Configurar una máquina virtual segura y proteger la red del host

Estás tomando el enfoque equivocado aquí. El propósito (el verdadero propósito inicial) de un honeypot como se define en Lance Spitzner era atrapa a alguien dentro de un sistema que parece estar lleno de suficientes elementos para que el atacante pierda el tiempo allí, dando a los administradores el tiempo suficiente para evitar que hagan daño en otros lugares, mientras los estudian. La primera versión de código abierto que recuerdo fue Deception Toolkit (DTK). Dicho esto, un honeypot nunca estuvo destinado a estar en una red aislada.

El aislamiento de su red probablemente hará que su honeypot no sea atractivo. En el mismo token, ejecutarlo en una red corporativa es peligroso. Muchos atacantes tienen métodos para detectar qué es y qué no es un honeypot. Por lo tanto, los honeypots a menudo atrapan ataques oportunistas de bajo nivel. Por lo tanto, tenga en cuenta que ejecutar un honeypot en una red corporativa activa es una mala idea para un aficionado. Así que en tu pregunta, y algunas sugerencias.

Aislando su máquina virtual : dependiendo de su host y su invitado, desearía minimizar la visibilidad de las aplicaciones de virtualización. Por ejemplo, la tarjeta de red (vmnet0 es un regalo), applets, etc. La creación de reglas FW simétricas bloquea a su red, y DESDE su red. Eso sin embargo, es un ceder muerto. ¿Siguiente movimiento? VLAN separada aislada incluso de ver su red. ¿Abajo? Si fueras un atacante y vieras una red vacía sin conexiones, ¿te quedarías en el sistema si originalmente pensabas que era un sistema corporativo?

Sugerencia : descargue y modifique " NetInVM " y coloque su host , y NetInVM en su propia VLAN. Ahora tienes incluso MÁS honeypots y una mini red que genera tráfico. Se encuentra en una red aislada donde su conmutador / enrutador / firewall controla las políticas de tráfico para no permitir la comunicación hacia y desde su honeypot. (incluyendo ARP, BCAST, MCAST, etc.) Pero tenga en cuenta que ... Su honeypot necesita conexiones del mundo. Si un atacante se conecta, él / ella también puede conectarse DESDE. Imagina lo siguiente:

Attacker --> compromised your honeypot
Attacker --> makes outbound connection FROM your honeypot --> C&C server
Attacker --> analyzes the source of WHO connected to his honeypot
Attacker <-> (thinks) <-> "Odd says I am connecting from a Fortune 100 yet no traffic"
Attacker --> goes dark

Un honeypot debe ser creíble.

Hay varias maneras de hacer esto. Pocos que vienen a la mente son la separación física o el filtrado lógico de paquetes.

1. Su VM se puede configurar para escuchar en su propia interfaz de red física. Siempre y cuando tengas un host múltiple; puede hacer que una VM escuche en una tarjeta de red particular; y también se acaba de enviar en eso. Solo puede acceder a su máquina virtual por consola o por RDP / SSH en esa dirección IP.

2. Usted protege su máquina host de esa máquina virtual usando un firewall. Su máquina virtual escucha en una interfaz virtual en particular ( /dev/vmnetX ) en la que podría evitar que se escapen paquetes. Si elimina los paquetes que vienen de esta red para ir a cualquier dirección que no desee (su red interna, ...), sería difícil para un atacante llegar a su red. Nuevamente, si su conjunto de reglas es robusto.

Por supuesto, esto se debe a que es difícil salir de la VM e ingresar al sistema operativo host.