IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Пингвинятник (ОС *NIX) (http://www.imho.ws/forumdisplay.php?f=76)
-   -   Развертывание honeynet на FreeBSD (http://www.imho.ws/showthread.php?t=103164)

medgimet 02.05.2006 13:41
Развертывание honeynet на FreeBSD
 
Развертывание honeynet на FreeBSD

Если переводить дословно, то honeypot - это «горшочек с медом», система ловушка, "обманная система". Его единственная задача – привлечь к себе внимание и заинтересовать злоумышленника, быть атакованным и даже взломанным. В последствии, собранные данные будут проанализированы и могут использоваться в разных целях: от получения ранее ни где не публикуемых уязвимостей, эксплоитов или руткитов до возможности обеспечить правопорядок, используя собранные данные в качестве доказательств злонамеренных действий. Honeynet – это сеть, состоящая из нескольких honeypot, объединенная в единое целое.

До сих пор, honeypots получили свое распространение преимущественно в Интернете. Например, антивирусные компании, на сколько мне известно, используют сети honeynet для получения свежих компьютерных вирусов, по большей части сетевых и почтовых червей. Также, honeynet хорошо зарекомендовали себя в качестве инструмента при борьбе со спамом. Но до сих пор ни кто не решается использовать honeynet для борьбы с угрозами внутри корпоративной сети.

Так уж сложилось, что большинство систем защиты информации, применяемые в компаниях, в первую очередь решают проблемы угроз со стороны Интернета. При этом мало кто устанавливает системы IDS/IPS на промышленные сервера, не доступные со стороны глобальной сети. И причины тому могут быть различны. Это и экономия средств, и экономия ресурсов самого сервера, а также целесообразность в применяемых средствах. Собственно, в сетях, где внутренняя защищенность с технической стороны оставляет желать лучшего, для пресечения возможных сетевых инцидентов, может успешно использоваться искусственная сеть honeynet, которая позволит:
  • выявить компьютеры, с которых происходит сканирование сети
  • выявить компьютеры, с которых происходит несанкционированная отправка пакетов IP к несуществующим ресурсам сети
  • выявить компьютеры, с которых происходят попытки или предпосылки для проведения DOS атаки
  • выявить компьютеры, с которых происходит атака типа brute-force
  • выявить компьютеры, с которых происходят попытки несанкционированной отправки писем
  • выявить компьютеры, с которых происходят несанкционированные обращения к ресурсам сети
  • выявить компьютеры, с которых происходит целенаправленная атака на ресурсы сети

Cтатья полностью на _http://www.securitylab.ru/contest/266417.php

ftpd 03.05.2006 02:10
прочел эту статью и подумал, что без эмуляции tcp/ip стека дела не будет.
fingerprints никто не отменял.

IrWert 21.05.2006 15:41
Там в конце статьи
Цитата:
Доступные эмулируемые ОС с помощью Honeyd

honey# grep "^Fingerprint" /usr/local/share/honeyd/nmap.prints | more

Доступно 989 отпечатков различных ОС и устройств. От самых распространенных (Windows, Linux, BSD, Cisco) до экзотики (AmigaOS, BeOS, Astaro Security Linux).

Например:
personality "AmigaOS AmiTCP/IP 4.3"
personality "Astaro Security Linux 4 (Kernel 2.4.19)"
personality "BeOS 4 - 4.5"
personality "Microsoft Windows Millennium Edition (Me), Windows 2000 Professional or Advanced Server, or Windows XP"
personality "FreeBSD 4.7-RELEASE"
personality "IBM AIX 4.0 - 4.2"
personality "Apple Mac OS X 10.1.5-10.2.6"
personality "Cisco Catalyst 2820 switch Management Console"
personality "Sun Solaris 9"


Часовой пояс GMT +4, время: 13:32.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.