Tengo un honeypot de alta interacción realmente simple y acabo de instalar una máquina virtual como IPS (suricata) con un puente transparente entre mi enrutador y el honeypot. La configuración se ve algo como esto:
[Router] <----> [ IPS ] <-------> [ Honeypot ]
Mi problema es que la mayoría de los conjuntos de reglas de IPS están diseñados para eliminar / alertar el tráfico malicioso conocido.
Mi objetivo es dejar entrar todo el tráfico y tener una política predeterminada para las conexiones salientes.
Sobre la caída de la política predeterminada, me gustaría reglas específicas para permitir cosas específicas como respuesta SSH, respuesta HTTP, Wget, APT (para las actualizaciones de Honeypot y para que los atacantes puedan descargar y probar malware en el Honeypot).
La idea general es dejar entrar todos los ataques y bloquear todo el tráfico saliente malicioso que pueda dañar a otros servidores. Una especie de seguridad positiva frente a un enfoque de seguridad negativo.
¿Alguien sabe cómo podría comenzar un conjunto de reglas que se ajustaría mejor a este escenario, o mejor aún, recomendar una mejor política para mi IPS?