it-swarm-id.com

Menyiapkan honeypot

Saya memiliki komputer cadangan di rumah saya, jadi saya memutuskan untuk mengubahnya menjadi honeypot. Sejauh ini, saya telah menginstal Windows XP (tidak ada paket layanan) di atasnya dan telah menetapkan aturan pada router saya untuk meneruskan (beberapa) port ke honeypot. Karena router saya tidak mendukung DMZ) Saya harus membuat aturan secara manual. Saat ini, saya meneruskan TCP port 80, 100-140, dan 1000-1500 (saya memilih nilai-nilai itu secara acak). Pada honeypot, saya menggunakan Wireshark untuk memonitor lalu lintas jaringan.

Namun, honeypot tampaknya tidak terinfeksi. Saya hanya menerima sedikit lalu lintas dari luar.

Apa yang saya lakukan salah? Apakah saya harus meneruskan port lain? Apakah saya harus entah bagaimana mengiklankan keberadaan saya di internet?

Terima kasih atas masukan apa pun!

P.S .: Saya tahu tentang bahaya menjalankan honeypot di dalam jaringan rumah.

16
ryyst

Jika Anda hanya ingin mesin honeypot Anda dikompromikan dan menjadi bagian dari botnet, Anda harus menjalankan layanan yang rentan pada mesin tersebut. Layanan rentan yang Anda pilih harus cocok dengan port yang telah Anda teruskan ke mesin honeypot dan juga harus cocok dengan layanan yang coba dieksploitasi cacing secara aktif.

Untuk mesin Windows XP, penerusan port 137, 138, 139 dan 445 akan memberi Anda banyak lalu lintas serangan. Port ini untuk NetBIOS dan Samba dan mereka semua menerima aliran lalu lintas yang konstan dari Internet.

Meneruskan port 80 hanya akan berguna jika Anda menjalankan server web pada mesin honeypot. Anda dapat pergi dalam dua arah dengan server web; baik menjalankan versi lama dari HTTP daemon itu sendiri yang memiliki kerentanan diketahui atau menjalankan versi saat ini dan kemudian menjalankan aplikasi web yang rentan seperti versi yang lebih lama dari Wordpress atau phpMyAdmin di atasnya.

Anda bisa mencoba menjalankan layanan dan berharap bahwa mereka rentan dan bahwa cacing mencoba untuk mengeksploitasinya, tetapi mungkin lebih efektif untuk mencari layanan yang ditargetkan dan dijalankan oleh cacing tertentu.

Arah lain untuk menyelesaikan masalah ini adalah dengan mengaktifkan pencatatan pada titik masuk Anda dan melihat lalu lintas apa yang menghantam Anda. Saya menduga Anda akan melihat banyak lalu lintas di port yang saya sebutkan di atas, tetapi Anda mungkin akan melihat lalu lintas di port lain juga. Cari tahu apa port digunakan untuk menjalankan layanan itu di mesin Anda.

Ada beberapa hal yang ingin saya tambahkan tentang honeypots ini:

Tujuan honeypot adalah untuk mempelajari apa yang dilakukan penyerang atau worm setelah kompromi Host. Anda perlu mengatur pemantauan dan pencatatan yang luas pada kotak itu sendiri sehingga Anda benar-benar mendapatkan beberapa informasi yang berguna dari latihan. Penting juga bagi Anda untuk tahu kapan Anda telah dikompromikan. Sebagian besar honeypots dijalankan di dalam mesin virtual untuk memberi Anda cara mudah membandingkan kondisi mesin saat ini dengan salinan yang dikenal baik. Tidak cukup untuk melakukan ini dari dalam honeypot karena rootkit dapat memodifikasi alat yang Anda gunakan untuk melakukan perbandingan.

Anda ingin memantau semua lalu lintas ke dan dari mesin honeypot. Dengan ini, maksud saya menangkap paket lengkap. Cara normal untuk melakukan ini adalah dengan spanning port di switch Anda tetapi mungkin bisa dilakukan di hypervisor dari VM jika switch Anda tidak memiliki kemampuan itu. Anda biasanya tidak akan melakukan itu di dalam honeypot.

