• Honeypots - IDS
    Σελ. 1 από 7

    από
    drhouse
    Δημοσιεύθηκε στις 17-11-08 19:11
    13 Σχόλια Σχόλια
    Τι είναι το honeypot (honeynets);
    Σε τι θέσεις θέσει το βάζουμε;
    Ποια είναι τα χαρακτηριστικά του;

    Το honeypot είναι ένα σύνολο πόρων το οποίο εκθέτουμε μέσα στο δίκτυό μας για να του επιτεθούν οι κακοί hackers. Μπορούμε να το δούμε σαν ένα σύστημα “θύμα”, μέρος του δικτύου μας, το οποίο υποστηρίζει συγκεκριμένες υπηρεσίες. Σκοπός του είναι να κοροϊδέψει τον κακό hacker, υποκρινόμενο ένα υπολογιστή θύμα:

    1) Έτσι ώστε, οι κακοί hackers να του επιτεθούν για να το χακερεψουν,
    2) Παράλληλα με την επίθεση των κακών, το honeypot επιχειρεί να εντοπίσει τον κακό, να καταγράψει τις προσπάθειες χακερεύματος με διάφορους μηχανισμούς ... μπορεί π.χ να διαθέτει “alarms” ώστε να μας ενημερώνει τι ακριβώς γίνεται στο honeypot.

    Ας δούμε λοιπόν πως μπορεί να είναι οπλισμένο ένα honeypot.

    ΣΗΜΕΙΩΣΗ Επιτρέψτε μου από εδώ και στο εξής, να αναφέρω το κακό χακερά με τον όρο “o κακός” και όχι με τον όρο hacker. Ο όρος hacker είναι ΠΟΛΥ ΜΑ ΠΟΛΥ παρερμηνευμένος. O hacker δεν ήταν ούτε είναι “κακός”, από ανέκαθεν λειτουργούσε και λειτουργεί πάντα μέσα στα ηθικά, νομικά … και επιστημονικά πλαίσια. Είναι μεγάλη ΤΙΜΗ το αξίωμα hacker και προσωπικά δεν μου ταιριάζει να το εξισώσω με τον κακό χρήστη που κινείται σε χαμηλά επίπεδα.

    Αυτό το άρθρο δημοσιεύθηκε πρώτα στο forum με θέμα: Honeypots Δημοσιεύθηκε από drhouse Δείτε την αρχική δημοσίευση
    Tags: guide, honey pots, ids
    Σελίδες: Honeypots - IDS  Επόμενη σελίδαΠεριτύλιγμαΕπόμενο
    Σχόλια 13 Σχόλια
    1. Το avatar του μέλους crypter
      crypter - 17-11-08, 19:37
      Ενημερωτικοτατο αρθρο, περαν του specter υπαρχει αλλο αξιολογο software για την δημιουργια honeypots;
    1. Το avatar του μέλους drhouse
      drhouse - 17-11-08, 19:51
      Παράθεση Αρχικό μήνυμα από crypter Εμφάνιση μηνυμάτων
      Ενημερωτικοτατο αρθρο, περαν του specter υπαρχει αλλο αξιολογο software για την δημιουργια honeypots;
      Μια ματιά εδώ

      Κάνε γουγλη "intrusion detection systems" "deception tools" honeypots ...
    1. Το avatar του μέλους DaveMurray
      DaveMurray - 18-11-08, 16:42
      Μάλιστα... Και εγώ από την περιγραφή στην αρχή πήγε το μυαλό μου σε IDS....

      Υπάρχουν και vmware images από ότι ξέρω αν μιλάμε για IDS....(και έχω καταλάβει σωστά φυσικά...)
    1. Το avatar του μέλους drhouse
      drhouse - 18-11-08, 17:01
      Παράθεση Αρχικό μήνυμα από DaveMurray Εμφάνιση μηνυμάτων
      Μάλιστα... Και εγώ από την περιγραφή στην αρχή πήγε το μυαλό μου σε IDS....

