今日、ハニーポットが何であるかを知らない人は多くないと思います, そして、それを私たちのインフラストラクチャに実装することが私たちにとってどれほど良いことか. 私たちが知っているように、これらのガジェットの考え方は、ネットワーク上の攻撃や好奇心旺盛な人々に警告し、検出することです; さて、この投稿では, また、Centreonと統合する方法も見ていきます.

ハニーポットで遊ぶのは久しぶりです, 最近, 投稿で, の男の子たち ハッカー 彼らは私にいくつかの興味深いアイデアをくれました. それらを公開部分に配置し、公開IPが受ける可能性のある攻撃を検出することは非常に魅力的かもしれません, しかし、おそらく、私たちが持っている各ネットワークセグメントに軽量のハニーポットをデプロイする方が面白いでしょう. 好奇心旺盛な人を検出するという考えで, ボット, または、当社の内部ネットワークに存在する可能性のあるスキャン.

真実は、多数のハニーポットがあり、おそらくそれが私が以前にあなたにハッカーのポストを指名した理由です, 大多数はあっという間に展開します, そして美しいインターフェースを持っています. 私の場合は, 軽いやつを探していました, 特定のサービスを検出して応答するもの, ネットワークに存在する可能性のある最も一般的なものへ (telnet (英語), SMBの, RDPの, LDAP (英語), HTTPの…). 私が言ったこと, 誰かがこのマシンのポートに接続しようとすると、わかります, ランサムウェアは動こうとしていますか, 一部のコティのポートスキャン, または、ボットがブルートフォース攻撃を試みている. ハニーポット自体が私に警告する可能性があります, しかし、ご存知のように, Centreonに一元化できれば, ハニーポットの状況を知る, いや、もっといい… そして、誰かがあなたとつながりを持つようになったら, まあ、それが私に届くことを私に警告してください.

トータル, Ubuntu以上のものは必要ありません 18.04 1vCPU を搭載し、2GB の RAM を搭載, 私たちはこのシンプルだが効果的なハニーポットに頼ります, カメレオンと呼ばれる. 独自のGrafanaで事前に作成されたダッシュボードが付属しており、 19 サービス用のカスタマイズ可能なハニーポット: DNSの, HTTP プロキシ, HTTPの, HTTPS, SSH接続, POP3の, IMAPの, STMPの, RDPの, VNCの, 中小企業, ソックス5, Redis(レディス), TELNETの, ポストグレス, MySQLの, MSSQLの, エラスティックとLDAP.

何かをデプロイする前に, それはDockerコンテナのおかげで素晴らしいでしょう, SSH接続ポートをUbuntuに変更する必要があります, 22tcpはハニーポットで使用されるため, したがって、 '/etc/ssh/sshd_config’ 私たちはいくつかの高いものを置きます, 2222tcpのように (港 2222) そして、sshdの悪魔「sudo systemctl restart sshd」を再起動しました.

カメレオンリポジトリをクローンするだけで十分です, スクリプトを実行します, そして、彼はすべての面倒を見てくれるでしょう, 待つ時が来ました.

git clone https://github.com/qeeqbox/chameleon.git CD カメレオン sudo chmod +x ./run.sh sudo ./run.sh deploy sudo ./run.sh test 

少なくとも2つのオプションがあります, (私) 展開, 展開 3 コンテナ a Grafana, もう1つはPostgresともう1つはHoneyPotsと. オプション (イ) 試験, また、syslog と接続をシミュレートするコンテナもデプロイします; この最後のオプションは、あまり面白くなく、重いと思います (この投稿で扱っていること). コンテナの作成が完了すると、すべての準備が整います. 港からGrafanaにアクセスします 3000 とデフォルトの資格情報 (チェンジミー457F6460CB287 / チェンジメッド23b8cc6a20e0). 私の場合、ネット上にはすでにGrafanaがあります, まあ、このコンテナは私には興味がありません, ダッシュボードをエクスポートして、本番環境のGrafanaにインポートします, Postgres データベースへのアクセスは、ポート 9999tcp と資格情報を使用します (チェンジミー027A088931D22 / チェンジミー0F40773877963).

あ、まあ, それをCentreonに統合し、接続アラートの生成者にすること, まあ、Honeypot自体のPostgreSQL DBへのクエリに最適です, だから、そのようなコマンドで:

perl /usr/lib/centreon/plugins/centreon-plugins/centreon_plugins.pl --plugin=database::ポストグレス::plugin --mode=sql --host=DIRECCION_IP_HONEYPOT --port=9999 --database=chameleon --username=changeme027a088931d22 --password=changeme0f40773877963 --sql-statement="$ARG1$" --警告=0 --critical=0

そして、Postgresの議論が彼に送られます, HTTP サービスの例:

カウントを選択(*) 開始日sniffer_table場所 >= (今() - INTERVAL '1 HOUR') ANDデータ->>'dst_port' = '80' AND DATA ->>'action' = 'tcpscan'

そして、これが結果になるでしょう. 確かに、Chameleonがもたらすグラフからアラートを構成できるのは事実です, あなたはすでに私が優れたセントラライザーであることを知っています, すべてがCentreonを通過します, あなたはすべてを、そして単一の中心点から見つけ出さなければなりません.

私が言ったこと, 興味を持っていただけたでしょうか, しかし、私たちのネットワーク上にそのようなマシンがあるのは良いことだと思います, 彼らが私たちに入った場合, 私たちが自分自身を見つけるのを待たなければならないよりも、言われる方が良いです. 軽量です, 消費しない…

追伸: インターネット上に公開ハニーポットを置くことに注意してください, あなたはインターネット上にあるジャングルから非常に驚くべきデータを得るでしょう, 攻撃の数, ボットが試行する最も影響を受けるポートまたは資格情報; しかし、彼らがあなたのマシンに違反した場合, あなたのネットワーク内にあります; 分離されたネットワークでの Pesicola テスト. ハグ,