在基于网络的蜜罐前放置WAF反向代理/透明的好处？

Question

在我最后一年的项目中，我想对2 WAF的ModSec/Shadow Daemon和基于网络的蜜罐陷阱/坦纳进行比较分析。

我想找出是否有任何好处，将WAF放置在网上的蜜罐。它是否通过放置WAF来达到蜜罐的目的？WAF能否在欺骗能力方面增加价值，或帮助开发未来的缓解技术？例如，确定哪些攻击绕过WAF，如果是，哪些攻击被蜜罐捕获？我知道这归结为蜜罐的限制，因为它的低交互，并应用漏洞类型仿真，而不是实际的漏洞。

1. 内嵌WAF会不会增加攻击难度，使蜜罐显得更有吸引力？
2. 可以通过SIEM来整合WAF和蜜罐攻击向量日志以帮助在生成的数据中添加上下文吗？

第一种方法需要一个实时部署，而我目前没有时间来测试这个部署。第二种方法是理想的，因为我可以使用WAF测试框架，如WA3F、Web、Imperva等，这些框架可以在虚拟环境中进行测试。

这个研究课题以前从来没有做过，我不知道为什么。我只想确认这是浪费时间还是我走错了路。

Answer 1

内嵌WAF会不会增加攻击难度，使蜜罐显得更有吸引力？

许多网站都是在实际的web服务器前面有负载平衡器/WAF构建的。这很常见。它们还用于SSL/TLS终端，以提高性能。尽管如此，它确实增加了复杂性，因为WAF实现中的漏洞可能导致攻击者具有惊人的访问级别。这方面的一个很好的例子是HeartBleed。

可以通过SIEM来整合WAF和蜜罐攻击向量日志以帮助在生成的数据中添加上下文吗？

当然，需要为暹粒创建规则来消化/关联这两个额外的数据点。

WAF有利于

在web应用程序蜜罐前放置WAF有两个主要优点。

1. SSL/TLS终端这是非常必要的，因此可以检查请求/响应。
2. 防止黑客攻击其他人。蜜罐部署不应将恶意流量发送到Internet。也不应该是攻击者发送毫无戒心的用户的地方。一个例子是持久的XSS。这两种情况都应该防止，这样你就不会帮助攻击者了。

Legal

我不是律师，也不是寻求法律咨询的地方。

由于这一问题的解决，在法律上对之前的文章中提到的管理蜜罐有一些法律上的顾虑：

美国关于蜜罐的建造和部署的现行法律是什么？