Tu olla de miel será tomada por el atacante; ese es el punto. Entonces, cualquier cosa que se pueda hacer desde esa máquina será otorgada al atacante. Por lo tanto, debe configurar las cosas de manera que el atacante no obtenga ningún poder nuevo de esa manera. Esto significa lo siguiente:
-
Todas las demás máquinas de su red DEBEN considerar la olla de miel como hostil (después de todo, es la máquina del atacante, o lo será en algún momento).
-
¡Cuidado con IPv6! Muchos sistemas operativos habilitan algunas redes IPv6 de nivel de enlace de forma predeterminada, y el atacante podría utilizarlas. Mejor coloque su tarro de miel en una subred propia (su VM debería poder hacer eso).
-
Debería intentar bloquear el tráfico saliente de la olla de miel. De lo contrario, el atacante puede usarlo como un relé para comenzar a atacar a otros sistemas externos, y ese segundo ataque parecerá provenir de la red su . En el mejor de los casos, es posible que pueda demostrar que solo fue una víctima inocente, pero se podría afirmar que al establecer una máquina débil que podría usarse como un relé, se convirtió en un cómplice . Debe bloquear las conexiones TCP salientes, y para los paquetes UDP, solo permita la solicitud de DNS a un servidor específico (por ejemplo, el 8.8.8.8 de Google).
Si su tecnología de máquina virtual es VirtualBox , consulte el manual . Probablemente querrá usar redes solo de host y configurar reglas de firewall en la nueva interfaz de bucle de retorno que VirtualBox agregará al host.
Uno puede adivinar que no soy un gran fanático del concepto del tarro de miel. Es algo divertido, y una buena herramienta de investigación para estudiar el comportamiento de los atacantes, pero también es riesgoso, tanto técnica como legalmente.