it-swarm-eu.dev

Honeypot aufstellen

Ich habe einen Ersatzcomputer in meinem Haus herumliegen, also habe ich beschlossen, ihn in einen Honigtopf zu verwandeln. Bisher habe ich Windows XP (kein Service Pack)) installiert und Regeln auf meinem Router eingerichtet, um (einige) Ports an den Honeypot weiterzuleiten. Da mein Router DMZ nicht unterstützt Ich muss manuell Regeln erstellen. Derzeit leite ich TCP Ports 80, 100-140 und 1000-1500 (ich habe diese Werte ziemlich zufällig ausgewählt) weiter. Auf dem Honeypot verwende ich Wireshark, um Überwachen Sie den Netzwerkverkehr.

Der Honigtopf scheint jedoch nicht infiziert zu werden. Ich bekomme nur sehr wenig Verkehr von außen.

Was mache ich falsch? Muss ich andere Ports weiterleiten? Muss ich irgendwie für meine Präsenz im Internet werben?

Vielen Dank für jede Eingabe!

P.S.: Ich weiß um die Gefahren, einen Honeypot in einem Heimnetzwerk zu betreiben.

16
ryyst

Wenn Sie nur möchten, dass Ihr Honeypot-Computer kompromittiert wird und Teil eines Botnetzes ist, müssen Sie anfällige Dienste auf dem Computer ausführen. Die von Ihnen ausgewählten anfälligen Dienste müssen mit den Ports übereinstimmen, die Sie an den Honeypot-Computer weitergeleitet haben, und müssen auch mit den Diensten übereinstimmen, die Würmer aktiv ausnutzen möchten.

Bei einem Windows-Computer XP) sollten Sie durch Weiterleiten der Ports 137, 138, 139 und 445 viel Angriffsverkehr erhalten. Diese Ports sind für NetBIOS und Samba bestimmt und alle erhalten einen konstanten Datenverkehr vom Internet.

Das Weiterleiten von Port 80 ist nur nützlich, wenn Sie einen Webserver auf dem Honeypot-Computer ausführen. Mit einem Webserver können Sie in zwei Richtungen gehen. Führen Sie entweder eine alte Version des HTTP-Daemons selbst aus, die bekannte Sicherheitslücken aufweist, oder führen Sie eine aktuelle Version aus und führen Sie dann eine anfällige Webanwendung aus, z. B. eine ältere Version von Wordpress oder phpMyAdmin).

Sie können einfach versuchen, Dienste auszuführen und hoffen, dass sie anfällig sind und dass Würmer versuchen, sie auszunutzen. Es ist jedoch möglicherweise effektiver, die Dienste zu suchen, auf die bestimmte Würmer abzielen, und diese auszuführen.

Die andere Richtung, um dieses Problem zu lösen, besteht darin, die Protokollierung an Ihrem Eingangspunkt zu aktivieren und festzustellen, welcher Datenverkehr Sie trifft. Ich vermute, Sie werden viel Verkehr auf den oben erwähnten Häfen sehen, aber Sie werden wahrscheinlich auch Verkehr auf anderen Häfen sehen. Finden Sie heraus, wofür die Ports werden verwendet ein Dienst auf Ihrem Computer ausgeführt wird.

In Bezug auf Honeypots möchte ich einige Dinge hinzufügen:

Der Zweck eines Honeypots besteht darin, zu untersuchen, was der Angreifer oder Wurm tut, wenn er einen Host gefährdet. Sie sollten eine umfassende Überwachung und Protokollierung an der Box selbst einrichten, damit Sie tatsächlich einige nützliche Informationen aus der Übung erhalten. Es ist auch wichtig, dass Sie wissen, wann Sie kompromittiert wurden. Die meisten Honeypots werden in virtuellen Maschinen ausgeführt, damit Sie den aktuellen Status der Maschine auf einfache Weise mit einer bekanntermaßen guten Kopie vergleichen können. Es ist nicht ausreichend, dies innerhalb des Honeypots zu tun, da Rootkits genau die Tools ändern können, die Sie für den Vergleich verwenden.

Sie möchten den gesamten Datenverkehr zum und vom Honeypot-Computer überwachen. Damit meine ich vollständige Paketerfassungen. Der normale Weg, dies zu tun, ist mit einem übergreifenden Port auf Ihrem Switch, aber dies kann wahrscheinlich im Hypervisor des VM, wenn Ihr Switch nicht über diese Funktion verfügt. Dies würden Sie normalerweise nicht tun) es innerhalb des Honigtopfs.

