strojů, aby vám poskytl snadný způsob, jak porovnat aktuální stav stroje se známou dobrou kopií. To není dostačující pro to zevnitř honeypotu, protože rootkity mohou modifikovat samotné nástroje, které používáte pro srovnání.

Budete chtít sledovat veškerý provoz do a ze stroje na honeypot. Tím myslím úplné zachycení paketů. Normální způsob, jak toho dosáhnout, je s přesahujícím portem na vašem přepínači, ale pravděpodobně to lze udělat v hypervizoru VM, pokud váš přepínač tuto schopnost nemá. Normálně byste to nedělali) je to v medonosném.

Řekli jste, že jste si vědomi nebezpečí, že váš honeypot běží ve vaší domácí síti. Předpokládám, že to znamená, že jste si také vědomi preventivních opatření, která budete muset učinit před tím, než je uvedete na web. Konkrétně konfigurace vaší sítě a brány firewall tak, aby stroj honeypot nemohl kontaktovat žádnou ze zbytků vaší místní sítě. Dobrou praxí je také dávat pozor na to, která odchozí připojení povolíte inicializaci na internet. První věcí, kterou se často pokusí udělat, je stáhnout rootkit a pracovní programy, které vás pravděpodobně zajímají, ale další věcí je často začít útočit na více cílů, a to není něco, co byste normálně chtěli dovolit.

Existují také specifické nástroje pro vytváření honeypots . Tyto nástroje zahrnují celý hypervisor a VM zásobníky, které umožňují všechny věci, které jsem zmínil výše. Na stejném webu najdete nástroje pro protokolování, monitorování a analýz a také spousta informace o tom, jak spustit honeypot a koho pravděpodobně uvidíte, jak na něj útočí.

17
Ladadadada

Vytvořili jste vysoce interakční honeypot, tj. Živý systém, který čeká na to, že bude kompromitován a později analyzován vyšetřovatelem foresiky (samozřejmě jste to vy). Začal bych linuxovým, nízkointeraktivním honeypotem. Vytváří virtuální souborový systém a falešné služby, díky nimž se útočníci (nebo jejich automatizovaný nástroj) mohou domnívat, že se jedná o „skutečný“ systém, zatímco stačí spustit službu honeypot. Velmi snadným nástrojem pro nastavení a chytání sond je Kippo , SSH honeypot. Vyvíjím pro to také vizualizační nástroj, který by vás mohl zajímat (a samozřejmě dostanete pěknou prezentaci vašich dat). Dalším známým honeypotem s nízkou interakcí je honeyd , ale je to trochu obtížnější nastavit, v závislosti na tom, co hodláte dělat samozřejmě (honeyd může simulovat celou síťovou architekturu se směrovači, servery, pracovní stanice atd.).

7
Ion

I když většina z těchto odpovědí je správná, mám pocit, že jim chybí některé informace.

Nejprve bych rád vyjasnil, že to záleží na typu Honeypotu, který instalujete, pak se rozhodne, zda chcete nainstalovat rozsáhlé monitorování nebo ne jako u Honeypotu s nízkou interakcí, nechcete obecně provádět žádnou rozsáhlou konfiguraci. . ale pokud používáte High-Interaction nebo Physical Honeypot s vlastní IP, která se nejčastěji používá v kategorii Research.

To znamená, že ať už označíte cokoli za honeypota, je vaším očekáváním a cílem nechat systém vyzkoušet, zaútočit a potenciálně využít. Honeybot funguje otevřením více než 1000 UDP a TCP naslouchacích soketů) počítač a tyto sokety jsou navrženy tak, aby napodobovaly zranitelné služby. Je to také nástroj pro detekci a reakci, spíše než pro prevenci, v níž má malou hodnotu.

Závisí na softwaru, který používáte, většina z nich je pomocí e-mailových a upozornění upozornění. jako honyed, mantrap, honeynets . Což je lépe nasazeno přes firewally.

Ještě jedna věc, kterou je třeba mít na paměti, Honeypots jsou bezcenné, pokud nejsou napadeni, pokud jste, jak bylo zmíněno, chtějí nebo chcete zachytit Full pakety, to znamená, že také dáváte Hijackovi zkušený útočník příležitost tvůj honeypot. A pokud se útočníkovi podaří kompromitovat jednu z vašich honeypotů, mohl by se pokusit zaútočit na jiné systémy, které nejsou pod vaší kontrolou. Tyto systémy mohou být umístěny kdekoli na internetu a útočník by mohl použít váš honeypot jako odrazový můstek k útoku na citlivé systémy.

1
amrx