jackapple
Goto Top

Traffic auf Honeynet umleiten

Bei uns in der Firma wurde jetzt ein NIDS implementiert und die Logs sollen als Trigger verwendet werden, um Angreifer auf dem Gateway vom Produktivsystem auf den dafür vorgesehenen Honeypot umzulenken und vollkommen zu Protokollieren.
Dabei stehe ich grad vor folgenden Schwierigkeiten:

Wie krieg ich das Script auf dem NIDS-Server dazu sich via SSH auf den Gateway zu verbinden und wie krieg ich den Angreifer umgelenkt, ohne dass er es mitbekommen und sowas wie nmap sauber weiterläuft?

Noch ein paar Zusatzinfos: Unser Gateway ist ne Eigenentwicklung und basiert auf Gentoo und der Server, auf dem das NIDS läuft, ist Ubuntu Server 14.04 LTS.

Content-Key: 293089

Url: https://administrator.de/contentid/293089

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: aqui
aqui 14.01.2016 um 11:42:51 Uhr
Goto Top
Eigentlich eine Kleinigkeit für einen Netzwerker. Mit Expect oder Perl oder was auch immer du als Scripting Language verwendest gehst du aufs Gateway und benutzt dort Policy based Routing um den Traffic umzuleiten.
Zu Linux PBR guckst du hier:
http://www.lpi-certification.de/wiki/opensuse/Policy_Based_Routing
http://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-poli ...