3
Honeypot über Bridge mit IPTables und Snort Inline
Ich habe ein Problem beim Aufbau eines Honeypots der als virtuelle Maschiene (Win XP) auf einem Debian 2.6.18 betrieben wird und über eine Bridge (eth1 -> vmnet1) mit dem Internet verbunden ist. Das Host-System (Debian) soll mittels IPTables 1.3.6 und snort_inline 2.6.1.5 die Datenkontrolle übernehmen.
Problembeschreibung:
Soweit ist alles installiert und die IPTables Regeln sowie die Snort-Inline Konfig angepasst (jedenfalls glaube ich das ich das richtig gemacht habe, Fehler sind jedoch nicht auszuschließen).
Nach dem Starten von snort-inline kann ich vom virtuellen System (dem Honeypot) aus über die Komandozeile so ziemlich alles machen. "nslookup www.administrator.de", "ping www.administrator.de", "telnet 192.bla.bla.bla" , "telnet 192.bla.bla.bla 80". Wenn ich jedoch versuche über den Browser eine Seite (www.administrator.de) aufzurufen, erscheint in der Fusszeile des IE:
"Auf https://administrator.de wird gewartet...."
"Webseite gefunden. Warten auf Antwort..."
aber die Seite erscheint nicht ("Die Webseite konnte nicht angezeigt werden.") und in den Logs von snort_inline ist auch nichts zu finden das irgendetwas geblockt bzw. gedropt wurde. Das einzige was mehr als genug in den Logs auftaucht sind ICMP Packete.
Wenn ich jedoch in der IPTables Konfigdatei (heißt bei mir rc.firewall) die Option "Queue = no" anstelle "yes" wähle (damit wird quasi die snort-inline Funktion eingeschaltet) kann ich von meinem Honeypot aus alles machen, abgesehen von z.b. der Trafficbegrenzung (20 tcp/std. , 20 icmp/std usw), also auch Brwosen wenn auch nur kurz.
Kennt sich hier irgend jemand mit der Problematik aus, oder könnte mir vielleicht einen Rat geben wo ich nach Fehlern suchen sollte?
Bei weiterm Bedarf an Infos einfach schreiben, werde sie dann nachreichen.
Danke
Gruß Andreas
Soweit ist alles installiert und die IPTables Regeln sowie die Snort-Inline Konfig angepasst (jedenfalls glaube ich das ich das richtig gemacht habe, Fehler sind jedoch nicht auszuschließen).
Nach dem Starten von snort-inline kann ich vom virtuellen System (dem Honeypot) aus über die Komandozeile so ziemlich alles machen. "nslookup www.administrator.de", "ping www.administrator.de", "telnet 192.bla.bla.bla" , "telnet 192.bla.bla.bla 80". Wenn ich jedoch versuche über den Browser eine Seite (www.administrator.de) aufzurufen, erscheint in der Fusszeile des IE:
"Auf https://administrator.de wird gewartet...."
"Webseite gefunden. Warten auf Antwort..."
aber die Seite erscheint nicht ("Die Webseite konnte nicht angezeigt werden.") und in den Logs von snort_inline ist auch nichts zu finden das irgendetwas geblockt bzw. gedropt wurde. Das einzige was mehr als genug in den Logs auftaucht sind ICMP Packete.
Wenn ich jedoch in der IPTables Konfigdatei (heißt bei mir rc.firewall) die Option "Queue = no" anstelle "yes" wähle (damit wird quasi die snort-inline Funktion eingeschaltet) kann ich von meinem Honeypot aus alles machen, abgesehen von z.b. der Trafficbegrenzung (20 tcp/std. , 20 icmp/std usw), also auch Brwosen wenn auch nur kurz.
Kennt sich hier irgend jemand mit der Problematik aus, oder könnte mir vielleicht einen Rat geben wo ich nach Fehlern suchen sollte?
Bei weiterm Bedarf an Infos einfach schreiben, werde sie dann nachreichen.
Danke
Gruß Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 106475
Url: https://administrator.de/contentid/106475
Printed on: April 26, 2024 at 14:04 o'clock
3 Comments
Latest comment
So so.... du kannst also "ping www.administrator.de" ausführen... Wie du dann eine Antwort erhälst ist schleierhaft, denn der Host (82.149.225.22) antwortet gar nicht auf ICMP Pakete... !!!
Das ist also schon mal gelogen....
Webseite gefunden bedeutet das der Rechner eine saubere DNS Auflösung machen kann und die gültige IP der Seite bekommt und auch SYN Pakete ggf. rausgehen aber vermutlich Port TCP 80 Traffic geblockt ist....
Da musst du mal in deinen Einstellungen suchen wo und warum....
Das ist also schon mal gelogen....
Webseite gefunden bedeutet das der Rechner eine saubere DNS Auflösung machen kann und die gültige IP der Seite bekommt und auch SYN Pakete ggf. rausgehen aber vermutlich Port TCP 80 Traffic geblockt ist....
Da musst du mal in deinen Einstellungen suchen wo und warum....
Hallo Aqui,
naschön das mit dem Ping auf Administrator.de war gemogelt, jedoch nur weil mir während des Tippens eingefallen ist das das einfügen von Werbung verboten sei und daher wollte ich nicht schreiben das ich "www.spiegel.de" angepingt habe. Ich hoffe das mir das jetzt keiner Übel nimmt! Tschuldigung!
Trotzdem danke schonmal, werd dann wohl meine Regelliste noch einmal Zeile für Zeile durch gehen.
Gruß Andreas
naschön das mit dem Ping auf Administrator.de war gemogelt, jedoch nur weil mir während des Tippens eingefallen ist das das einfügen von Werbung verboten sei und daher wollte ich nicht schreiben das ich "www.spiegel.de" angepingt habe. Ich hoffe das mir das jetzt keiner Übel nimmt! Tschuldigung!
Trotzdem danke schonmal, werd dann wohl meine Regelliste noch einmal Zeile für Zeile durch gehen.
Gruß Andreas
Das ist ja keine Werbung ! Kann ja auch der Badezimmerspiegel sein 
Bei einem Ping sieht man das ja nicht....
Bei einem Ping sieht man das ja nicht....