Sto usando una linux box come firewall e router. Installerei un sistema con honeypot in esecuzione come kippo, dionaea o glastopf. Il mio honeypot è su IP privato e tutte le porte richieste vengono reindirizzate dall'IP pubblico di (iptables) il firewall verso l'IP privato della macchina honeypots.
Questo è un buon approccio per la distribuzione di un honeypot? Ho notato che dietro il firewall, dioanea cattura meno malware rispetto all'IP pubblico
L'architettura che stai suggerendo ti consentirà di acquisire traffico potenzialmente dannoso diretto ai servizi in esecuzione sulle porte che inoltrerai dall'indirizzo IP pubblico.
Se questo è il tuo obiettivo, allora sembra un approccio ragionevole. Un suggerimento, a seconda di quanto ti fidi del software honeypot, sarebbe quello di isolare le macchine honeypot nella loro rete logica, in modo tale che se un utente malintenzionato le interrompe, hanno più difficoltà ad attaccare altri sistemi nel tuo ambiente. p>
La differenza principale che posso vedere tra questo approccio e mettere gli honeypot "fuori" dal firewall è che non avresti bisogno di mantenere le regole del firewall per consentire il traffico verso di loro e anche se sono compromesse ci sono probabilmente meno rischi per le altre aree della tua rete.