Riesgos de ejecutar Honeypot [configuración específica]

Navega tus respuestas
8

Estoy planeando ejecutar un Honeypot con la siguiente configuración de red:

Para evitar que el honeypot entre en contacto directo con mi red interna, lo coloco detrás de un firewall configurado en una máquina virtual de Linux con iptables.

Existen las reglas: 

iptables -P FORWARD DROP

iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 10.0.0.5

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -d 10.0.0.5 -m state --state NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

La ejecución de una exploración de puertos en GRC Shields Up muestra con éxito los puertos relevantes que deben estar abiertos. Y accediendo 

netstat -antp

No muestra servicios que se ejecutan en la máquina virtual de Linux. En caso de que esta VM sea atacada.

¿Hay agujeros o configuraciones incorrectas en esta configuración? Eso puede hacer que el honeypot entre en contacto con la red 192.168.1.0/24?

    
pregunta Kedar 06.12.2012 - 07:38
fuente

3 respuestas

4

Siempre que su enrutador tenga sus reglas de acceso para no permitir ninguna conexión desde su honeypot al resto de su red, entonces eso debería funcionar bien. Solo permita conexiones desde la red de administración o las direcciones IP al host VM de Linux y honeypot, de esa forma, si cualquiera de ellos es hackeado, no podrá atacar su red directamente.

Asegúrese de que no haya información sobre el host VM de Linux o el honeypot que se puede usar para atacar su red. No utilice los mismos nombres de usuario o contraseñas, y no almacene ninguna información sobre ellos en absoluto.

También, espero que nos haya proporcionado intervalos de direcciones IP falsos, de lo contrario, se enumeran los intervalos de direcciones IP que utiliza en su red, en cuyo caso los cambiaría.

    
respondido por el GdD 06.12.2012 - 11:36
fuente
3

GdD hace algunos buenos puntos sobre el enrutamiento y las reglas de acceso, por lo que no los regurgitaré. Sin embargo, le recordaré que está invitando a nare-do-wells a un segmento de su red y que la única separación entre la iglesia y el estado con su configuración es un enrutador, que supongo que es un dispositivo genérico de grado de consumidor. Es muy probable que este dispositivo perimetral sea atacado en algún momento y si baja no parece ser una defensa de la red. En el MÍNIMO ABSOLUTO, recomendaría un firewall separado entre su red personal y el enrutador. Si puedes poner un interruptor y allí y aislar el tráfico, aún mejor.

    
respondido por el grauwulf 06.12.2012 - 15:24
fuente
-1

El camino a seguir es tener 2 enrutadores. El primero se conecta al honeypot (varios de ellos sería incluso mejor) y también se conecta a un segundo enrutador, que luego tiene su red protegida.

Para mayor seguridad, implemente una VPN en el segundo enrutador, de modo que incluso si alguien obtiene el # 1, no puede acceder al # 2 sin el acceso de VPN.

    
respondido por el pgibbons 20.11.2016 - 15:33
fuente

Lea otras preguntas en las etiquetas

¿Por qué un operador de sitio web necesita confiar en un proveedor de openid? Necesita un software que pueda monitorear y registrar el tráfico de red de las aplicaciones instaladas [cerrado]