Toon posts:

Honeypot oplossing voor meerdere netwerken

Pagina: 1
Acties:
  • 637 views

donderdag 12 maart 2020 22:57

Acties:
  • 0 Henk 'm!
  • Patatties
  • Registratie: Maart 2020
  • Laatst online: 25-07-2022

Patatties

Topicstarter
Hallo Tweakers,

Wij beheren 50-100 verschillende netwerken, en zouden graag op elk netwerk een honeypot plaatsen om eventuele binnendringers op het netwerk te kunnen detecteren. Hiervoor willen we in elk netwerk een honeypot plaatsen, welke direct rapporteert aan een centrale server (SIEM).

In het verleden heb ik op kleine schaal wel eens Modern Honey Network gebruikt, maar dit is wel heel beperkt in functionaliteit, customizability en reporting. Ik heb behoorlijk gegoogled en ben de volgende honeypot oplossingen tegengekomen:
- MHN
- TPot
- Honeydrive

Al deze oplossingen lijken de best practise honeypots te ondersteunen. (dionaea, kippo, cowrie, etc...) Maar voor al deze oplossingen geld ook dat deze niet up-to-date, te beperkt, of zeer ingewikkeld zijn.

Nu zou ik natuurlijk iets als Canary aan kunnen schaffen. Maar dat is aan de ene kant heel duur, en aan de andere kant leer je daar natuurlijk niet zo veel van :)

Mijn vraag aan jullie is dus: Welke honeypot oplossingen gebruiken jullie? Welke best practises volgen jullie bij het opzetten van zo'n honeypot netwerk?

vrijdag 13 maart 2020 00:07

Acties:
  • +2 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 21:30

kodak

FP ProMod
Ik lees dat jullie een oplossing willen en dat die oplossing een honeypot moet zijn. Het maakt kennelijk nog niet eens veel uit welke als het maar een honeypot is. Wat ik niet lees is welke behoefte jullie hebben en waarom de oplossing dan perse een honeypot moet zijn. Wat wil je met het rapporteren en inzichtelijk maken eigenlijk echt gaan meten? Of is de bedoeling meer van we zetten wat honeypots neer en het maakt niet zo veel uit wat we wel en niet zien zolang er maar mooie grafieken en cijfers in beeld staan?

vrijdag 13 maart 2020 16:24

Acties:
  • 0 Henk 'm!
  • Patatties
  • Registratie: Maart 2020
  • Laatst online: 25-07-2022

Patatties

Topicstarter
Wat ik graag wil bereiken is dat we op onze netwerken indringers beter kunnen detecteren. We hebben wel wát detectieve controls, maar willen ons detecterend vermogen graag uitbreiden.

Een van de ideeën om beter te kunnen detecteren op onze netwerken is om honeypots te plaatsen. Daarom ben ik ermee aan de slag gegaan, om uit te zoeken hoe dat dan precies vorm zou kunnen krijgen. In eerste instantie moet het dus alleen een soort "tripwire" zijn, die ons een Alert kan geven wanneer iemand een service op de honeypot probeert te gebruiken. Dan zouden wij weten dat er potentieel een beveiligingsincident heeft voorgedaan, en kunnen we vervolg geven middels incident response e.d.

Honeypot als techniek lijkt breed gedragen, maar lijkt in het niet te vallen bij andere IDS/IPS technieken als bijvoorbeeld: Snort, Suricata, Endpoint Protection Suites, Firewalls, SIEM, e.d.

Misschien zijn honeypots voor dit doel achterhaald, of niet effectief. Of misschien heb ik onvoldoende onderzocht en mis iets super obvious. Vandaar mijn forum post.

woensdag 29 juli 2020 12:35

Acties:
  • 0 Henk 'm!
  • Petertjuh360
  • Registratie: Februari 2012
  • Laatst online: 09-09 16:08

Petertjuh360

*knip*

[ Voor 109% gewijzigd door F_J_K op 29-07-2020 14:01 ]

woensdag 29 juli 2020 14:01

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Topic schoppen om de eigen site te promoten is spam en ongewenst..

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Dit topic is gesloten.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq