Come impostare una rete per un honeypot?

3

Questo è un follow-up per come configurare una macchina virtuale per Honeypot? .

Dopo aver configurato la tua macchina virtuale. Devi assicurarti che la tua rete sia configurata correttamente in modo da non finire per infettare l'intera rete! Quindi questa è una parte piuttosto importante del processo quando si imposta un honeypot.

  • Quali sono alcune delle cose che devono essere considerate quando si imposta la rete?
  • Dev'essere una DMZ?
  • Se il mio hardware non supporta configurazioni avanzate, posso ancora impostare un contenitore per il miele?
  • Gli altri computer della rete devono disporre di configurazioni di rete speciali?

Come faccio ad impostare correttamente la mia rete per un honeypot?

    
posta Digital fire 12.10.2012 - 18:35
fonte

1 risposta

6

Il tuo vaso del miele sarà preso dall'attaccante; questo è il punto. Quindi qualsiasi cosa che può essere fatto da quella macchina sarà il potere concesso all'attaccante. Pertanto, dovresti configurare le cose in modo tale che l'attaccante non ottenga alcun nuovo potere in quel modo. Ciò significa quanto segue:

  • Tutte le altre macchine nella tua rete DEVONO considerare il vaso di miele come ostile (dopotutto, è la macchina dell'attaccante - o lo sarà a un certo punto).

  • Attenzione a IPv6! Molti sistemi operativi abilitano alcune reti IPv6 a livello di collegamento per impostazione predefinita e potrebbero essere utilizzate dall'attaccante. Meglio posizionare il tuo vaso di miele in una sottorete (la tua VM dovrebbe essere in grado di farlo).

  • Dovresti sforzarti di bloccare il traffico in uscita dal contenitore del miele. Altrimenti, l'attaccante può usarlo come relè per iniziare ad attaccare altri sistemi esterni e quel secondo attacco sembrerà provenire dalla tua rete. Nel migliore dei casi, potresti essere in grado di dimostrare di essere solo una vittima innocente, ma si potrebbe affermare che impostando una macchina debole che potrebbe essere utilizzata come relay, sei diventato un complice . È necessario bloccare le connessioni TCP in uscita e, per i pacchetti UDP, consentire solo la richiesta DNS a un server specifico (ad esempio Google 8.8.8.8).

Se la tua tecnologia VM è VirtualBox , vedi il manuale . Probabilmente vorrai utilizzare networking solo host e configurare le regole del firewall sulla nuova interfaccia di loopback che VirtualBox aggiungerà all'host.

Si può intuire che non sono un grande fan del concetto di vaso di miele. È un po 'divertente e un ottimo strumento di ricerca quando si studia il comportamento degli aggressori, ma è anche rischioso, sia dal punto di vista tecnico che legale.

    
risposta data 12.10.2012 - 20:15
fonte

Leggi altre domande sui tag