Sie sagten, dass Sie sich der Gefahren bewusst sind, die mit dem Betrieb Ihres Honeypots in Ihrem Heimnetzwerk verbunden sind. Ich nehme an, das bedeutet, dass Sie sich auch der Vorsichtsmaßnahmen bewusst sind, die Sie treffen müssen, bevor Sie es online stellen. Konfigurieren Sie Ihr Netzwerk und Ihre Firewall so, dass der Honeypot-Computer keinen Kontakt mit dem Rest Ihres lokalen Netzwerks herstellen kann. Es ist auch empfehlenswert, vorsichtig zu sein, welche ausgehenden Verbindungen Sie zum Internet initiieren dürfen. Das erste, was häufig versucht wird, ist das Herunterladen eines Rootkits und der Worker-Programme, an denen Sie wahrscheinlich interessiert sind. Das nächste ist jedoch häufig, mehr Ziele anzugreifen, und dies ist normalerweise nicht zulässig.

Es gibt auch spezielle Tools zum Erstellen von Honeypots . Diese Tools umfassen den gesamten Hypervisor und VM -Stacks, die alle oben genannten Funktionen ermöglichen. Auf derselben Site finden Sie Tools zum Protokollieren, Überwachen und Analysieren und auch eine Menge Informationen zum Ausführen eines Honeypots und wen Sie wahrscheinlich sehen werden, wenn Sie ihn angreifen.

17
Ladadadada

Was Sie erstellt haben, ist ein Honeypot mit hoher Interaktion, dh ein Live-System, das darauf wartet, von einem Foresiker (das sind Sie natürlich) kompromittiert und später analysiert zu werden. Ich würde mit einem Linux-basierten Honeypot mit geringer Interaktion beginnen. Es werden ein virtuelles Dateisystem und gefälschte Dienste erstellt, mit denen Angreifer (oder deren automatisiertes Tool) glauben können, dass dies ein "echtes" System ist, während Sie nur einen Honeypot-Dienst ausführen. Ein sehr einfaches Werkzeug zum Einrichten und Auffangen von Sonden ist Kippo , ein SSH-Honeypot. Ich habe auch ein Visualisierungstool dafür entwickelt, das für Sie von Interesse sein könnte (und natürlich erhalten Sie eine schöne Präsentation Ihrer Daten). Ein weiterer bekannter Honeypot mit geringer Interaktion ist Honeyd , aber es ist etwas schwieriger einzurichten, je nachdem, was Sie natürlich vorhaben (Honeyd kann eine gesamte Netzwerkarchitektur mit Routern, Servern, simulieren). Arbeitsstationen usw.).

7
Ion

Während die meisten dieser Antworten richtig sind, habe ich das Gefühl, dass ihnen einige Informationen fehlen.

Zuerst möchte ich klarstellen, dass dies von der Art des zu installierenden Honeypots abhängt. Dann wird entschieden, ob Sie eine umfassende Überwachung installieren möchten oder nicht, wie bei einem Honeypot mit geringer Interaktion. Sie möchten im Allgemeinen keine umfangreiche Konfiguration vornehmen . Wenn Sie jedoch High-Interaction oder Physical Honeypot mit einer eigenen IP verwenden, die hauptsächlich in der Kategorie "Forschung" verwendet wird.

Was auch immer Sie als Honeypot bezeichnen, es ist Ihre Erwartung und Ihr Ziel, das System untersuchen, angreifen und möglicherweise ausnutzen zu lassen. Honeybot öffnet über 1000 UDP- und TCP-Listening-Sockets auf Ihrem Computer und diese Sockets sind so konzipiert, dass sie anfällige Dienste imitieren. Außerdem ist es ein Erkennungs- und Reaktionstool und keine Prävention, für die es einen geringen Wert hat.

Abhängig von der Software, die Sie verwenden, sind die meisten von ihnen mit E-Mail- und Benachrichtigungsbenachrichtigungen ausgestattet. wie honyed, mantrap, honeynets . Welches ist alles besser über Firewalls bereitgestellt.

Eine weitere Sache, die Sie beachten sollten: Honeypots sind wertlos, wenn sie nicht angegriffen werden. Wenn Sie wie erwähnt Full Pakete erfassen möchten oder möchten, bedeutet dies, dass Sie Hijack auch die Möglichkeit eines erfahrenen Angreifers geben dein Honigtopf. Und wenn es einem Angreifer gelingt, einen Ihrer Honeypots zu gefährden, könnte er versuchen, andere Systeme anzugreifen, die nicht unter Ihrer Kontrolle stehen. Diese Systeme können sich überall im Internet befinden, und der Angreifer kann Ihren Honigtopf als Sprungbrett verwenden, um sensible Systeme anzugreifen.

1
amrx