marcello ha scritto:
pensavo pertanto di installare un linux con su honeyd e quindi creare
una decina di apparati finti tra cui windows e cisco, mettere degli
avvisi e quindi sedermi ad aspettare.
pensate sia un approccio corretto (tenendo conto che la mia rete non
e' molto complessa, essendo flat e avendo non piu' di 40 server e un
paio di centiaio di client)?
Ciao Marcello,
non voglio darti una risposta alla Obi-Wan-Kenoby... però la forza della
honeypot sta nel quanto tu riesca renderla il più vicina alla tua realtà.
Il consiglio che ti do io quindi è di installare honeyd con farpd e di
emulare i servizi più comuni che hai sulla tua rete.
Chiariamoci, trattandosi di una honeypot a bassa interazione, il fine
tuo sarà solo ed esclusivamente quello della detection, non puoi
chiedere di più.
a questo, chiaramente, agganciaci anche un efficiente sistema NIDS.
ti consiglio di farti un giro su questi papers:
http://www.honeynet.org/papers/individual/
a presto,
Federico
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
