HoneyPot sinnvoll?

Zitat von streamer2020

Aktivierung von HoneyPot erst recht gewisse Leute aufmerksam werden könnten?

Nun die Leute müssen aber in der nähe Sitzen.evt. ist es dir entgangen:

Die Funktion kannst du NUR für interne VLAN einschalten.

Der HonigTopf steht also sicher drinnen und wartet auf die „bösen“ Buben von intern.

Aber ja die Dinger sind dazu da um Alarmiert zu werden und den Potenziellen Angreifer

zu beschäftigen will er ein wertloses ziel angreift.

Nutzen: Nun ja so lala.. im Privaten Umfeld wo Frau, Kind, Gast und du auf dein Netzwerk zugreifen

eher weniger.. In Unternehmen schon eher aber wohl eher als Extra Host die irgendwo Luft und nicht

as dienst auf dem Router... nach meiner Meinung ein nettes Gimmick ohne großen tiefen nutzen...

Das ist wie ein offener Honigtopf in deiner Küche: wenn du Ameisen im Haus hast, werden sie den Topf finden. Und du wirst die Ameisen sehen. Wenn du aber keine Ameisen im Haus hast, bleibt der Topf unangetastet.

Genauso ist es mit einem Honeypot. Wenn du fremde Leute in deinem Netzwerk hast, werden sie versuchen, auf den Honeypot zuzugreifen und du wirst unterrichtet. Wenn nicht, dann nicht.

Stimmt neben Frau und Kind habe ich den Unerwünschten Gast vergessen der sich zugriff geschaffen hat.

Doch ein use case für daheim...

Ich habe ihn auch mal laufen lassen, um zu sehen, was er so an Meldungen ausspuckt. Wenn er bei mir als böse eingestuft hat, war mein Zabbix Server. Aber der ist ja dafür da, sich das Netz anzuschauen.
Ich sehe es auch so, dass er im privaten Umfeld keinen großen Mehrwert bringt.

Ich habe mal ein Test-VLAN angelegt und eine Regel "PortForward Allow [Honeypot]" l aus dem Internet auf Port 80, 443 und 21 angelegt. Mal sehen, was passiert.

So hat nur 2 MIn gedauert, bis der erst es auf Port 21 versucht hat.
Leider habe ich nichts dazu auf der neuen Oberfläche gefunden. Auf der alten kam dies hier.

Auf der neuen unter den Logs und dann Security Detections.

Aber das fehlte ne Weile und kam dann wieder bei irgendeiner ea Version (ich glaub 7.3)

Ahh es kommt, allerdings etwas verzögert. Was dort allerdings fehlt, ist der angegriffene Port 21. Man sieht schön die Zugriffe auf die Fritzbox, ist der Port 5060. Wenn ich auf 7.4.145 bin schaue ich noch einmal und werde es mal in den Release-Thread posten.

Stimmt, die eintrage kommen etwas verzögert.. bei mit nach ca 1,5 min zusammen mit der Pusch Benachrichtigung.

Schaut so aus als wenn der „honypot“ dienst da erstmal sammelt...

Hallo

Habe auch mal vor mich damit zu beschäftigen.

Ist das eigentlich schwer sowas zu installieren ?

Der würde dann als Container laufen oder ?

Danke.

Mfg

Zitat von Naichbindas

Hallo

Habe auch mal vor mich damit zu beschäftigen.

Ist das eigentlich schwer sowas zu installieren ?

Der würde dann als Container laufen oder ?

Danke.

Mfg

Alles anzeigen

Das ist ein Mausklick im Controller, du brauchst keinen Container dafür.

Lach ja das habe ich gesehen das ich dort nur ein Netzwerk auswählen muss und dann eine IP Adresse.

Aber macht den nicht ein Höneypot erst dann einen Sinn wenn das ein einzlnes Gerät darstellt, anstatt ein Vorhandes Gerät aus dem Netzwerk zu wählen?

Der Honeypot ist doch da um angegriffen zu werden unm nalyse zu betreiben?

mfg

Zitat von Naichbindas

Lach ja das habe ich gesehen das ich dort nur ein Netzwerk auswählen muss und dann eine IP Adresse.

Aber macht den nicht ein Höneypot erst dann einen Sinn wenn das ein einzlnes Gerät darstellt, anstatt ein Vorhandes Gerät aus dem Netzwerk zu wählen?

Der Honeypot ist doch da um angegriffen zu werden unm nalyse zu betreiben?

mfg

Der Honeypot ist nur dazu da anzuzeigen das da was in deinem Netz rumfuhrwerkt... Kann also auch auf deiner UDM laufen, der Angreifer ist doch eh schon in deinem Netz.

Achso, also ist das nicht so zu sehen ein Honypot um zu sehen was so von draussen herreinkommt und versucht Attaken aus zu führen wie zum Beispiel ein TPOT.

Ok dann ist es nur intern , dann also für jedes VLAN einen Honeypot anlegeen und fertig richtig ?

mfg

Zitat von Naichbindas

Achso, also ist das nicht so zu sehen ein Honypot um zu sehen was so von draussen herreinkommt und versucht Attaken aus zu führen wie zum Beispiel ein TPOT.

Ok dann ist es nur intern , dann also für jedes VLAN einen Honeypot anlegeen und fertig richtig ?

mfg

Korrekt, ist dafür gedacht anzuzeigen (das ding soll die anlocke) wenn irgendwelche Malware bei dir im Netz unfug treibt. Hat nichts mit irgendwelche externen Attacken zu tun, dafür ist IPS.

Ich kam nur deswegen drauf, weil das auch ein Honeypot ist der TPOT den kann man auf Proxmox oder so installieren...

aber danke.

mfg

Bitte, wie aktiviere ich diesen Honigtopf ? Ich habe den Controller 8.0.28, finde darin aber nix ?

schon mal Danke

Ingo

findest du unter dem Reiter Sicherheit

Zitat von Ingolf

Bitte, wie aktiviere ich diesen Honigtopf ? Ich habe den Controller 8.0.28, finde darin aber nix ?

Hast due den auch auch ein Kompatibles Gateway ?

siehe Requirements...

Die alten USG dürfen nicht mitspielen wenn ich mich rech erinnere.

Grob ab UDM/UDX/UXG

Zitat von Naichbindas

Achso, also ist das nicht so zu sehen ein Honypot um zu sehen was so von draussen herreinkommt und versucht Attaken aus zu führen wie zum Beispiel ein TPOT.

Nein, ein Honigtopf - darum heisst der so - soll einen potentiellen Angreifer im Netz verwirren und eben auf den Honigtopf locken.

In erster Linie sollte du dafür sorgen, das deine Firewall von außen dicht ist, dann hast auch weniger Gefahr, Unerwünschte Gäste im Netz zu haben.

Um das Netz selber auf neue Clients zu überwachen, kann ich PiAlert empfehlen, läuft auf RasPi oder Proxmox-Container und scannt das Netzwerk nach Clients ab und kann bei unbekannten Alarm schlagen. Der arbeitet auch gut mit fem PiHole zusammen, lassen sich auch zusammen auf einem Rechner installieren.

Problematisch ist es aber, wenn man mehrere VLAN hat, das er alle davon scannt, das wird es aufwendig.