Ho un honeypot ad alta interazione molto semplice e ho appena installato una VM come un IPS (suricata) con un bridge trasparente tra il mio router e l'honeypot. L'installazione è simile a questa:
[Router] <----> [ IPS ] <-------> [ Honeypot ]
Il mio problema è che gran parte della regola IPS è progettata per eliminare / avvisare il traffico dannoso noto.
Il mio obiettivo è quello di consentire a tutto il traffico di entrare e di avere una goccia per impostazione predefinita per le connessioni in uscita.
Per quanto riguarda la politica di drop per impostazione predefinita, vorrei specifiche regole per consentire aspetti specifici come risposta SSH, risposta HTTP, Wget, APT (per gli aggiornamenti honeypot e così gli attaccanti possono effettivamente scaricare e testare malware sull'honeypot).
L'idea generale è di lasciare entrare tutti gli attacchi e bloccare tutto il traffico in uscita dannoso che potrebbe danneggiare altri server. Una sorta di sicurezza positiva rispetto a un approccio di sicurezza negativo.
Qualcuno sa come potrei iniziare una serie di regole che si adattano meglio a questo scenario, o, meglio ancora, raccomandare una politica migliore per il mio IPS?