Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Honeypot über Bridge mit IPTables und Snort Inline

Mitglied: AndreasC

AndreasC (Level 1) - Jetzt verbinden

19.01.2009, aktualisiert 17:20 Uhr, 4399 Aufrufe, 3 Kommentare

Ich habe ein Problem beim Aufbau eines Honeypots der als virtuelle Maschiene (Win XP) auf einem Debian 2.6.18 betrieben wird und über eine Bridge (eth1 -> vmnet1) mit dem Internet verbunden ist. Das Host-System (Debian) soll mittels IPTables 1.3.6 und snort_inline 2.6.1.5 die Datenkontrolle übernehmen.

Problembeschreibung:

Soweit ist alles installiert und die IPTables Regeln sowie die Snort-Inline Konfig angepasst (jedenfalls glaube ich das ich das richtig gemacht habe, Fehler sind jedoch nicht auszuschließen).

Nach dem Starten von snort-inline kann ich vom virtuellen System (dem Honeypot) aus über die Komandozeile so ziemlich alles machen. "nslookup www.administrator.de", "ping www.administrator.de", "telnet 192.bla.bla.bla" , "telnet 192.bla.bla.bla 80". Wenn ich jedoch versuche über den Browser eine Seite (www.administrator.de) aufzurufen, erscheint in der Fusszeile des IE:

"Auf http://www.administrator.de wird gewartet...."
"Webseite gefunden. Warten auf Antwort..."

aber die Seite erscheint nicht ("Die Webseite konnte nicht angezeigt werden.") und in den Logs von snort_inline ist auch nichts zu finden das irgendetwas geblockt bzw. gedropt wurde. Das einzige was mehr als genug in den Logs auftaucht sind ICMP Packete.

Wenn ich jedoch in der IPTables Konfigdatei (heißt bei mir rc.firewall) die Option "Queue = no" anstelle "yes" wähle (damit wird quasi die snort-inline Funktion eingeschaltet) kann ich von meinem Honeypot aus alles machen, abgesehen von z.b. der Trafficbegrenzung (20 tcp/std. , 20 icmp/std usw), also auch Brwosen wenn auch nur kurz.

Kennt sich hier irgend jemand mit der Problematik aus, oder könnte mir vielleicht einen Rat geben wo ich nach Fehlern suchen sollte?

Bei weiterm Bedarf an Infos einfach schreiben, werde sie dann nachreichen.

Danke

Gruß Andreas
Mitglied: aqui
19.01.2009 um 19:02 Uhr
So so.... du kannst also "ping www.administrator.de" ausführen... Wie du dann eine Antwort erhälst ist schleierhaft, denn der Host (82.149.225.22) antwortet gar nicht auf ICMP Pakete... !!!
Das ist also schon mal gelogen....

Webseite gefunden bedeutet das der Rechner eine saubere DNS Auflösung machen kann und die gültige IP der Seite bekommt und auch SYN Pakete ggf. rausgehen aber vermutlich Port TCP 80 Traffic geblockt ist....
Da musst du mal in deinen Einstellungen suchen wo und warum....
Bitte warten ..
Mitglied: AndreasC
19.01.2009 um 19:25 Uhr
Hallo Aqui,

naschön das mit dem Ping auf Administrator.de war gemogelt, jedoch nur weil mir während des Tippens eingefallen ist das das einfügen von Werbung verboten sei und daher wollte ich nicht schreiben das ich "www.spiegel.de" angepingt habe. Ich hoffe das mir das jetzt keiner Übel nimmt! Tschuldigung!

Trotzdem danke schonmal, werd dann wohl meine Regelliste noch einmal Zeile für Zeile durch gehen.

Gruß Andreas
Bitte warten ..
Mitglied: aqui
20.01.2009 um 09:27 Uhr
Das ist ja keine Werbung ! Kann ja auch der Badezimmerspiegel sein
Bei einem Ping sieht man das ja nicht....
Bitte warten ..
Ähnliche Inhalte
Firewall
Snort auf pfSense
Frage von mrserious73Firewall5 Kommentare

Hallo zusammen, ich verwende Snort in Verbindung mit pfSense. Bisher habe ich das sehr schlicht konfiguriert, es lauscht erstmal ...

Erkennung und -Abwehr
Honeypot im small business
Frage von MimetypeErkennung und -Abwehr6 Kommentare

Moin, was taugen Honeypots im Small Business Bereich? Lohnt es sich dort überhaupt so etwas einzusetzen? Wenn ja * ...

Erkennung und -Abwehr
Honeypot Tool (Linux : Windows)
gelöst Frage von Goldini50Erkennung und -Abwehr5 Kommentare

Heyha zusammen, ich bin auf der Suche nach einer Honeypot Software. Die Hauptaufgabe soll sein öffentlich erreichbare Websites welche ...

Firewall
PfSense: Snort-Logs und rsyslog
gelöst Frage von mrserious73Firewall4 Kommentare

Guten Morgen zusammen, ich verwende einige pfSense-Installationen und lasse deren Logs auch fleißig in einen zentralen syslog-Server schreiben. Leider ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 8 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 12 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...