Suricata Regole IPS per honeypot

2


Ho un honeypot ad alta interazione molto semplice e ho appena installato una VM come un IPS (suricata) con un bridge trasparente tra il mio router e l'honeypot. L'installazione è simile a questa:

[Router] <----> [ IPS ] <-------> [ Honeypot ]

Il mio problema è che gran parte della regola IPS è progettata per eliminare / avvisare il traffico dannoso noto.

Il mio obiettivo è quello di consentire a tutto il traffico di entrare e di avere una goccia per impostazione predefinita per le connessioni in uscita.

Per quanto riguarda la politica di drop per impostazione predefinita, vorrei specifiche regole per consentire aspetti specifici come risposta SSH, risposta HTTP, Wget, APT (per gli aggiornamenti honeypot e così gli attaccanti possono effettivamente scaricare e testare malware sull'honeypot).

L'idea generale è di lasciare entrare tutti gli attacchi e bloccare tutto il traffico in uscita dannoso che potrebbe danneggiare altri server. Una sorta di sicurezza positiva rispetto a un approccio di sicurezza negativo.

Qualcuno sa come potrei iniziare una serie di regole che si adattano meglio a questo scenario, o, meglio ancora, raccomandare una politica migliore per il mio IPS?

    
posta user2284355 17.09.2013 - 17:01
fonte

2 risposte

3

In alternativa, puoi semplicemente acquisire tutto il traffico come pcap ed eseguire le regole di snort nella modalità offline per ricerca / investigazione.

    
risposta data 02.10.2013 - 22:15
fonte
1

a causa della direzione - natura di snort-sigs (src - > dst) occorrono 2 installazioni diverse, una che protegge il flusso in entrata, una che connette il flusso in uscita, se si desidera snortify non solo in entrata, ma anche connessioni in uscita. ancora meglio, avere per ogni direzione una NIC.

Secondo: suricata è un IDS e può essere reso un IPS, forse dovresti provare a capire la differenza e cosa devi fare (o meno) per rendere il tuo IDS un IPS.

per bloccare le cose in uscita, iptables sarebbe più sufficiente, basta bloccare (ma registrare) qualsiasi cosa tranne la porta 22/80/443 e forse le porte irc.

    
risposta data 18.09.2013 - 09:09
fonte

Leggi altre domande sui tag