エンタープライズ環境でのハニーポットの設定
大規模な環境(200〜500台のサーバー)を管理し、非常に大規模なパブリックカスタマーベース(100,000以上)を持っている人がハニーポットを設置した(または少なくとも設置を検討した)かどうかを知りたいですか?厄介な/邪悪な/敵対的なネットワークにサービスを提供する人々に特に興味があります。
設定した場合、あなたの経験について詳しく説明していただけますか?実際、次の場合はコメントしてくださいしないでください環境が大きいと考えてください。敵対的なネットワークを含む小さな環境でも完璧です。
私は自分が働く場所に設置することを計画していますが、当然、それは経営陣からのいくつかの戦いから始まります。リスクがあります。最大のリスクは、物事が正しくセットアップされておらず、本番サーバーがハニーポットの「クラスター」に参加していること、または単にネットワークに関する情報が漏洩していることです(情報が多すぎます)。
生産ハニーポット
プロダクションハニーポットは、組織が内部ITインフラストラクチャを保護するのを支援するために使用されますが、リサーチハニーポットは、ハッカーやブラックハットの犯罪攻撃のパターンと動機を研究するために証拠と情報を蓄積するために使用されます。
生産ハニーポットは、特定の組織が直面するリスクを軽減または軽減するのに役立つため、組織、特に商業にとって価値があります。本番ハニーポットは、IT環境を監視して攻撃を特定することにより、組織を保護します。これらの生産ハニーポットは、犯罪目的のハッカーを捕まえるのに役立ちます。生産ハニーポットの実装と展開は、研究ハニーポットよりも比較的簡単です。
必要なもの Honeyd --Honeydは、ネットワーク上に仮想ホストを作成する小さなデーモンです。ホストは任意のサービスを実行するように構成でき、特定のオペレーティングシステムを実行しているように見えるようにホストのパーソナリティを調整できます。 Honeydを使用すると、単一のホストがネットワークシミュレーション用のLAN上で複数のアドレス(最大65536をテスト済み)を要求できます。 Honeydは、脅威の検出と評価のためのメカニズムを提供することにより、サイバーセキュリティを向上させます。また、仮想システムの真ん中に実際のシステムを隠すことで、敵を阻止します。
ハニーポットはあらゆる環境で非常に便利であり、派手なものやクレイジーなものである必要はありません。
私たちが行う例:
-メールサーバー(たとえばuserX)に偽のアカウントを作成し、メールボックスにいくつかの偽のリンク(ユーザーディレクトリリンク、支払いリンクなど、すべて内部サーバーを指すもの)を作成します。現在、ログを介してこれらのページへのアクセスを監視しており、これらのページへのアクセスが表示された場合、誰かが他の誰かの電子メールを読んでいるか、システムに侵入したことが原因であることがわかります。
-未使用のIPを持つ非公開システムをネットワークに追加します。それらへのアクセスは、おそらくスキャンまたはシステムの構成が不適切であることが原因です(はい、発生します)。
そして他の多くのもの...これらの小さな「ハニーポット」はセットアップがとても簡単で、その利点は驚くべきものです。偽の給与計算リンクを見たためにシステム管理者を解雇したことさえありました。