PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Honeypots



[moR-pH-euS]
07.06.08, 17:23
Hallo Forum,
ich beschätige mich zur Zeit etwas mit honeypots und mir stellt sich dabei eine Frage:
Wie wird es eigentlich realisiert das man "normale" User von Angreifern trennen kann, wenn ein Server in einem Unternehmen steht?
Mal angenommen ich habe folgendes Szenario:
Einen Webserver für meine normalen Besucher und einen Webserver mit der gleichen Konfiguration als honeypot (soll z.B. als Ablenkung für Angreifer oder Frühwarnsystem (wenn jemand diesen honeypot anspricht über port 80, schlägt er alarm) dienen).
Aber ich verstehe jetzt nicht wie man so etwas realisieren kann. Da muss man doch auf gut Glück hoffen das der Angreifer den Honeypot Webserver auswählt, oder verstehe ich da was grundlegend falsch?
Danke schonmal.

stefan.becker
07.06.08, 17:53
http://www.linuxforen.de/forums/showpost.php?p=427811&postcount=10

Mehr kann ich dir auch nicht dazu sagen, habe es selbst noch nie probiert oder mich weiter eingearbeitet.

cane
07.06.08, 18:10
Für dein Vorhaben ist ein Honeypot IMO nicht geeignet - benutz lieber Mechanismen wie mod_security, Restriktive Apache Configs, fail2ban etc.

mfg
cane

bla!zilla
07.06.08, 19:37
Also grundsätzlich sollte man Honeypots nicht betreiben, wenn man im Sicherheitsbereich nicht sattelfest ist.

[moR-pH-euS]
08.06.08, 00:33
Also grundsätzlich sollte man Honeypots nicht betreiben, wenn man im Sicherheitsbereich nicht sattelfest ist.

Ich will auch keinen betreiben, ich hab mich nur für das Thema mal interessiert und etwas mit honeyd etc rumgespielt ;)
Danke für die Antworten.

bla!zilla
08.06.08, 11:06
Ich sehe halt immer die Gefahr, dass Angriffe aus dem Honeypot auf den Rest des Netzes durchschlagen können.

Xileen
09.06.08, 00:06
Das was du suchst nennt sich Bait´n ´Switch Modus für produktive Server/Honeypot Systeme.

Hier gibt es einen schönen Artikel dazu.
http://www.spenneberg.com/linux-magazin/064-066_hogwash.pdf

403
11.06.08, 05:35
Ich sehe halt immer die Gefahr, dass Angriffe aus dem Honeypot auf den Rest des Netzes durchschlagen können.

Rein paranoid gesprochen: Sicher ist die Gefahr da.


Aber jetzt mal aus der Praxis und ohne Moechtegern-mitnicks :ugly: :

Kannst Du hier mal genauer ins Details gehen? Was sind Kriterien, bei
denen man nicht mit einem Restrisiko n rechnen muss? VLANs, Restrictive
Firewalls? IDS Systeme arbeiten doch nach regelbasierten Systemen. Ist
es eine gute Idee diese besonders vage zu formulieren? Wie gut sind die
Preprozessoren inzwischen?

Analysen auf honeypot.org kann jeder lesen. Aber das Problem sind ja wohl
die neuen Angriffe.


Gruss 403

cane
11.06.08, 06:46
Was sind Kriterien, bei denen man nicht mit einem Restrisiko n rechnen muss?

Es gibt immer ein Restrisiko - die Frage ist wie groß es ist.

Erstmal sollte man überlegen was man mit dem Honeypot erreichen will - in 99,9 % aller fälle wir ein Honeypot unnütz sein und man sollte erstmal an ganz anderen Stellen ansetzen:

- zentralisiertes Logging und Alerting
- sichere Konfiguration aller Dienste
- Einsperren von Diensten
- sichere Konfiguration von Applikationen
- Patchmanagment
- Notfallpläne verbessern
- ...

mfg
cane

ThE_FiSh
11.06.08, 10:36
- Notfallpläne verbessern


Funkspruch: " Admin an Belegschafft ... Admin an Belegschafft !! Wir hatten einen Anmeldeversuch via ssh mit falschem Passwort!

Bleiben Sie ruhig und verlassen Sie über die Fluchtwege das Gebäude....

ICH WIEDERHOLE ....

:D :D :D

sorry ich fand die Vorstellung einfach zu lustig