Hola.
Disculpa mi ignoracia, pero no he entendido bien lo que estás haciendo, en el video no leo bien los comentarios ni lo comandos.
Podría ser que estuvieras usando hydra y medusa para abrir puertos y que los escaneres automáticos de la red que intentan entrar les haces tu un contrataque recopilando datos del atacante o incluso llegando a acceder a su sistema?
Según tengo entendido un honeypot es una trampa, suele ser una red paralela a la red real, clonada pero que tiene datos falsos, con lo cual los atacantes al entrar dejan su rastro y los encargados de la seguridad recopilan esos datos y los usan contra ellos. Es eso lo que haces en el proyecto?
Ok, por partes.
1
El trabajo final de carrera, el que esta publicado, nació como un requisito de mi antiguo trabajo (ahora estoy en paro). En lo que seria la implantación de un SGSI ISO27001. En ella se habla de medios para la detección del sistema de gestión de incidencias relacionadas con la seguridad informática. Por aquel entonces el sistema anterior era muy obsoleto y el nuevo solo era una aplicación de gestión de incidencias, "ciega", nadie le chivaba nada. Así empece a desarrollar los medios de comunicación entre distintos honeypots y el SGSI.
Una vez bastante controlado el tema en mi trabajo, empece a tunear y hacerme a medida algunas cosas que echaba en falta en el tema del software honeypot, y fui llamando puerta por puerta presentándolo como trabajo final de carrera, empezando por la que seria la de mi tutor del proyecto, bastante afín a temas de seguridad informática, dicho sea de paso.
2
Con el tiempo, estando todos los días en contacto con estas herramientas, me di cuenta de una cosa, el 90% de los ataques a servicios ssh provienen de equipos "zombificados", y mira por donde es MUY MUY probable que te ataquen con el mismo diccionario con que una vez entraron en ellos.
3
A raiz del master que estoy haciendo de ingeniera de computadores y redes, entre en contacto con muchos cacharritos interesantes y pensé: "Una nube o un solo honepot en una maquina virtual es algo que puede permitirse alguien que tenga los medios para tener un ordenador 24 horas encendido, pero en una Small Board Computer, molaría porque el rango se amplia enormemente.
Así que este verano, ya en paro me puse a trabajar y fue casi inmediato pasar a Raspbian todo el trabajo. Y además hasta donde lo estoy probando tira razonablemente bien.
Ya en mi casa me puse a pensar, yo no puedo publicar un articulo basado en experiencias reales, o no... de hacer de ladrón con otros ladrones. Pero si puedo ejemplarizar en la red de mi casa como seria este escenario y como con una simple raspberry tenemos un sensor 24h, silencioso y de bajo consumo para la obtención de la información y el desarrollo de todo lo comentado anteriormente.
Perdón por el ladrillazo, ya creo que estáis un poco mas puestos en antecedentes.