HoneyPot sinnvoll?

Es gibt 23 Antworten in diesem Thema, welches 2.578 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

  • Hallo zusammen,


    ich habe mitbekommen dass man im Controller HoneyPot aktivieren kann.


    Das habe ich mal testweise gemacht und dann ab und zu eine Meldung erhalten

    IP von nach IP wohin auch immer (mal etwas einfach ausgedrückt.


    Meine Frage:

    Was kann man mit den Informationen anfangen bzw. wie wertet man diese am besten
    und sinnvollsten aus? Ist es nicht so dass durch die Aktivierung von HoneyPot erst
    recht gewisse Leute aufmerksam werden könnten? Ich bin jetzt nicht so der Netzwerkprofi
    in´s Detail würde mich aber sehr interessieren daher vielen Dank für eure Hilfe.


    Freundliche Grüße

  • Aktivierung von HoneyPot erst recht gewisse Leute aufmerksam werden könnten?

    Nun die Leute müssen aber in der nähe Sitzen.evt. ist es dir entgangen:

    Die Funktion kannst du NUR für interne VLAN einschalten.

    Der HonigTopf steht also sicher drinnen und wartet auf die „bösen“ Buben von intern.

    Aber ja die Dinger sind dazu da um Alarmiert zu werden und den Potenziellen Angreifer

    zu beschäftigen will er ein wertloses ziel angreift.



    Nutzen: Nun ja so lala.. im Privaten Umfeld wo Frau, Kind, Gast und du auf dein Netzwerk zugreifen

    eher weniger.. In Unternehmen schon eher aber wohl eher als Extra Host die irgendwo Luft und nicht

    as dienst auf dem Router... nach meiner Meinung ein nettes Gimmick ohne großen tiefen nutzen...

  • Das ist wie ein offener Honigtopf in deiner Küche: wenn du Ameisen im Haus hast, werden sie den Topf finden. Und du wirst die Ameisen sehen. Wenn du aber keine Ameisen im Haus hast, bleibt der Topf unangetastet.


    Genauso ist es mit einem Honeypot. Wenn du fremde Leute in deinem Netzwerk hast, werden sie versuchen, auf den Honeypot zuzugreifen und du wirst unterrichtet. Wenn nicht, dann nicht.

  • Ich habe ihn auch mal laufen lassen, um zu sehen, was er so an Meldungen ausspuckt. Wenn er bei mir als böse eingestuft hat, war mein Zabbix Server. Aber der ist ja dafür da, sich das Netz anzuschauen.
    Ich sehe es auch so, dass er im privaten Umfeld keinen großen Mehrwert bringt.

    Ich habe mal ein Test-VLAN angelegt und eine Regel "PortForward Allow [Honeypot]" l aus dem Internet auf Port 80, 443 und 21 angelegt. Mal sehen, was passiert. :winking_face:

  • Ahh es kommt, allerdings etwas verzögert. Was dort allerdings fehlt, ist der angegriffene Port 21. Man sieht schön die Zugriffe auf die Fritzbox, ist der Port 5060. Wenn ich auf 7.4.145 bin schaue ich noch einmal und werde es mal in den Release-Thread posten.

  • Das ist ein Mausklick im Controller, du brauchst keinen Container dafür.

  • Lach ja das habe ich gesehen das ich dort nur ein Netzwerk auswählen muss und dann eine IP Adresse.

    Aber macht den nicht ein Höneypot erst dann einen Sinn wenn das ein einzlnes Gerät darstellt, anstatt ein Vorhandes Gerät aus dem Netzwerk zu wählen?

    Der Honeypot ist doch da um angegriffen zu werden unm nalyse zu betreiben?

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Lach ja das habe ich gesehen das ich dort nur ein Netzwerk auswählen muss und dann eine IP Adresse.

    Aber macht den nicht ein Höneypot erst dann einen Sinn wenn das ein einzlnes Gerät darstellt, anstatt ein Vorhandes Gerät aus dem Netzwerk zu wählen?

    Der Honeypot ist doch da um angegriffen zu werden unm nalyse zu betreiben?

    mfg

    Der Honeypot ist nur dazu da anzuzeigen das da was in deinem Netz rumfuhrwerkt... Kann also auch auf deiner UDM laufen, der Angreifer ist doch eh schon in deinem Netz.

  • Achso, also ist das nicht so zu sehen ein Honypot um zu sehen was so von draussen herreinkommt und versucht Attaken aus zu führen wie zum Beispiel ein TPOT.

    Ok dann ist es nur intern , dann also für jedes VLAN einen Honeypot anlegeen und fertig richtig ?

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

  • Achso, also ist das nicht so zu sehen ein Honypot um zu sehen was so von draussen herreinkommt und versucht Attaken aus zu führen wie zum Beispiel ein TPOT.

    Ok dann ist es nur intern , dann also für jedes VLAN einen Honeypot anlegeen und fertig richtig ?

    mfg

    Korrekt, ist dafür gedacht anzuzeigen (das ding soll die anlocke) wenn irgendwelche Malware bei dir im Netz unfug treibt. Hat nichts mit irgendwelche externen Attacken zu tun, dafür ist IPS.

  • Achso, also ist das nicht so zu sehen ein Honypot um zu sehen was so von draussen herreinkommt und versucht Attaken aus zu führen wie zum Beispiel ein TPOT.

    Nein, ein Honigtopf - darum heisst der so - soll einen potentiellen Angreifer im Netz verwirren und eben auf den Honigtopf locken.

    In erster Linie sollte du dafür sorgen, das deine Firewall von außen dicht ist, dann hast auch weniger Gefahr, Unerwünschte Gäste im Netz zu haben.


    Um das Netz selber auf neue Clients zu überwachen, kann ich PiAlert empfehlen, läuft auf RasPi oder Proxmox-Container und scannt das Netzwerk nach Clients ab und kann bei unbekannten Alarm schlagen. Der arbeitet auch gut mit fem PiHole zusammen, lassen sich auch zusammen auf einem Rechner installieren.

    Problematisch ist es aber, wenn man mehrere VLAN hat, das er alle davon scannt, das wird es aufwendig.