web-dev-qa-db-ja.com

ホームネットワーク上のハニーポットは、私を学ぶのに役立ちます

私はかなりまともな(IMO)Webアプリ浸透テスターですが、他のセキュリティ分野の知識を広げたいと思っています。私は仕事で強化されたsysadminの役割を引き受けたばかりなので、ネットワークとオペレーティングシステムのセキュリティについてもっと学ぶことを試みる良い機会になると思いました。

一般的に、私は幅広いセキュリティの概念をある程度理解していると思いますが、ネットワーキングは私にとって主要で主要な盲点です。

さて、質問:私は、脆弱性のあるマシンを侵害する意図を持って、ホームネットワーク上で脆弱なマシンを公開することは良い考え( "良い考え")かもしれないと考えていました。私の計画では、さまざまな監査ツール(tripwire、logwatch、samhainなど)をインストールして、侵害されたシステムで事後分析を実行する実際の経験を提供することです。

しかし、私は明らかにそうすることをためらっています。なぜなら、私はハニーポットマシンのみに攻撃者を限定できると確信しているわけではないからです。だから-どうすればいいですか?

私の理解の及ぶ限り(これもネットワーキングに関してはかなり貧弱です)、これにはハニーポットシステムをDMZをネットワーク上に配置することが含まれます。これまでこれまで行ったことはありません。 。

最初は、DMZを2つの方法で適用できると考えていました。

  1. DMZマシンを指定して、ルーターでIPを静的にマッピングします
  2. 同様に、残りのLANからMACアドレスをブロックする

でも、もう少し考えてみたら、その計画を疑い始めました。 rootアクセスを持つ不正なユーザーは1)静的IPを変更し、2)MACをフラッシュできませんでしたか?それで彼はDMZから出て、私のホームネットワークに入るでしょうか?

上記はナンセンスの束かもしれません。繰り返しますが、これは私にとって盲点です。私が非常にばかげた質問であなたの時間を無駄にしたなら、私を許してください:)

みんな、ありがとう。

honeypot
25
Chris Allen Lane

特にあなたのネットワーク経験の欠如を考えると、それは私にとってあなたのホームネットワークに大きなリスクのように聞こえます:)あるいは、あまりお金をかけずにそれをクラウドにデプロイしてそこで見ることもできます。

DMZの設計に関するヒントについては、背景とその他の回答について DMZ(Wikipedia) を参照してください。 DMZネットワークとホームネットワークの間のネットワーク分離を提供する実際のファイアウォールノードがない限り、それは実際にはDMZではありません。

14
nealmcb

これを実行したい場合、次の2つのことがあなたの人生を少し安全にするかもしれません:

  • ネットワークから完全に分離する(@nealmcbの回答とリンクを参照)
  • honeynet.org でhoneynetプロジェクトをチェックして、事前構成済みのスクリプトやVMなどを確認してください。
10
Rory Alsop

経験を積む方法はたくさんあります。 metasploitのガイドに従って 侵入テストラボをセットアップする方法 を実行し、自分でシステムを攻撃して、ログツールまたはセキュリティツールがアクティビティを検出したかどうか、およびその方法を観察できます。

学習目的の場合、上記を実行すると、原因と結果をたどるのがはるかに簡単になります。

チェックアウト http://old.honeynet.org/scans/index.htmlhttp://old.honeynet.org/misc/chall.html

「今月のスキャン」チャレンジへようこそ。これらの課題の目的は、セキュリティコミュニティが実際の攻撃をデコードするためのフォレンジックおよび分析スキルを開発するのを支援することです。

Honeynetの課題の良い点は、上位の回答を読んで、攻撃がどのように解明されたかを確認できることです。

グーグルで回れば、学ぶことができる多くの法医学的な課題を見つけることができます。別の例は http://forensicscontest.com/ です。

9
Tate Hansen

Nealmcbが示唆しているように、明らかなネットワークエクスペリエンスの欠如を考えると、相互作用の高いハニーポットを実行しようとしないこともお勧めします。

他にも試してみることができる解決策がありますが、それはすべて、正確に監視する対象によって異なります。ログやキーストロークのキャプチャなどすべてを備えた既製のハニーポット実装が世に出ていますが、それらはあなたが集中したいタスクに固有のものです。

たとえば、新しいワームを捕獲しようとするマルウェア研究者は、Linuxシステムでrootになった場合、別の techniques 見ようとする人々とは異なる どのようなシェルコマンドを試すか を使用します。また、他の人々は Webサイトスキャナーのアクションを監視するためのハニーポット を使用して、新しい種類のSQLインジェクションの試みや他の不正行為を確認することを好みます。アップロードされたファイル、コマンドログ、監査レコードをキャプチャしますか、それとも定期的なメモリダンプを取得しますか?特定のハニーポットは特定のデーモンのみをエミュレートするものもあれば、完全なオペレーティングシステムをエミュレートするものもあれば、通常のオペレーティングシステムで使用するカーネルモジュールにすぎません。

その見た目から、あなたはあなたが Sebek の領域でもっと何かを望んでいるように見えます。

一般的に、このページを見てください。さまざまな種類のハニーポットがリストされています。 http://www.honeynet.org/project

私の個人的な好みは Kippo であり、SSHエミュレートハニーポットです。これは、次のような非常に面白い結果をもたらすことがあります。 http://www.youtube.com/watch?v=oJagxe-Gvpw

9
john