goldini50
Goto Top

Honeypot Tool (Linux : Windows)

Heyha zusammen,

ich bin auf der Suche nach einer Honeypot Software. Die Hauptaufgabe soll sein öffentlich erreichbare Websites welche zum Unternehmen gehören zu überwachen. Da wir in der Vergangenheit des öfteren Probleme mit Dos/DDos Angriffen hatten liegt mein Hauptaugenmerk auf dieser Funktion.
Er sollte solche Angriffe erkennen, melden können und (optional) Trigger einbauen welche dann Gegenmaßnahmen einleiten könnten, o.ä .
Ich möchte also in erster Linie nicht wirklich das mein Honeypot als "Falle" fungiert sondern mehr als Monitoring System.
Könnt ihr mir da welche empfehlen oder Erfahrungen teilen ?

// Es geht hierbei um mein Abschlussprojekt deshalb ist das Budget für evntl. Lizenzen nicht sonderlich hoch.

Vielen Dank

Content-Key: 335392

Url: https://administrator.de/contentid/335392

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: Woraxor
Woraxor 18.04.2017 aktualisiert um 12:19:35 Uhr
Goto Top
Mitglied: Lochkartenstanzer
Lochkartenstanzer 18.04.2017 um 13:07:00 Uhr
Goto Top
Moin,

Da wäre snort was für Dich.

lks
Mitglied: 108012
Lösung 108012 18.04.2017 um 21:01:33 Uhr
Goto Top
Hallo,

ich bin auf der Suche nach einer Honeypot Software. Die Hauptaufgabe soll sein öffentlich erreichbare Websites welche zum
Unternehmen gehören zu überwachen.
Das macht ein IDS/IPS System und nicht der Honeypot! Snort und Suricata sind hier Deine Freunde wenn es denn Software basierend
und OpenSource sein soll, es gibt auch proprietäre Systeme welche dann aber seitens des Preises in ganz weiter Ferne liegen!!!

Da wir in der Vergangenheit des öfteren Probleme mit Dos/DDos Angriffen hatten liegt mein Hauptaugenmerk auf dieser
Funktion.
Das wird damit wohl eher nichts werden, also ich denke das wird auch nichts günstiges dazu geben! Und aufgrund der sehr hohen
Preise ist das auch eher etwas für ISPs (Internet Service Provider) oder RZs (Rechenzentren). Hier mal zwei Beispiele dazu;
- DDoS Protection "Corero Smartwall"
- IPS Appliance "Corero IPS 5500 EC"

Er sollte solche Angriffe erkennen, melden können und (optional) Trigger einbauen welche dann Gegenmaßnahmen einleiten
könnten, o.ä .
- fail2ban auf den Servern installieren
- Einen Proxy vor die Server in der DMZ
- Switche mit Broadcast Storm Controller und DoS Schutz (internal/LAN) anschaffen
- NetIDS Sensoren im Netzwerk aufstellen und an einen Server zur Auswertung anbinden
- Mit einem Radius Server, LDAP Server und Captive Portal den Zugang zum Netzwerk regeln
- HostIDS Sensoren auf den PCs und Workstations installieren und an einen Server zur Auswertung anbinden
- Eine IPS Appliance in der DMZ und im LAN direkt vor die Server installieren und dann dort aufpassen lassen

Ich möchte also in erster Linie nicht wirklich das mein Honeypot als "Falle" fungiert sondern mehr als Monitoring System.
Der Honeypot hat eigentlich zwei Hauptaufgaben und die eine ist älter und die andere neuer. und dann gibt es noch dazwischen
etwas was sicherlich der eine oder andere Wissenschaftler damit macht, aber das war es dann auch schon! Hier mal Beispiele dazu;
- Früher hat man einen Honeypot in einem LAN aufgestellt und hat damit Server, PCs und Workstations die nicht gepatched sind
simuliert um von den wichtigen Geräten abzulenken.
- Heute benutzt man Honeypots meist in einer DMZ und dann auch noch dazu dass man damit Viren fängt oder gar das Vorgehen
von Einbrechern und Ihren Methoden genau betrachten kann um geeignete Sicherheitsmaßnahmen zu ergreifen.

Könnt ihr mir da welche empfehlen oder Erfahrungen teilen ?
Gegen DoS/DDoS Attacken kann man mittels einer Firewall oder eines Routers nichts ausrichten, das sind die falschen
Geräte an der falschen Stelle für so eine Attacke! Man nimmt dazu auf der Seite des ISP oder gar des RZ Geräte die so
etwas filtern und abwehren, denn die Kosten fangen bei 25.000 Euro an und gehen verdammt schnell hoch auf 250.000
Euro und das auch nur für größere Geräte die dann mehr können, aber immer noch die Einstiegsklasse von denen und
nicht etwa der Endbereich!

// Es geht hierbei um mein Abschlussprojekt deshalb ist das Budget für evntl. Lizenzen nicht sonderlich hoch.
Dann nimm einen Billigen SPI/NAT Router dazu und nichts anderes! Denn dort wird erst NAT gemacht und dann alles was von innen
angefordert worden ist durchgelassen, wenn also eine DoS/DDoS Attacke läuft prahlt die zu 99,99% also voll ab! Und bei einer Firewall
kann das schon ganz anders aussehen, denn die möchte ja alle Pakete erst einmal "erhalten" um sie dann zu filtern und gegebenenfalls
abzulehnen, bei dem billigen NAT Router ist das genau umgekehrt der lässt erst gar nichts rein was nicht von innen angefordert wird.

Gruß
Dobby
Mitglied: Goldini50
Goldini50 26.04.2017 um 09:13:05 Uhr
Goto Top
Wenn der Betreff meiner Projektarbeit lautet :

Die Implementierung eines Honeypot-Servers im firmeninternen Netzwerk zur
Rechner - bzw. Netzwerksimulation und frühzeitigen Erkennung von
Angreifern und Schadprogrammen im Netzwerk.


Kann man dann noch von einem IDS Tool ausgehen ? Weil falls nicht, habe ich vllt. den Fokus falsch gesetzt.
Habe mich ein wenig mit Suricata und KFSensor beschäftigt, wobei ich mir nicht sicher bin ob das dass richtige ist ?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.04.2017 um 09:45:35 Uhr
Goto Top
Moin,

ein Honeypot kann Teil eines IDS sein, aber ein IDS ist es nicht. Ein IDS ist weit mehr als nur ein Honeypot.

lks