Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Einstellen der SSH-Honeypot-Erkennung

Ein Honeypot, der in einem Kundenunternehmensnetzwerk bereitgestellt wird, kann verwendet werden, um Netzwerkaktivitäten zu erkennen, die durch Malware erzeugt werden, die versucht, andere Computer in einem lokalen Netzwerk zu infizieren oder anzugreifen. Versuchte SSH-Anmeldung Honeypots werden verwendet, um die Erkennung von lateralen Ausbreitungsereignissen zu ergänzen. Ein Honeypot kann auf einem Traffic Collector des Kunden bereitgestellt werden, von dem Ereignisinformationen zur Verarbeitung an den Juniper ATP Appliance Core gesendet werden. Kunden können einen Honeypot in jedem beliebigen lokalen Netzwerk platzieren.

Ein böswilliger Akteur, der versucht, einen Brute-Force-SSH-Eintrag durchzuführen oder gezielten SSH-Zugriff auf ein "Root"-Konto auszuführen, wird ebenfalls von der SSH-Honeypot-Funktion der Juniper ATP Appliance erkannt.

Die Ergebnisse von SSH-Honeypot-Erkennungen werden auf der Seite "Vorfälle" der Web-Benutzeroberfläche von Central Manager angezeigt und in generierten Berichten enthalten.

Zu den Daten, die für Honeypot-Erkennungsereignisse an das GSS der Juniper ATP Appliance gesendet werden, gehören "Bedrohungsziel" und eine detaillierte Beschreibung aller versuchten "SSH-Sitzungen" (einschließlich Benutzername und Passwort) mit Zeitstempeln.

Anmerkung:

Für SSH Honeypot Ateral Detection-Konfigurationen ist eine Juniper ATP Appliance Enterprise-Lizenz erforderlich.

Ein Honeypots kann auf einem All-in-One-System der Juniper ATP Appliance oder auf einem reinen Traffic Collector-Gerät betrieben werden, solange der Host über genügend physische Schnittstellen verfügt. Jeder Honeypot verwendet zwei Schnittstellen, eine nach außen gerichtete Schnittstelle für Internet-/Intranet-Datenverkehr und eine für die interne Host-to-Guest-Kommunikation. Das bedeutet, dass jeder Honeypot die eth3-Schnittstelle für den gesamten ausgehenden Datenverkehr verwendet.

Trinkgeld:

Beachten Sie, dass eth3 nicht unbedingt die vierte Schnittstelle auf einem Gerät ist. Auf einem reinen Collector-Gerät mit drei Schnittstellen heißen die Schnittstellen eth0, eth1 und eth3. Ein Kollektor mit vier Schnittstellen verwendet die Benennung eth0, eth1, eth2 und eth3. Wenn ein Collector weniger als drei Schnittstellen hat, kann die Honeypot-Funktion nicht aktiviert werden. Ein All-in-One-Gerät benötigt mindestens vier Schnittstellen für die Honeypot-Funktion, da die 3. Schnittstelle bereits als Analyse-Exhaust-Schnittstelle reserviert ist.

SSH Honeypot wird über die Geräte-CLI der Juniper ATP Appliance konfiguriert. Es gibt zwei Parameter, die für einen Honeypot eingestellt werden können:

  • Aktivieren/Deaktivieren des Honeypots

  • Bereitstellen einer statischen IP (IP, Maske und Gateway) oder DHCP der öffentlich adressierbaren Schnittstelle

Anmerkung:

Für die statische IP-Konfiguration ist keine DNS-Konfiguration erforderlich. Derzeit benötigen Honeypots keinen DNS-Server.

Weitere Informationen:

  • Informationen zur Verwendung der SSH-Honeypot-Befehle finden Sie in der CLI-Befehlsreferenz.

  • Informationen zu Honeypots und seitlichen Erkennungen finden Sie in der Bedienungsanleitung.