Mettez un pot de miel dans votre vie

Imprimable, PDF & Email

Je pense qu’aujourd’hui il n’y en a pas beaucoup qui ne savent pas ce qu’est un pot de miel, et à quel point il peut être bon pour nous de l’avoir mis en œuvre dans nos infrastructures. L’idée de ces gadgets, comme nous le savons, est d’alerter et de détecter les attaques ou les personnes curieuses sur le réseau; Eh bien, dans cet article, nous verrons également comment l’intégrer à Centreon.

Cela fait longtemps que je n’ai pas joué avec un pot de miel, récemment, Dans un article, Les garçons de Le pirate informatique Ils m’ont donné des idées intéressantes. Il peut être très intéressant de les placer dans la partie publique et de détecter les attaques que nos IP publiques peuvent subir, mais il est peut-être plus intéressant de déployer un Honeypot léger dans chaque segment de réseau que nous avons. Avec l’idée de détecter les curieux, Bots, ou tout balayage qui peut exister sur notre réseau interne.

La vérité est qu’il existe de nombreux pots de miel et c’est peut-être pourquoi je vous ai déjà nommé le poste de The Hacker, La grande majorité se déroule en un éclair, et avoir de belles interfaces. Dans mon cas, J’en cherchais un léger, un service qui détecte certains services et y répond, aux plus courantes qui peuvent exister dans un réseau (Telnet, Smb, Rdp, LDAP, HTTP…). Ce que j’ai dit, Si quelqu’un essaie de se connecter à un port de cette machine, nous saurons, est un ransomware qui tente de se déplacer, Un scan de port d’un coti, ou un bot essayant de forcer la brute. Le pot de miel lui-même pourrait m’alerter, Mais comme vous le savez, si je peux le centraliser dans Centreon, et connaître l’état du Honeypot, Eh bien, c’est encore mieux… Et si quelqu’un établit un lien avec vous, Eh bien, préviens-moi qu’il me parvient.

Total, nous n’avons besoin de rien de plus qu’un Ubuntu 18.04 avec 1vCPU et pour mettre 2GB de RAM, nous allons nous appuyer sur ce Honeypot simple mais efficace, appelé Caméléon. Il est livré avec un tableau de bord déjà pré-créé dans son propre Grafana et se compose d’un pack de 19 Pots de miel personnalisables pour les services: DNS, HTTP Proxy, HTTP, HTTPS, SSH, POP3, IMAP, STMP, RDP, VNC, SMB, CHAUSSETTES5, Redis, TELNET, Postgres, MySQL, MSSQL, Élastique et LDAP.

Avant de déployer quoi que ce soit, qui sera merveilleux grâce aux conteneurs Docker, nous devrons changer le port de connexion SSH pour notre Ubuntu, puisque le 22TCP sera utilisé par un pot de miel, Donc, modifier le '/etc/ssh/sshd_config’ Nous avons mis un peu de, comme 2222TCP (Port 2222) Et nous avons redémarré le démon de sshd 'sudo systemctl restart sshd'.

Il suffira de cloner le repo Chameleon, et exécuter un script, Et il s’occupera de tout, Il est temps d’attendre.

git clone https://github.com/qeeqbox/chameleon.git CD Chameleon sudo chmod +x ./run.sh sudo ./run.sh deploy sudo ./run.sh test

Nous avons au moins deux options, (Je) déployer, Déployer 3 conteneurs a Grafana, un autre avec Postgres et un autre avec les HoneyPots. L’option (Ii) test, Il déploiera également un syslog et un conteneur qui simule les connexions; Je pense que cette dernière option est moins intéressante et plus lourde (Ce dont nous avons affaire dans cet article). Une fois la création des conteneurs terminée, tout est prêt. Nous accéderons à Grafana par le port 3000 et les informations d’identification par défaut (changeme457f6460cb287 / ChangerMed23b8cc6a20e0). Dans mon cas, j’ai déjà du Grafana sur le net, Eh bien, ce contenant ne m’intéresse pas, J’exporte votre tableau de bord et l’importe dans la production Grafana, l’accès à la base de données Postgres se ferait à l’aide du port 9999tcp et des informations d’identification (changeme027a088931d22 / changeme0f40773877963).

Oh, bien, de l’intégrer à Centreon et de le faire générer des alertes de connexion, enfin, le meilleur avec des requêtes vers la base de données PostgreSQL de Honeypot lui-même, de sorte qu’avec un tel commandement que:

perl /usr/lib/centreon/plugins/centreon-plugins/centreon_plugins.pl --plugin=base de données::Postgres::plugin --mode=sql --host=DIRECCION_IP_HONEYPOT --port=9999 --database=caméléon --username=changeme027a088931d22 --password=changeme0f40773877963 --sql-statement="$ARG1$" --warning=0 --critical=0

Et les arguments de Postgres lui sont envoyés, exemple le service HTTP:

SÉLECTIONNEZ COMPTER(*) DU sniffer_table OÙ date >= (MAINTENANT() - INTERVAL '1 HOUR') ET les données->>'dst_port' = '80' AND DATA ->>'action' = 'tcpscan'


Et voici le résultat. Bien qu’il soit vrai qu’à partir du graphique que Chameleon apporte, vous pourriez configurer des alertes, Vous me connaissez déjà comme un bon centralisateur, tout passe par Centreon, Il faut tout savoir et à partir d’un seul point central.

Ce que j’ai dit, J’espère que vous l’avez trouvé curieux, Mais je pense que c’est bien d’avoir une telle machine sur notre réseau, S’ils entrent chez nous, Mieux vaut qu’on nous le dise que d’avoir à attendre que nous le découvrions nous-mêmes. Il est léger, ne consomme pas…

PS: Attention à ne pas mettre un pot de miel public sur Internet, Vous obtiendrez des données très étonnantes de la jungle qui se trouve sur Internet, d’attaques, Les ports ou informations d’identification les plus affectés par les bots; Mais s’ils violent votre machine, seront dans votre réseau; Tests Pesicola dans un réseau isolé. Un câlin,

Articles recommandés

Surveiller Crowdsec avec Centreon
Lire
Monitoring Proxmox EV avec Centreon
Lire
Superviser les tâches planifiées avec Centreon
Lire
Règles et alertes avec ElastAlert 2
Lire

Auteur

par Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, N’hésitez pas à me contacter, J’essaierai de vous aider chaque fois que je le pourrai, Partager, c’est vivre ;) . Profiter des documents!!!

Intégration de GLPI avec Active Directory

7 Décembre 2021

Installation de Telegraf + InfluxDB + Chronograf + Grafana

16 février de 2022