Jarri Honeypot bat zure bizitzan

Inprimatzeko Lagunkoa, PDF eta Email

Creo que a día de hoy no quedan muchos que no sepan qué es un Honeypot, y lo bien que nos puede venir tenerlo implementado en nuestras infraestructuras. La idea de estos cacharros como sabemos es alertar y detectar ataques o curiosos en la red; pues en este post, además veremos cómo integrarlo con Centreon.

Hacía tiempo que no jugaba con un Honeypot, recientemente, en un post, los chicos de El Hacker me dieron alguna idea interesante. Puede que sea muy atractivo colocarlos en la parte pública y detectar los ataques que puedan sufrir nuestras IPs públicas, pero quizá sea más interesante desplegar un Honeypot ligero en cada segmento de red que dispongamos. Con la idea de detectar curiosos, bots, o cualquier escaneo que pueda existir en nuestra red interna.

La verdad que existen numerosos Honeypots y quizá por ello os he nombrado anteriormente el post de El Hacker, la gran mayoría se despliegan en un tris, y disponen de interfaces preciosas. nire kasuan, andaba buscando uno ligero, uno que detecte y responda a ciertos servicios, a los más comunes que pueda existir en una red (telnet, smb, rdp, ldap, http…). Esan dut, nork bere makinako portu batera konektatzen saiatzen den jakin ahal izango dugu, mugitzeko saiatzen den ransomware bat bada, edo coti baten portu eskaneatze bat, edo bot batek indar-babeseko saio bat egiten saiatzen bada. Honeypot berak alerta eman ahal dit, baina dakizuen bezala, Centreon-en zentralizatu ahal badut, eta Honeypot-aren egoera jakin, hobeto baino hobeto… eta norbaitek konekzio bat sortzen badu, alerta bat heltzen da.

Guztira, beste ezer behar ez dugu Ubuntu batekin 18.04 1vCPU eta 2GB RAM ipiniz gero, Honeypot sinple baina eraginkor honetan oinarrituko gara, Chameleon izenekoa. Bere Grafana propioan aurrez sortutako dashboard bat dakarkigu eta honako hauen paketea osatzen du 19 zerbitzuetarako pertsonalizatutako honeypots: DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC-ra, SMB, SOCKS5, Redis, TELNET, Postgres, MySQL, MSSQL, Elastic eta LDAP.

Ezer ez zabaltzen aurretik, que será maravilloso gracias a los contenedores de Docker, tendremos que cambiar el puerto de conexión SSH a nuestro Ubuntu, ya que el 22tcp lo usará un honeypot, así que editando el '/etc/ssh/sshd_config’ ponemos alguno alto, como el 2222tcp (Port 2222) y reniciamos el demonio de sshd 'sudo systemctl restart sshd'.

Bastará con clonar de la repo de Chameleon, y ejecutar un script, y él se encargará de todo, toca esperar.

git clone https://github.com/qeeqbox/chameleon.git
cd chameleon
sudo chmod +x ./run.sh
sudo ./run.sh deploy
sudo ./run.sh test

Tenemos al menos dos opciones, (i) deploy, desplegará 3 contenedores un Grafana, otro con Postgres y otro con los HoneyPots. La opción (ii) test, además desplegará un syslog y un contenedor que simula conexiones; aukera hau azkena gutxiago interesgarria eta astunagoa iruditzen zait (post honetan lantzen dugun horretarako). Beirazko edukiontzien sorrera amaitu ondoren dena prest egongo da. Grafanara sartuko gara portuaren bidez 3000 eta lehenetsitako kredentzialak (changeme457f6460cb287 / changemed23b8cc6a20e0). Nire kasuan jada sarean dudan Grafana batekin, kontenedor hau ez zait interesatzen, bere dashboard-a esportatzen dut eta produkzio Grafana-ra inportatzen dut, Postgres DB-ra sarrera portu 9999tcp erabiliz eta kredentzialak eginez litzateke (changeme027a088931d22 / changeme0f40773877963).

Y bueno, Centreon-en integratzeko eta konektaketa alertak sortzeko, honeypot propioaren PostgreSQL DB-ra egindako kontsultei eutsiz onena, beraz, honako komandoarekin:

perl /usr/lib/centreon/plugins/centreon-plugins/centreon_plugins.pl --plugin=database::postgres::plugin --mode=sql --host=DIRECCION_IP_HONEYPOT --port=9999 --database=chameleon --username=changeme027a088931d22 --password=changeme0f40773877963 --sql-statement="$ARG1$" --warning=0 --critical=0

Eta argumentu gisa Postgres-en queries bidaltzen zaizkio, adibidez HTTP zerbitzua:

SELECT COUNT(*) FROM sniffer_table WHERE date >= (NOW() - INTERVAL '1 HOUR') ETA data->>'dst_port' = '80' ETA DATA ->>'action' = 'tcpscan'


Eta hau litzateke emaitza. Egia bada ere Chameleon-ek dakarren Grafana-tik alerta konfiguratu daitezkeela, badakizue jadanik nola zentralizatzaile ona naizen, dena Centreon-en bidez pasatzen da, dena ulertzea beharrezkoa da eta puntu zentral bakar batetik.

Esan dut, Espero dut bitxia iruditu zaizuela, pero creo que es bueno tener alguna máquina de este tipo en nuestra red, si nos entran, mejor que nos lo chiven que tener que esperar a que nos enteremos nosotros mismos. Es ligera, no consume…

PS: Ojo con poner un Honeypot público en internet, sacaréis datos muy flipantes de la selva que hay en internet, de los ataques, los puertos más afectados o los credenciales que intentan los bots; pero como os vulneren la máquina, estarán en vuestra red; las pruebas con pesicola en una red aislada. Muxu bat,

Izenburuko mezuak

Centreon-en Proxmox VE monitorizatzea
Irakurri
Arauak eta alerta ElastAlert-rekin 2
Irakurri
Centreon-en Programatutako Lanak Monitorizatzea
Irakurri
Crowdsec monitorizatzen Centreon-rekin
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

GLPI-ren integrazioa Active Directoriarekin

7 Abenduko 2021

Telegraf instalatzen + InfluxDB + Chronograf + Grafana

16 otsailaren 2022