      Υπάρχουν και vmware images από ότι ξέρω αν μιλάμε για IDS....(και έχω καταλάβει σωστά φυσικά...)
      Ναι, η αλήθεια είναι πως δεν είμαι καλός στη χρήση της Έλληνική γλώσσας, με τα ορθογραφικά ... αλλά τόσο κακός

      Κανένα σχόλιο περί Ελληνικής νομοθεσίας, νόμιζα πως το θέμα είναι σοβαρό.
    1. Το avatar του μέλους SSB
      SSB - 18-11-08, 17:29
      Εξαιρετικό άρθρο, όπως πάντοτε φίλε drhouse.
    1. Το avatar του μέλους manual2100
      manual2100 - 19-11-08, 18:43
      υπάρχει διαφορά μεταξύ honeypot και IDS
    1. Το avatar του μέλους drhouse
      drhouse - 20-11-08, 01:43
      Το honeypot δελεάζει τους κακούς με "ύποτιθέμενα πολίτιμα δεδομένα" και κάνει intrusion detection.

      To IDS απλά κάνει detection. Θα μπορούσαμε να πούμε πως ένας network analyser είναι ένα IDS γιατί κι αυτός καταγράφει τα δεδομένα που μεταφέρονται στο δίκτυο και μπορεί να κάνει ένα στοιχειώδες detection ...

      Μην ξεχνάμε και τα Intrusion prevention sestems.
    1. Το avatar του μέλους manual2100
      manual2100 - 20-11-08, 13:48
      Παράθεση Αρχικό μήνυμα από crypter Εμφάνιση μηνυμάτων
      Ενημερωτικοτατο αρθρο, περαν του specter υπαρχει αλλο αξιολογο software για την δημιουργια honeypots;
      low-interaction : Specter, Honeyd, Nepenthes, KFSensor
      high-interaction : Symantec Decoy Server, Honeynets
      Παράθεση Αρχικό μήνυμα από drhouse Εμφάνιση μηνυμάτων
      Το honeypot δελεάζει τους κακούς με "ύποτιθέμενα πολίτιμα δεδομένα" και κάνει intrusion detection.
      To IDS απλά κάνει detection.
      ναι κάπως έτσι είναι (συνδυασμός υπάρχει)

      Honeypots
      Τα Honeypots είναι στην ουσία "κράχτες" που παρακολουθούνται στενά και εξυπηρετούν διάφορους σκοπούς: μπορούν να αποσπάσουν την προσοχή από πιο πολύτιμα μηχανήματα σε ένα δίκτυο, μπορούν να παράσχουν έγκαιρη προειδοποίηση σχετικά με κάποια νέα επίθεση και επιτρέπουν την εις βάθος εξέταση των "εχθρών" κατά τη διάρκεια και μετά την επίθεση ενός honeypot.

      IDS
      Το IDS μπορούμε να το παρομοιάσουμε σαν ένα συναγερμό "σπιτιού". Σε περίπτωση (ενδεχόμενης) εισβολής, το σύστημα IDS θα σημάνει ένα είδος προειδοποίησης ή συναγερμού. Ο χειριστής έπειτα θα σημειώσει τα συμβάντα που έχουν ενδιαφέρον για περαιτέρω έρευνα από την ομάδα αντιμετώπισης περιστατικών.

      Για να το δώσω με παράδειγμα.
      Το Honeypot λειτουργεί κάπως έτσι:
      Έχεις ένα σπίτι με κάμερες. Μπαίνει ένας διαρρήκτης μέσα. Εσύ παρατηρείς τι κινήσεις κάνει και πως εξολοθρεύει τυχόν κλειδαριές συναγερμούς κτλ.. Έτσι μαθαίνεις τους νέους τρόπους εισόδου κτλ που χρησιμοποιούν οι κλέφτες.(τον αφήνεις να μπει μέσα και να κλέψει στην ουσία)

