Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Есть ли смысл ставить Honeypot в корпоративной сети?
 
Добрый день!
Интересует мнение опытных админов, особенно безопасников. Есть ли смысл  настраивать honeypot в локальной корпоративной сети ? Сам я думаю что  смысл есть, но сомневаюсь, охота услышать еще мнения.
Что я понимаю под Honeypot это железная Wondows 7 / xp / server 2008/2003, без необходимых  патчей, при необходимости можно поднять какие либо сервисы (FTP, SMB,  HTTP  и тп.). На данной машине мы запускаем мониторинг всего и вся  (смотрим сеть - кто откуда подключается, смотрим процессы, подключенных  пользователей, логи системы, доступ к файлам и тп.) Параллельно мы  настраиваем зеркало порта на котором сидит данная машина и весь трафик  направляем либо в IDS либо  просто его собираем каким нибудь ПО. Далее  если срабатывает один из триггеров мы вырубаем нашу подставную машину и  анализируем собранную информацию - находим злоумышленника или хотя бы узнаем что такие  есть и думаем что делать дальше.

Вот какие плюсы вижу я:
1) Если злоумышленник каким нибудь образом проник в сеть  благодаря  Honeypot у нас появляется шанс обнаружить его (за счет того что мы  увидим любое обращение к  нашей приманку)
2) Установив такую приманку мы не уменьшаем безопасность нашей сети. Я  исхожу из того что злоумышленник уже в нашей сети (как то проник в нее)  мы просто о нем не знаем. Данная приманка не доступна из интернета,  только в локальной сети, поэтому к ней попасть можно только изнутри с  какого либо устройства в локальной сети.
3) Данное решение как бы дополняет существующие способы защиты (Firewall, ids, антивирус и тп.)

Если кто знает что нибудь подобное из коммерческих либо бесплантых систем или кто то делал подобное.
 
Смысл попробовать есть лично я думаю.
Страницы: 1
Читают тему (гостей: 1)