Установка Ловушки в Корпоративной среде
Я использовал explore2fs с Windows XP однажды в прошлом, и это работало. Я не уверен в поддержке Vista. Возможно, дайте ему попытку?
Существует также Читатель Linux. Никогда не пробовал его самостоятельно.
Вы хотите Honeyd - Honeyd является маленьким демоном, который создает виртуальные хосты в сети. Хосты могут быть настроены для выполнения произвольных сервисов, и их личность может быть адаптирована так, чтобы они, казалось, выполняли определенные операционные системы. Honeyd позволяет единственному хосту требовать нескольких адресов - я протестировал до 65 536 - на LAN для сетевого моделирования. Honeyd улучшает кибербезопасность путем обеспечения механизмов для обнаружения угрозы и оценки. Это также удерживает противников путем сокрытия реальных систем посреди виртуальных систем.
Ловушки экстремальным образом полезны для любой среды, и они должны быть ничем воображение или сумасшедший.
Примеры, которые мы делаем:
- Создайте поддельную учетную запись на, или mailserver (скажите что userX) с несколькими поддельными ссылками в его почтовом ящике (вещи как пользовательская ссылка каталога, платежная ссылка, и т.д. все указывающие на внутренний сервер). Теперь мы контролируем любой доступ к этим страницам через журналы, и мы знаем, что, если мы когда-нибудь видим, доступ к ним - то, потому что кто-то еще читает чей-то электронная почта или повредился к системе.
- Добавьте неопубликованную систему с неиспользуемым IP к нашей сети. Любой доступ к ним, вероятно, вызывается сканированием или возможно плохо настроенной системой (да, это происходит).
И много других вещей... Эти небольшие "ловушки" настолько легко установить, и преимущества удивительны. Нам даже уволили системного администратора за рассмотрение поддельной ссылки платежной ведомости.
-
1That' s большая история - слова благодарности - I' m собирающийся использовать все эти идеи при описывании моего предложения :) – Xerxes 2 June 2009 в 18:39
Я должен быть тупым и сказать, был ли я Вашим менеджером, я закрыл бы ту идею, прежде чем она даже запустилась. Существует слишком много рисков и обнуляют преимущества, связанные с установкой ловушки в большой среде IT.
Вы могли уточнить то, почему Вы хотели бы сделать это? Ловушки не в основном ограничены исследователями в области безопасности? Чего Вы пытаетесь достигнуть?
-
1Я думаю, что необходимо изучить ловушки снова. Во-первых, ловушка показывает столько же риска для Вашей среды, сколько Ваши в настоящее время рабочие серверы и сервисы делают - если Вы don' t знают что you' выполнение ре. Ваши сервисы уже в " risk" на основании того, чтобы быть доступным. Во-вторых, понятие позади ловушки - то, что единственный трафик, который будет когда-либо , добирается, там, как гарантируют, будет плохим трафиком, потому что нет никакой причины (если настроено правильно), чтобы хороший трафик когда-либо делал его там. То, что это делает, высказывают Вам мнение того, кто Ваши нападавшие - Только путем игнорирования их doesn' t означают их don' t существуют. – Xerxes 31 May 2009 в 08:45
-
2Необайт - Взглянул на " Производство Honeypot" по сравнению с " Исследование Honeypot" возможно, you' ve только услышали о последнем. – Xerxes 31 May 2009 в 09:08
-
3You' право ре, я был только знаком с последним. I' ll делают еще некоторое чтение.:) – Neobyte 31 May 2009 в 09:25
-
4+1 для производственных ловушек как механизмы обнаружения проникновения. Это может быть столь же просто как добавление каталога с сочным именем к производственной системе, вместе с полным входом/аудитом на том каталоге. – nedm 31 May 2009 в 10:45