Rischi di esecuzione di Honeypot [configurazione specifica]

Naviga le tue risposte
8

Ho intenzione di eseguire un Honeypot con la seguente configurazione di rete:

Per evitare che l'honeypot entri in contatto diretto con la mia rete interna, l'ho messo dietro un firewall configurato su una macchina virtuale Linux con iptables.

Ci sono le regole: 

iptables -P FORWARD DROP

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 10.0.0.5

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -d 10.0.0.5 -m state --state NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Esecuzione di una scansione delle porte su GRC Shields Up mostra correttamente le porte pertinenti da aprire. E accedendo 

netstat -antp

Mostra nessun servizio in esecuzione sulla VM Linux. Nel caso in cui questa VM venga attaccata.

Ci sono fori o errori di configurazione in questa configurazione? Ciò può portare all'honeypot che entra in contatto con la rete 192.168.1.0/24?

    
posta Kedar 06.12.2012 - 07:38
fonte

3 risposte

4

Se il router ha le sue regole di accesso per non consentire alcuna connessione dal tuo honeypot al resto della tua rete, allora dovrebbe funzionare bene. Consenti solo connessioni dalla rete di gestione o indirizzi IP all'host di macchine virtuali Linux e honeypot, in questo modo se uno dei due è compromesso, non sarà in grado di attaccare direttamente la rete.

Assicurati che non ci siano informazioni sull'host della VM linux o sull'honeypot che può essere utilizzato per attaccare la tua rete. Non utilizzare gli stessi nomi utente o password e non memorizzare alcuna informazione su di essi.

Inoltre, si spera che tu ci abbia fornito intervalli di indirizzi IP falsi, altrimenti ti vengono enumerati gli intervalli di indirizzi IP che utilizzi sulla rete, nel qual caso li cambierei.

    
risposta data 06.12.2012 - 11:36
fonte
3

GdD fa alcuni punti positivi su routing e regole di accesso, quindi non li rigurggerò. Tuttavia, ti ricorderò che stai invitando nare-do-well in un segmento della tua rete e l'unica separazione tra chiesa e stato con il tuo setup è un router, che presumo sia un dispositivo generico di livello consumer. È molto probabile che questo dispositivo perimetrale venga attaccato ad un certo punto e se scende non sembra esserci alcuna difesa di rete. Al MINIMO ASSOLUTO, raccomanderei un firewall separato tra la tua rete personale e il router. Se puoi mettere un interruttore e lì e isolare il traffico, ancora meglio.

    
risposta data 06.12.2012 - 15:24
fonte
-1

La strada da percorrere è avere 2 router. Quello superiore si connette all'honeypot (molti di questi sarebbero ancora meglio) e si connette anche a un secondo router, che quindi ha la tua rete protetta.

Per maggiore sicurezza, implementa una VPN sul secondo router, quindi anche se qualcuno supera il numero 1, non può accedere al # 2 senza l'accesso VPN.

    
risposta data 20.11.2016 - 15:33
fonte

Leggi altre domande sui tag

Protezione del server PHP Apache Debian Confusione sull'effimero Diffie-Hellman