Ich denke, dass es heute nicht mehr viele gibt, die nicht wissen, was ein Honeypot ist, und wie gut es für uns sein kann, wenn es in unseren Infrastrukturen implementiert wird. Die Idee dieser Gadgets, wie wir sie kennen, besteht darin, Angriffe oder neugierige Personen im Netzwerk zu warnen und zu erkennen; Nun, in diesem Beitrag, Wir werden auch sehen, wie wir es mit Centreon integrieren können.

Es ist lange her, dass ich mit einem Honeypot gespielt habe, vor kurzem, In einem Beitrag, Die Jungs von Der Hacker Sie gaben mir einige interessante Ideen. Es kann sehr attraktiv sein, sie im öffentlichen Teil zu platzieren und Angriffe zu erkennen, denen unsere öffentlichen IPs ausgesetzt sein könnten, aber vielleicht ist es interessanter, einen leichtgewichtigen Honeypot in jedem Netzwerksegment einzusetzen, das wir haben. Mit der Idee, neugierige Menschen aufzuspüren, Bots, oder Scans, die in unserem internen Netzwerk vorhanden sein können.

Die Wahrheit ist, dass es zahlreiche Honeypots gibt und vielleicht habe ich Sie deshalb zuvor den Beitrag von The Hacker genannt, Die überwiegende Mehrheit entfaltet sich im Nu, und haben schöne Schnittstellen. In meinem Fall, Ich war auf der Suche nach einem leichten, eine, die bestimmte Dienste erkennt und darauf reagiert, zu den gebräuchlichsten, die in einem Netzwerk vorhanden sein können (Telnet (Telnet), smb, rdp, LDAP (Englisch), HTTP (Englisch)…). Was ich gesagt habe, Wenn jemand versucht, eine Verbindung zu einem Port auf diesem Gerät herzustellen, werden wir es wissen, Versucht Ransomware, sich zu bewegen?, Ein Port-Scan von einigen Coti, oder ein Bot, der versucht, Brute-Force zu betreiben. Honeypot selbst könnte mich alarmieren, Aber wie Sie wissen, wenn ich es in Centreon zentralisieren kann, und kennen den Status des Honeypots, Naja, noch besser… Und wenn jemand eine Verbindung zu dir herstellt, Nun, machen Sie mich darauf aufmerksam, dass es mich erreicht.

Gesamt, wir brauchen nicht mehr als ein Ubuntu 18.04 mit 1vCPU und 2 GB RAM, Wir werden uns auf diesen einfachen, aber effektiven Honeypot verlassen, genannt Chamäleon. Es wird mit einem Dashboard geliefert, das bereits in seiner eigenen Grafana erstellt wurde, und besteht aus einem Paket von 19 Anpassbare Honeypots für Dienstleistungen: DNS, HTTP-Proxy, HTTP (Englisch), HTTPS, SSH (englisch), POP3, IMAP, STMP, RDP, VNC (VNC), SMB, SOCKEN5, Redis, TELNET (Englisch), Postgres, MySQL (Englisch), MSSQL, Elastic und LDAP.

Bevor Sie etwas bereitstellen, das wird dank Docker-Containern wunderbar, Wir müssen den SSH-Verbindungsport auf unser Ubuntu ändern, Da der 22TCP von einem Honeypot, Also das Bearbeiten der '/etc/ssh/sshd_config’ Wir haben etwas Hohes gesteckt, Wie 2222TCP (Hafen 2222) Und wir haben den Dämon von sshd 'sudo systemctl restart sshd' neu gestartet..

Es reicht aus, das Chamäleon-Repo zu klonen, und führen Sie ein Skript aus, Und er kümmert sich um alles, Es ist Zeit zu warten.

git clone https://github.com/qeeqbox/chameleon.git CD Chamäleon sudo chmod +x ./run.sh sudo ./run.sh deploy sudo ./run.sh test 

Wir haben mindestens zwei Möglichkeiten, (Ich) aufstellen, Aufstellen 3 container a Grafana, eine weitere mit Postgres und eine weitere mit den HoneyPots. Die Option (Ii) Test, Es wird auch ein Syslog und einen Container bereitstellen, der Verbindungen simuliert; Ich denke, diese letzte Option ist weniger interessant und schwerer (Womit wir uns in diesem Beitrag beschäftigen). Ist die Erstellung der Container abgeschlossen, ist alles bereit. Wir werden Grafana über den Hafen erreichen 3000 und Standardanmeldeinformationen (changeme457f6460cb287 / ChangeMed23b8cc6a20e0). In meinem Fall habe ich schon etwas Grafana im Netz, Nun, dieser Behälter interessiert mich nicht, Ich exportiere Ihr Dashboard und importiere es in die Produktions-Grafana, Der Zugriff auf die Postgres-Datenbank erfolgt über Port 9999tcp und Anmeldeinformationen (changeme027a088931d22 / changeme0f40773877963).

Naja, um es in Centreon zu integrieren und es zum Generator von Verbindungswarnungen zu machen, naja, am besten mit Abfragen an die PostgreSQL-Datenbank von Honeypot selbst, so mit einem solchen Befehl, dass:

perl /usr/lib/centreon/plugins/centreon-plugins/centreon_plugins.pl --plugin=Datenbank::Postgres::plugin --mode=sql --host=DIRECCION_IP_HONEYPOT --port=9999 --database=chameleon --username=changeme027a088931d22 --password=changeme0f40773877963 --sql-statement="$ARG1$" --Warnung=0 --kritisch=0

Und die Argumente des Postgres werden ihm zugesandt, Beispiel für den HTTP-Dienst:

ANZAHL AUSWÄHLEN(*) VON sniffer_table WO Datum >= (JETZT() - INTERVAL '1 HOUR') UND Daten->>'dst_port' = '80' AND DATA ->>'action' = 'tcpscan'

Und das wäre das Ergebnis. Es stimmt zwar, dass Sie aus dem Diagramm, das Chameleon bringt, Warnungen konfigurieren können, Du kennst mich schon als guten Zentralisierer, Alles läuft über Centreon, Man muss alles herausfinden und das von einem einzigen zentralen Punkt aus.

Was ich gesagt habe, Ich hoffe, Sie fanden es neugierig, Aber ich denke, es ist gut, so eine Maschine in unserem Netzwerk zu haben, Wenn sie in uns eindringen, Lieber gesagt bekommen, als darauf warten zu müssen, dass wir es selbst herausfinden. Es ist leicht, verbraucht nicht…

PS: Hüten Sie sich davor, einen öffentlichen Honeypot ins Internet zu stellen, Sie erhalten sehr erstaunliche Daten aus dem Dschungel, der sich im Internet befindet, von Angriffen, Die am stärksten betroffenen Ports oder Anmeldeinformationen, die Bots versuchen; Aber wenn sie Ihren Computer verletzen, wird in Ihrem Netzwerk sein; Pesicola testet in einem isolierten Netzwerk. Eine Umarmung,