Traffic auf Honeynet umleiten
Bei uns in der Firma wurde jetzt ein NIDS implementiert und die Logs sollen als Trigger verwendet werden, um Angreifer auf dem Gateway vom Produktivsystem auf den dafür vorgesehenen Honeypot umzulenken und vollkommen zu Protokollieren.
Dabei stehe ich grad vor folgenden Schwierigkeiten:
Wie krieg ich das Script auf dem NIDS-Server dazu sich via SSH auf den Gateway zu verbinden und wie krieg ich den Angreifer umgelenkt, ohne dass er es mitbekommen und sowas wie nmap sauber weiterläuft?
Noch ein paar Zusatzinfos: Unser Gateway ist ne Eigenentwicklung und basiert auf Gentoo und der Server, auf dem das NIDS läuft, ist Ubuntu Server 14.04 LTS.
Dabei stehe ich grad vor folgenden Schwierigkeiten:
Wie krieg ich das Script auf dem NIDS-Server dazu sich via SSH auf den Gateway zu verbinden und wie krieg ich den Angreifer umgelenkt, ohne dass er es mitbekommen und sowas wie nmap sauber weiterläuft?
Noch ein paar Zusatzinfos: Unser Gateway ist ne Eigenentwicklung und basiert auf Gentoo und der Server, auf dem das NIDS läuft, ist Ubuntu Server 14.04 LTS.
Please also mark the comments that contributed to the solution of the article
Content-Key: 293089
Url: https://administrator.de/contentid/293089
Printed on: April 18, 2024 at 08:04 o'clock
1 Comment
Eigentlich eine Kleinigkeit für einen Netzwerker. Mit Expect oder Perl oder was auch immer du als Scripting Language verwendest gehst du aufs Gateway und benutzt dort Policy based Routing um den Traffic umzuleiten.
Zu Linux PBR guckst du hier:
http://www.lpi-certification.de/wiki/opensuse/Policy_Based_Routing
http://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-poli ...
Zu Linux PBR guckst du hier:
http://www.lpi-certification.de/wiki/opensuse/Policy_Based_Routing
http://blog.scottlowe.org/2013/05/29/a-quick-introduction-to-linux-poli ...