Penso che oggi non siano in molti a non sapere cosa sia un Honeypot, e quanto può essere positivo per noi averlo implementato nelle nostre infrastrutture. L'idea di questi gadget come sappiamo è quella di avvisare e rilevare attacchi o persone curiose sulla rete; Bene, in questo post, vedremo anche come integrarlo con Centreon.

È passato molto tempo dall'ultima volta che ho giocato con un Honeypot, recentemente, In un post, I ragazzi di L'hacker Mi hanno dato alcune idee interessanti. Potrebbe essere molto interessante posizionarli nella parte pubblica e rilevare gli attacchi che i nostri IP pubblici potrebbero subire, ma forse è più interessante implementare un Honeypot leggero in ogni segmento di rete che abbiamo. Con l'idea di individuare persone curiose, Bot, o eventuali scansioni che potrebbero esistere sulla nostra rete interna.

La verità è che ci sono numerosi Honeypot e forse è per questo che ti ho precedentemente nominato il post di The Hacker, La stragrande maggioranza si dispiega in un lampo, e hanno bellissime interfacce. Nel mio caso, Ne cercavo uno leggero, uno che rileva e risponde a determinati servizi, ai più comuni che possono esistere in una rete (telnet, Smb, Rdp, LDAP, Protocollo HTTP…). Cosa ho detto, Se qualcuno tenta di connettersi a una porta su questa macchina, lo sapremo, è il ransomware che sta cercando di spostarsi, Una scansione del porto di alcuni coti, o un bot che cerca di usare la forza bruta. Honeypot stesso potrebbe avvisarmi, Ma come sai, se riesco a centralizzarlo in Centreon, e conosci lo stato dell'Honeypot, Beh, ancora meglio… E se qualcuno crea una connessione con te, Beh, avvisami che mi raggiunge.

Totale, non abbiamo bisogno di nient'altro che di un Ubuntu 18.04 con 1vCPU e per mettere 2GB di RAM, ci affideremo a questo semplice ma efficace Honeypot, chiamato Camaleonte. Viene fornito con una dashboard già pre-creata nel proprio Grafana ed è composto da un pacchetto di 19 Honeypot personalizzabili per i servizi: DNS, HTTP Proxy, Protocollo HTTP, HTTPS, Ssh, POP3, IMAP, STMP, RDP, VNC, SMB, CALZINI5, Redis, TELNET, Postgres, MySQL, MSSQL, Elastico e LDAP.

Prima di distribuire qualsiasi cosa, che sarà meraviglioso grazie ai container Docker, dovremo cambiare la porta di connessione SSH al nostro Ubuntu, poiché il 22TCP sarà utilizzato da un honeypot, Quindi modificando il '/etc/ssh/sshd_config’ Abbiamo messo un po' di alto, come 2222TCP (Porto 2222) E abbiamo riavviato il demone di sshd 'sudo systemctl restart sshd'.

Basterà clonare il repo Chameleon, ed eseguire uno script, E lui si occuperà di tutto, È tempo di aspettare.

git clone https://github.com/qeeqbox/chameleon.git CD Chameleon sudo chmod +x ./run.sh sudo ./run.sh deploy sudo ./run.sh test 

Abbiamo almeno due opzioni, (io) schierare, Schierare 3 containers a Grafana, un altro con Postgres e un altro con gli HoneyPots. L'opzione (Ii) test, Distribuirà anche un syslog e un contenitore che simula le connessioni; Penso che quest'ultima opzione sia meno interessante e più pesante (Di cosa ci occupiamo in questo post). Una volta completata la creazione dei container, tutto è pronto. Accederemo a Grafana attraverso il porto 3000 e credenziali predefinite (changeme457f6460cb287 / CambiaMed23b8cc6a20e0). Nel mio caso ho già un po' di Grafana in rete, Beh, questo contenitore non mi interessa, Esporto la tua dashboard e la importo nella produzione di Grafana, l'accesso al database Postgres sarebbe utilizzando la porta 9999tcp e le credenziali (changeme027a088931d22 / changeme0f40773877963).

Oh, bene, per integrarlo in Centreon e farlo diventare il generatore di avvisi di connessione, beh, il meglio con le query al DB PostgreSQL di Honeypot stesso, così con un tale Comando che:

perl /usr/lib/centreon/plugins/centreon-plugins/centreon_plugins.pl --plugin=database::Postgres::plugin --mode=sql --host=DIRECCION_IP_HONEYPOT --port=9999 --database=chameleon --username=changeme027a088931d22 --password=changeme0f40773877963 --sql-statement="$ARG1$" --warning=0 --critical=0

E gli argomenti di Postgres gli vengono inviati, esempio il servizio HTTP:

SELEZIONA CONTEGGIO(*) DA sniffer_table DOVE data >= (ORA() - INTERVAL '1 HOUR') E dati->>'dst_port' = '80' AND DATA ->>'action' = 'tcpscan'

E questo sarebbe il risultato. Anche se è vero che dal grafico che porta Chameleon si potrebbero configurare gli avvisi, Mi conosci già come un buon centralizzatore, tutto passa per Centreon, Bisogna scoprire tutto e da un unico punto centrale.

Cosa ho detto, Spero che tu l'abbia trovato curioso, Ma penso che sia positivo avere una macchina del genere sulla nostra rete, Se entrano da noi, Meglio sentirsi dire che dover aspettare che lo scopriamo da soli. È leggero, non consuma…

PS: Attenzione a mettere un Honeypot pubblico su Internet, Otterrai dati davvero sorprendenti dalla giungla che si trova su Internet, di attacchi, Le porte o le credenziali più interessate tentate dai bot; Ma se violano la tua macchina, sarà nella tua rete; Test di Pesicola in una rete isolata. Un abbraccio,