Soy un probador de penetración de aplicaciones web bastante decente (IMO), pero estoy ansioso por ampliar mi conocimiento de otras áreas de seguridad. Dado que acabo de asumir algo así como un rol de administrador de sistemas mejorado en mi trabajo, pensé que sería una buena oportunidad para tratar de aprender más sobre la seguridad de la red y del sistema operativo.
En general, diría que tengo una comprensión decente de los conceptos generales de seguridad, pero las redes son un punto ciego importante para mí.
Ahora, la pregunta: estaba pensando que podría ser una buena idea ("buena idea") dejar una máquina vulnerable expuesta en la red de mi hogar, con la plena intención de que se rompa. Mi plan es instalar las diversas herramientas de auditoría (tripwire, logwatch, samhain, etc.) para brindarme experiencia en el mundo real al realizar autopsias en sistemas comprometidos, porque tengo muy poca experiencia allí.
Sin embargo, obviamente estoy indeciso de hacerlo, porque no estoy 100% seguro de poder limitar a los atacantes a la máquina de honeypot. Entonces, ¿cómo puedo hacer eso?
Según mi entender (lo cual es bastante pobre, en lo que respecta a las redes) esto implicará colocar mi sistema honeypot en la DMZ en mi red. Nunca he hecho esto antes.
Inicialmente, estaba pensando que podría imponer la DMZ de dos maneras:
- asigne estáticamente el IP en el enrutador, designando la máquina DMZ
- igualmente, bloquee la dirección MAC del resto de la LAN
Sin embargo, cuando lo pensé un poco más, empecé a dudar de ese plan. ¿No podría un usuario deshonesto con acceso de root 1) cambiar su IP estática y 2) flashear el MAC? ¿Eso lo sacaría de la DMZ y lo conectaría a mi red doméstica?
Lo anterior puede ser un montón de tonterías. Una vez más, este es un punto ciego para mí. Por favor, perdóname si he perdido el tiempo con una pregunta muy tonta :)
Gracias a todos.