我有兴趣看看有谁在这里pipe理大型环境(200-500个服务器),并且拥有非常大的公众客户群(100,000+),是否已经build立(或者至less已经考虑build立)一个蜜jar? 我特别感兴趣的是那些提供恶劣/恶意/敌对networking服务的人。
如果你已经设置了一个,你可以详细说明你的经验吗? 事实上,如果你不认为你的环境很大,请评论一下,即使是一个包含一些敌对networking的小环境也是完美的!
我打算在自己的工作地点设立一个,但是自然而然地,这要从pipe理层的几次战斗开始。 有风险 – 最大的风险是设置不正确,生产服务器join你的蜜jar“群集”,或简单地说有关你的networking的信息泄漏出去(任何信息都是太多的信息)。
生产蜜jar用于帮助组织保护其内部IT基础设施,而研究蜜jar用于积累证据和信息,以研究黑客或黑客的犯罪攻击模式和动机。
生产蜜jar对组织尤其是商业有价值,因为它有助于减less或减轻特定组织面临的风险。 生产蜜jar通过维护其IT环境来识别攻击来保护组织。 这些生产蜜jar在攻击有犯罪意图的黑客时非常有用。 生产蜜jar的实现和部署要比研究蜜jar容易。
你想Honeyd – Honeyd是一个在networking上创build虚拟主机的小型守护进程。 主机可以configuration为运行任意的服务,并且他们的个性可以被调整,以使他们似乎运行某些操作系统。 Honeyd使单个主机可以声称多个地址 – 我已经testing了高达65536 – 在局域网上进行networking仿真。 Honeyd通过提供威胁检测和评估机制来提高networking安全。 它也通过在虚拟系统中间隐藏真实系统来阻止对手。
蜜jar对于任何环境都是极其有用的,他们不需要任何幻想或疯狂。
我们做的例子是:
– 在他的邮箱里有一些伪造的链接(比如用户目录链接,支付链接等都指向一个内部服务器),或者在邮件服务器(比如说userX)上创build一个假帐户。 现在我们监视通过日志访问这些页面的情况,我们知道如果我们看到访问这些页面是因为有人正在阅读别人的电子邮件或打破了系统。
– 将未使用IP的未发布系统添加到我们的networking。 任何访问他们可能是由扫描或可能是configuration错误的系统(是的,它发生)。
还有很多其他的东西……这些小蜜jar很容易设置,好处是惊人的。 我们甚至有一个系统pipe理员因为查看虚假工资链接而被解雇。
我必须坦率地说,如果我是你的经理,我会在开始之前closures这个想法。 在大型IT环境中build立蜜jar的风险太多,没有任何好处。
你能详细说明你为什么要这样做吗? 蜜jar不是主要限于安全研究人员吗? 你想达到什么目的?