Estoy usando una caja de Linux como firewall y enrutador. Instalaría un sistema ejecutando honeypots como kippo, dionaea o glastopf detrás de él. Mi honeypot está en IP privada y todos los puertos requeridos se están redirigiendo desde la IP pública de (iptables) del firewall hacia la IP privada de la máquina de honeypots.
¿Es este un buen enfoque para implementar un honeypot? Noté que detrás del firewall, las dioaneas capturan menos malware en comparación con la IP pública
La arquitectura que está sugiriendo le permitiría capturar tráfico potencialmente malintencionado dirigido a servicios que se ejecutan en los puertos que reenvía desde la dirección IP pública.
Si ese es tu objetivo, entonces parece un enfoque razonable. Una sugerencia, dependiendo de cuánto confíe en el software de honeypot, sería aislar las máquinas de honeypot en su propia red lógica, de modo que si un atacante se sale de ellas, tienen más dificultades para atacar otros sistemas en su entorno.
La diferencia principal que puedo ver entre ese enfoque y colocar a los honeypots "fuera" del firewall es que no es necesario mantener las reglas del firewall para permitirles el tráfico y, si están comprometidos, es probable que haya menos riesgo. las otras áreas de su red.