Sono un collaudatore di penetrazione di applicazioni web abbastanza decente (IMO), ma sono desideroso di ampliare la mia conoscenza di altre aree di sicurezza. Dato che ho appena assunto un ruolo di sysadmin potenziato nel mio lavoro, ho pensato che sarebbe stata una buona opportunità per cercare di saperne di più sulla sicurezza della rete e del sistema operativo.
In generale, direi che ho una conoscenza decente dei concetti di massima sicurezza, ma il networking è un importante punto di non ritorno per me.
Ora, la domanda: stavo pensando che potrebbe essere una buona idea ("buona idea") lasciare una macchina vulnerabile esposta sulla mia rete domestica, con la piena intenzione di vederla violata. Il mio piano è installare i vari strumenti di auditing (tripwire, logwatch, samhain, ecc.) Per darmi un'esperienza del mondo reale nell'eseguire post-mortem su sistemi compromessi, perché qui ho poca esperienza.
Ovviamente sono riluttante a farlo, perché non sono sicuro al 100% di poter confinare gli attaccanti alla macchina honeypot. Quindi, come posso farlo?
Per quanto mi riguarda (che è ancora piuttosto scarso, quando si parla di networking) ciò comporterà il posizionamento del mio sistema honeypot nella DMZ sulla mia rete. Non l'ho mai fatto prima.
Inizialmente pensavo di poter applicare la DMZ in due modi:
- mappare staticamente l'IP sul router, designando la macchina DMZ
- allo stesso modo, blocca l'indirizzo MAC dal resto della LAN
Quando ci ho pensato un po 'di più, però, ho iniziato a dubitare di quel piano. Non è possibile che un utente canaglia con accesso root 1) modifichi il suo IP statico e 2) flash il MAC? Lo farebbe uscire dalla DMZ e sulla mia rete domestica?
Quanto sopra può essere un mucchio di sciocchezze. Di nuovo, questo è un punto cieco per me. Per favore perdonami se ho perso tempo con una domanda molto stupida:)
Grazie a tutti.