приманка в сети

awocose

Случайный прохожий
Привет сообщество! Решил обсудить с вами вопрос по ИБ. Есть периметровая защита сети, есть ngfw, есть сегментация сети на зоны - dmz, inside net, outside и тд. Есть так же ips система и dlp. Вобщем полный фарш. Хочу разместить приманку в сети и выставить ее в интернет. Вопрос где ее размещать? В дмз? Так же прошу порекомендовать можно ли собрать что то на linux или freebsd?

-----Подумал и добавил------

речь про honey pot
 

alxmel

Участник
ставь в dmz, прочти
Honeypot — этот казалось бы детский термин (горшочек с медом) уже давно широко используется в мире компьютерной безопасности. Что же это за система, которую используют админы для ловли хакеров? Сейчас я постараюсь разложить все по полочкам и рассказать тебе о меде, горшках и чуть-чуть о хакерах.

Что такое honeypot?

Идея скрытых ловушек или сладкого для хакер места на самом деле не нова. Идея зародилась, если я не ошибаюсь, еще 1990 году.
Общее и устоявшееся определение honeypot — "это ресурс, задача которого отдаться хакеру, цель которого принять тест, атаку и быть взломанным". Это означает, что создавая honeypot мы ожидаем от него регистрации начала атаки и взлома . В глобальном смысле это инструмент,который каждый волен применять по своему. Это может быть эмулятор другой системы или приложения, некая "темница с засадой", или просто стандартная система. Как бы вы не построили свой горшочек, главная его задача — подвергнутся нападению и рассказать вам в подробностях об этом. Как инструмент ваш honeypot может выполнять и разные задачи:
определять начало атаки, собирать
информацию или рассказывать вам
интересную информацию о действиях хакера (принято разделение — на производственные ловушки и исследовательские: первые занимаются защитой сетей, вторые для сбора информации).



Как работает honeypot?
На пальцах это выглядит очень просто — стоит себе машина (ресурс, скажем более обще), которая фактически ничего не делает. Следовательно любое внешнее взаимодействие с горшком — вероятно хакерская активность.
Тем и хорош honeypot: Он собирает малое количество информации, но ее значение велико. Вместо того, что бы копаться в 5.000 предупреждениях и 10 Гб логах не проще ли разбирать их 30 и всего 1 Мб? Данные, которые предоставляет ловушка,гораздо легче анализировать!
Как уже было сказано выше фактически honeypot не имеет никакой авторизованной активности, то есть он фактически ничего
не делает (представь, допустим, веб-сервер, который не имеет имени и никому не известен, количество заходящих на него
людей стремится к 0), потому все, кто на него ломится — потенциальные взломщики.
Количество ложных сигналов сводится к тому же 0…
Все потому же не требуется для такой системы мощной машины или каких то навороченных систем управления.
Определились у ловушек, конечно, и недостатки: во-первых это так называемый ограниченный вид, ведь горшочек регистрирует только направленные непосредственно на него атаки, а во-вторых просто напросто выставление на всеобщее обозрение нового ресурса — всегда небезопасно, если у вас нет достаточных знаний и квалификации хакер может победить
вас в вашей же ловушке.

С чего начать?

Естественно, как и всюду в мире, лучшего и универсального honeypot-а не существует. В каждом конкретном случае надо выбирать
себе программу исходя из намечаемых целей. Лучшим для начинающих всеми признается honeypot BackOfficer, Friendly — чрезвычайно простая, бесплатная программа для Windows. Она ограничена в возможностях, но общую концепцию этого
веселья вы поймете. Для *nix систем существует Honeyd, OpenSource решение, о котором много раз писали даже в русском Интернете. Honeyd по своему уникальная вещь — может эмулировать более 400 различных операционных систем и
тысячи компьютеров одновременно. Причем он не только эмулирует ОС на уровне приложений, но и на уровне IP стека, чего никто из конкурентов делать не в состоянии.
https://xakep.ru/2003/04/24/18282/
 
Верх Низ