      Το IDS λειτουργεί κάπως διαφορετικά.
      Έχεις ένα σπίτι με συναγερμό. Μπαίνει ένας διαρρήκτης μέσα. Βαράει ο συναγερμός ανίχνευσης κίνησης... Αφού διαπιστώσεις ότι όντως αυτός είναι κλέφτης και όχι κάτι άλλο αθώο μελετάς τις κινήσεις και τις περνάς στο σύστημα οπότε την επόμενη φορά που θα γίνει το ίδιο να ξέρεις ότι προσπαθεί να μπεί κλέφτης.
      Πολύ απλοικό το παράδειγμα...sorry
      Αν κάνω κάτι λάθος διορθώστε με...
    1. Το avatar του μέλους drhouse
      drhouse - 20-11-08, 19:30
      Παράθεση Αρχικό μήνυμα από manual2100 Εμφάνιση μηνυμάτων
      Το IDS λειτουργεί κάπως διαφορετικά.
      Έχεις ένα σπίτι με συναγερμό. Μπαίνει ένας διαρρήκτης μέσα. Βαράει ο συναγερμός ανίχνευσης κίνησης... Αφού διαπιστώσεις ότι όντως αυτός είναι κλέφτης και όχι κάτι άλλο αθώο, τον αποτρέπεις από το να μπεί μέσα. Αν όμως είχε μπει μια γάτα εσύ μελετάς τις κινήσεις, τις περνάς στο σύστημα, οπότε την επόμενη φορά που θα γίνει το ίδιο να ξέρεις αυτό ήταν γάτα και δεν μπήκε κάποιος (ή το αντίθετο)
      Πολύ απλοικό το παράδειγμα...sorry
      Αν κάνω κάτι λάθος διορθώστε με...
      Μάλλον θέλεις να πεις Intusion Prevention System (IPS).
    1. Το avatar του μέλους manual2100
      manual2100 - 20-11-08, 19:57
      το διόρθωσα, δεν είμαι καλός στα παραδείγματα
    1. Το avatar του μέλους Reb0rn
      Reb0rn - 20-11-08, 20:50
      μια μικρη συμπληρωση οσο αφορα την διαφορα ids και honeypots.

      τα ids μπορει να ειναι και ενσωμετωμενα πανω σε δικτυακο εξοπλισμο ( p.x. routers ) ενω τα honeypots ειναι παντα σε καποιον Η/Υ .


      Πολυ καλο το αρθρο drhouse και ναι τα ips ειναι παρακλαδι των ids και μπορεις να θεωρησεις και τα firewalls ips συστηματα αφου η μονη διαφορα των ids με τα ips ειναι οτι "πρατουν" κατα την προσπαθεια "εισοδου"
    1. Το avatar του μέλους drhouse
      drhouse - 20-11-08, 22:31
      Παράθεση Αρχικό μήνυμα από Reb0rn Εμφάνιση μηνυμάτων

      τα ids μπορει να ειναι και ενσωμετωμενα πανω σε δικτυακο εξοπλισμο ( p.x. routers ) ενω τα honeypots ειναι παντα σε καποιον Η/Υ .
      Πολύ σωστά μας τα λες.
      Να υπενθυμίσω πως τα honeypots ΔΕΝ τα τοπουετούμε επάνω σε production systems παρά σε ξεχωριστά μηχανάκια.

      Παράθεση Αρχικό μήνυμα από Reb0rn Εμφάνιση μηνυμάτων
      ναι τα ips ειναι παρακλαδι των ids και μπορεις να θεωρησεις και τα firewalls ips συστηματα αφου η μονη διαφορα των ids με τα ips ειναι οτι "πρατουν" κατα την προσπαθεια "εισοδου"
      Ναι συμφωνώ μαζί σου.
      Και το wireshark (network analyzer) που χρησιμοποιώ μερικές φορές το αισθάνομαι σαν ένα IDS μιας και με ενημερώνει για πολλά γεγονότα ...
    1. Το avatar του μέλους strategy
      strategy - 18-12-08, 19:41
      Γεια σας! Είμαι καινούργια στο φόρουμ και βρήκα αυτό το θέμα αναζητώντας παραδείγματα για τα honeypots. Ήθελα να σας ρωτήσω μήπως ξέρετε κάποια σελίδα ή κάτι σχετικό όπου θα μπορούσα να βρω εφαρμογές (παραδείγματα με screenshots και άλλα)από διάφορα προγράμματα honeypots, honeynets, honeybots etc?