Anda mengatakan bahwa Anda mengetahui bahaya menjalankan honeypot di dalam jaringan rumah Anda. Saya kira itu berarti Anda juga mengetahui tindakan pencegahan yang harus Anda ambil sebelum membuatnya online. Secara khusus, konfigurasi jaringan dan firewall Anda sehingga mesin honeypot tidak dapat menghubungi jaringan lokal Anda yang lain. Ini juga praktik yang baik untuk berhati-hati tentang koneksi keluar yang Anda izinkan untuk memulai ke internet. Hal pertama yang sering akan coba dilakukan adalah mengunduh rootkit dan program pekerja yang mungkin Anda minati, namun hal berikutnya adalah memulai menyerang lebih banyak target, dan ini bukan sesuatu yang biasanya ingin Anda izinkan.

Ada juga ada alat khusus untuk membuat honeypots . Alat-alat ini mencakup seluruh hypervisor dan VM tumpukan yang memungkinkan semua hal yang telah saya sebutkan di atas. Di situs yang sama Anda dapat menemukan alat untuk mencatat, memantau dan menganalisis dan juga beban informasi tentang cara menjalankan honeypot dan siapa yang kemungkinan besar akan Anda serang.

17
Ladadadada

Apa yang Anda buat adalah honeypot interaksi tinggi, yaitu sistem langsung yang menunggu untuk dikompromikan dan kemudian dianalisis oleh penyelidik foresik (yang tentu saja Anda yang menjadi Anda). Saya akan mulai dengan honeypot interaksi rendah berbasis linux. Ini menciptakan sistem file virtual dan layanan palsu yang dapat membuat penyerang (atau alat otomatis mereka) percaya ini adalah sistem "nyata", sementara Anda hanya akan menjalankan layanan honeypot. Alat yang sangat mudah untuk mengatur dan menangkap probe adalah Kippo , sebuah honeypot SSH. Saya telah mengembangkan alat visualisasi untuk itu juga yang mungkin menarik bagi Anda (dan tentu saja Anda akan mendapatkan presentasi data Anda yang bagus). Honeypot interaksi rendah lain yang terkenal adalah honeyd , tapi itu agak lebih sulit untuk diatur, tergantung pada apa yang ingin Anda lakukan tentunya (honeyd dapat mensimulasikan seluruh arsitektur jaringan dengan router, server, workstation, dll).

7
Ion

Walaupun sebagian besar jawaban itu benar, saya merasa mereka kehilangan beberapa informasi.

Pertama saya ingin mengklarifikasi bahwa itu tergantung pada jenis Honeypot yang Anda instal, kemudian memutuskan apakah Anda ingin menginstal pemantauan luas atau tidak seperti dengan Honeypot Interaksi Rendah, Anda tidak ingin melakukan konfigurasi luas pada umumnya . tetapi jika Anda menggunakan High-Interaksi atau Honeypot Fisik dengan IP sendiri yang sebagian besar digunakan dalam kategori Penelitian.

Ini berarti bahwa apa pun yang Anda tetapkan sebagai honeypot, itu adalah harapan dan tujuan Anda agar sistem diselidiki, diserang, dan berpotensi dieksploitasi, Honeybot bekerja dengan membuka lebih dari 1000 UDP dan soket mendengarkan TCP pada soket Anda komputer dan soket ini dirancang untuk meniru layanan yang rentan. Juga merupakan alat deteksi dan respons, alih-alih pencegahan yang memiliki sedikit nilai di dalamnya.

Bergantung pada perangkat lunak yang Anda gunakan kebanyakan dari mereka dengan email dan pemberitahuan notifikasi. seperti honyed, mantrap, honeynets . Yang semuanya lebih baik digunakan daripada firewall.

Satu hal lagi yang perlu diingat, Honeypots tidak berharga jika mereka tidak diserang, jika Anda seperti yang disebutkan atau ingin ditangkap Penuh paket, ini berarti Anda juga memberikan kesempatan penyerang yang terampil untuk membajak honeypot kamu. Dan jika Jika seorang penyerang berhasil mengkompromikan salah satu honeypots Anda, ia dapat mencoba untuk menyerang sistem lain yang tidak di bawah kendali Anda. Sistem ini dapat ditemukan di mana saja di Internet, dan penyerang dapat menggunakan honeypot Anda sebagai batu loncatan untuk menyerang sistem sensitif.

1
amrx