Sei sulla pagina 1di 33

Marco Guastalegname

Una mattina mi son svegliato


con la voglia di honeypot
…E ho capito che conviene strutturarsi
T-Pot
• Honeypot platform sviluppata da T-Systems (Deutsche Telekom)
• Diverse honeypot containerizzate e pacchettizzate
• Ecosistema di logging e dashboard out-of-the-box
• Raccolta dei sample e possibilità di automazione (limitata)

https://github.com/dtag-dev-sec/tpotce
System Requirements

https://github.com/dtag-dev-sec/tpotce
E i server fisici?
Scaleway

And not cheap at all!!


OVH
1&1 IONOS
Hetzner
Hetzner
(Hetzner non mi paga)
Homelab
Public IP 1 Public IP 2

NIC fisica

Nodo Hardware
Proxmox
• Virtualizzatore VMWare-like open source,
Debian Based
• Free
• Community di support
• Facile e abbordabile

https://www.proxmox.com
Homelab Public IP 1 Public IP 2
NIC fisica

Nodo Hardware

Host OS - Debian Proxmox Virtual


Virtual Bridge Environment

Host NIC -
Public IP 1 PfSense NIC1 -
Public IP 2
PfSense
PfSense
• OS Open Source per router fisici e virtuali
• Innumerevoli funzioni come DNS, Certificate
Manager, DHCP, Firewall, Load Balancing,
Traffic Shaper, NAT, HA Proxy, VPN, ecc. ecc.
• Il fulcro della nostra rete virtuale

https://www.pfsense.org/
Homelab
NIC fisica

Nodo Hardware

Host OS - Debian Proxmox Virtual


Virtual Bridge Environment

Host NIC -
Public IP 1 PfSense NIC1 - PfSense
Public IP 2

VM 1 VM 1 VM 1 VM 1
VM 2 VM 2 VM 2 VM 2
V V V V
B VM 3 B VM 3 B VM 3 B VM 3
1 VM 4 2 VM 4 3 VM 4 4 VM 4

192.168.1.0/24 192.168.2.0/24 192.168.2.0/24 192.168.2.0/24


Lan domestica Lan Cybersec Lan Infrastrutturale Lan TBD
Idee implementate
• PfSense fa da DNS, DHCP, Firewall, NAT,
VPN, HA Proxy e logga tutto sul SIEM del lab
• Acquistato dominio e impostato HA Proxy, in
modo da inoltrare traffico HTTPS in base a
regole relative a sottodominio
• Esempio: https://siem.homelab.it:445 ->
192.168.8.32:8888

• Owncloud
• MISP (anche se è bello pesantuccio)
• Kali e vittime varie (in apposita LAN)
• Backup delle VM settimanali con notifiche
mail
E idee implementabili
• Autenticazione 2FA su Proxmox
• Sostituzione dei Bridge con Open vSwitch (e
inoltro flussi di rete al SIEM)
• TPOT (si, alla fine non l’ho fatta, aspetto di
prendere il terzo IP pubblico)
• Homeassistant
• Monitoraggio sistemistico delle VM con
rapport periodici per Email e Telegram
• Dite la vostra!
Trucco da NINJA
2 TB di spazio sono pochi?
I backup delle VM vi stanno riempiendo lo storage?

Guardate questa gente….


www.reddit.com/r/DataHoarder/

Accumulatori seriali digitali


Anche io ho bisogno di spazio…

Ma sono povero. Come faccio?


Disclaimer

L’autore specifica che i contenuti delle slide sono semplici


informazioni e che l’utilizzo delle stesse, ed eventuali
ripercussioni, non potranno essere imputati all’autore, il quale ne
ha evidenziato il carattere puramente informativo.
Come lo usiamo?
Tramite rClone, un software Open Source che permette di montare
share in Cloud tramite FUSE, interagendoci come se fosse una
partizione del Sistema in R/W.
Possibilità di encryption/decryption on the fly. Google non possiede
visibilità sui vostri dati.

https://rclone.org/
Grazie Google per lo spazio infinito 
Domande?
Proposte di improvement?
Parliamone!