Traffic auf Honeynet umleiten
Bei uns in der Firma wurde jetzt ein NIDS implementiert und die Logs sollen als Trigger verwendet werden, um Angreifer auf dem Gateway vom Produktivsystem auf den dafür vorgesehenen Honeypot umzulenken und vollkommen zu Protokollieren.
Dabei stehe ich grad vor folgenden Schwierigkeiten:
Wie krieg ich das Script auf dem NIDS-Server dazu sich via SSH auf den Gateway zu verbinden und wie krieg ich den Angreifer umgelenkt, ohne dass er es mitbekommen und sowas wie nmap sauber weiterläuft?
Noch ein paar Zusatzinfos: Unser Gateway ist ne Eigenentwicklung und basiert auf Gentoo und der Server, auf dem das NIDS läuft, ist Ubuntu Server 14.04 LTS.
Dabei stehe ich grad vor folgenden Schwierigkeiten:
Wie krieg ich das Script auf dem NIDS-Server dazu sich via SSH auf den Gateway zu verbinden und wie krieg ich den Angreifer umgelenkt, ohne dass er es mitbekommen und sowas wie nmap sauber weiterläuft?
Noch ein paar Zusatzinfos: Unser Gateway ist ne Eigenentwicklung und basiert auf Gentoo und der Server, auf dem das NIDS läuft, ist Ubuntu Server 14.04 LTS.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 293089
Url: https://administrator.de/forum/traffic-auf-honeynet-umleiten-293089.html
Ausgedruckt am: 21.05.2025 um 12:05 Uhr
1 Kommentar
Eigentlich eine Kleinigkeit für einen Netzwerker. Mit Expect oder Perl oder was auch immer du als Scripting Language verwendest gehst du aufs Gateway und benutzt dort Policy based Routing um den Traffic umzuleiten.
Zu Linux PBR guckst du hier:
http://www.lpi-certification.de/wiki/opensuse/Policy_Based_Routing
http://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-poli ...
Zu Linux PBR guckst du hier:
http://www.lpi-certification.de/wiki/opensuse/Policy_Based_Routing
http://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-poli ...
