Rilevamento intrusioni: configurare honeyd per simulare una rete marzo 31, 2008
Inviato da davide in : Informatica, Linux, Tecnologia , 1 commento finora
Gli honeypot sono strumenti molto utilizzati oggi, solitamente in reti di medie e grandi dimensioni, per “distrarre l’attenzione” degli hacker dalle macchine di produzione e dai veri server, consentendo al contempo un efficace rilevamento delle intrusioni.
Un honeypot non è altro che una macchina “fasulla” il cui unico scopo è di simulare uno o più servizi che possono essere attaccati da un malintenzionato. Tipicamente un honeypot può essere una macchina dedicata o un host virtuale, simulato su una macchina reale. Non sto qui ad approfondire l’argomento, che è ampio e piuttosto complesso. Per chi fosse interessato, alla fine dell’articolo troverà una lista di link a pubblicazioni molto interessanti.
Configureremo honeyd, un software open source (http://www.honeyd.org) in grado di simulare host virtuali di ogni tipologia su una rete. Il progetto è molto usato anche in ambito di ricerca, e permette di simulare diversi sistemi operativi e router in commercio, simulando ad esempio i fingerprint di nmap. Inoltre, ogni host può esser configurato per rendere disponibili all’esterno diversi servizi, ad esempio HTTP, SMTP, SSH che potranno poi essere sfruttati da un eventuale attaccante. Con honeyd si può simulare un intera topologia di rete, impostare route, tempi di latenza e altro… (continua…)
