FritzBox: DMZ für HoneyPot

[LeCaNo]

Hallo zusammen,

ich hoffe ich poste das hier im richtigen Subforum, falls nicht bitte verschieben.

Ich beschäftige mich aktuell mit IT Security und möchte auf Basis der zwei Videos von Sempervideo zu Cowrie einen Honeypot anbieten.

https://www.youtube.com/watch?v=_X5uNKLKBJM
https://www.youtube.com/watch?v=VK0ly_u1TN4

Das einzige "Problem" welches ich habe, ist dass die Fritzbox keine Demilitarized Zone (DMZ) kann.

https://avm.de/service/fritzbox/fri...ication/show/131_DMZ-in-FRITZ-Box-einrichten/

Deshalb meine Frage: Wie kann ich trotzdem einen HoneyPot anbieten ohne dass, im Falle eines Falles, ein Hacker in mein Heimnetzwerk eindringen bzw. aus dem HoneyPot ausbrechen kann und im Heimnetzwerk Schaden anrichten kann.

 

[Skaro]

Kannst doch ein Gastnetz auf den 4. LAN Port aktivieren. Das hat ein eigenes Subnetz.

 

[iGameKudan]

Die FritzBox kann ne DMZ, nur heißt die Funktion dort (richtigerweise) Exposed Host.

 

[Xippe]

Ist es nicht eher ein "Exposed Host" (EH) was für dich passt als eine DMZ? Ist dabei nur auf ein Host beschränkt.
Für Beschränkungen im Netz andere IP/Subnetz wie dein Heimnetz nehmen (siehe Skaro's Post).

Hier findest du eine Anleitung dafür.

 

[smuper]

Nein eben nicht. Exposed Host und eine richtige DMZ sind etwas gänzlich anderes. Im Video von SemperVideo wird DMZ richtig verwendet.

Hier ist eben KEIN Exposed Host verlangt.

Die FritzBox kann ne DMZ, nur heißt die Funktion dort (richtigerweise) Exposed Host.

Der Satz macht keinen Sinn.

Zum Verständnis:

http://wiki.hackerboard.de/index.php/DMZ_(demilitarized_zone)

Um eine DMZ realisieren zu können, werden zwei getrennte Firewallmodule und eine separate DMZ-NIC benötigt. Aus Kostengründen lassen viele Hersteller von billigen Firewallsystemen die dafür benötigte Hardware einfach weg. Ihre so genannte „DMZ“ kann somit keine DMZ-Funktionalitäten unterstützen und macht tatsächlich nichts weiter, als alle Netzwerkanfragen aus dem externen Netz (Internet) an einen Rechner im internen Netz weiterzuleiten, was einem „exposed Host“ entspricht (von einigen Herstellern manchmal auch „exposed DMZ“ oder „Standardserver“ genannt). Da diese (exposed-) DMZ keinerlei DMZ-Funktionalitäten bietet, sollte klar sein: Wird dieser Rechner eingenommen, so hat man den Firewallschutz auch für alle anderen, internen Rechner verloren.

 

[LeCaNo]

Ich zitiere mal aus dem von mir verlinkten Beitrag aus der AVM WDB:

„Die Einrichtung einer DMZ (Demilitarized Zone) wird von der FRITZ!Box nicht unterstützt.“ & „Der Begriff "DMZ" wird oft fälschlich für die Funktion "Exposed Host" verwendet. Bei der Funktion "Exposed Host" werden alle Ports für ein Gerät im Netzwerk freigegeben.“

DMZ =! Exposed Host

Ein V-Server wäre zwar eine Möglichkeit aber soweit ich weiß verbieten die meisten Anbieter die Verwendung des V-Servers als HoneyPot per AGB.

 

[chrigu]

... und bestimmt verbietet dir dein Provider dies auch....

 

[h00bi]

DMZ und Exposed Host ist natürlich nicht das gleiche.
Zuerstmal ist die DMZ ein ganzer, unabhängiger Netzbereich, zudem kann man eine DMZ i.d.R. auch über FW-Regeln kontrollieren.
Der Exposed Host hängt voll in deinem privaten Netz, wenn hier etwas schief geht ist das ziemlich kacke.

 

[Raijin]

Naja, eine Fritzbox eignet sich auch nicht wirklich dazu, sich mit IT-Sicherheit zu beschäftigen. Ein Honeypot als solcher hat zwar grundsätzlich sein Einsatzgebiet, aber man muss eines bedenken: Es mag sein, dass der Angreifer am Honeypot selbst nicht wirklich etwas Böses anstellen kann, aber das Ding hängt ohne DMZ nun mal immer noch in deinem privaten Netzwerk. Dein NAS zB hat keine Ahnung vom Honeypot. Ich weiß nicht inwiefern das von der VM-artigen Umgebung eines Honeypots abgesichert ist, dazu beschäftige ich mich zu wenig damit, Angreifer in mein Netzwerk einzuladen, ich halte sie lieber draußen.

Honeypot und DMZ sollten also unbedingt Hand in Hand gehen und dann ist eine Fritzbox nicht das geeignete Werkzeug. Ich würde dir daher empfehlen, mit einem zweiten Router, der zB mit OpenWRT, o.ä. läuft oder direkt mit einem MikroTik oder auch einem EdgeRouter (ab ~50€) eben besagte DMZ aufzubauen. Nebenbei lernt man dann in Bezug auf IT-Sicherheit auch den Umgang mit einer Firewall jenseits der weichgespülten Wizard-only Firewalls von Consumer-Routern.

Eine DMZ definiert sich im Prinzip dadurch, dass neue Verbindungen nur von außen nach innen gehen dürfen. Die Geräte in der DMZ dürfen lediglich nach außen antworten, nicht jedoch selbst eine Verbindung nach außen erstellen. Sitzt beispielsweise ein File-Server in einer DMZ, kann man sich vom Hauptnetzwerk aus mit ihm verbinden und Dateien runterladen, der Download gilt dann als besagte Antwort des Servers in der DMZ. Wird der File-Server jedoch gehackt und der Angreifer möchte auch den Rest des Netzwerks sehen, klappt das nicht, weil die DMZ eben verhindert, dass der Angreifer aus der DMZ ausbricht.


Generell würde ich dir so oder so empfehlen, dich erstmal mit besagter Firewall auseinanderzusetzen. MikroTiks und EdgeRouter sind semiprofessionelle Router, die auch etwas KnowHow bei der Konfiguration erfordern. Einfach so ohne näheres Hintergrundwissen einen Honeypot ins Internet zu stellen, halte ich für bedenklich.