我认为今天没有多少人不知道什么是蜜罐, 以及在我们的基础设施中实施它对我们来说有多好. 正如我们所知道的，这些小工具的想法是提醒和检测网络上的攻击或好奇的人; 好吧，在这篇文章中, 我们还将了解如何将其与 Centreon 集成.

Hacía tiempo que no jugaba con un Honeypot, recientemente, en un post, los chicos de El Hacker me dieron alguna idea interesante. Puede que sea muy atractivo colocarlos en la parte pública y detectar los ataques que puedan sufrir nuestras IPs públicas, pero quizá sea más interesante desplegar un Honeypot ligero en cada segmento de red que dispongamos. Con la idea de detectar curiosos, bots, o cualquier escaneo que pueda existir en nuestra red interna.

La verdad que existen numerosos Honeypots y quizá por ello os he nombrado anteriormente el post de El Hacker, la gran mayoría se despliegan en un tris, y disponen de interfaces preciosas. 就我而言, andaba buscando uno ligero, uno que detecte y responda a ciertos servicios, a los más comunes que pueda existir en una red (telnet, smb, RDP, LDAP 协议, HTTP 协议…). 我说了什么, si alguien intenta conectar a un puerto de esta máquina lo sabremos, sea un ransomware que intenta desplazarse, un escaneo de puertos de algún coti, o un bot intentando hacer una fuerza bruta. El propio Honeypot podría alertarme, pero como sabéis, si puedo centralizarlo en Centreon, y saber el estado del Honeypot, pues mejor que mejor… y si alguien le levanta una conexión, pues alerta que me llega.

总, no necesitamos nada más que un Ubuntu 18.04 con 1vCPU y por ponerle 2GB de RAM, nos basaremos en este simple pero efectivo Honeypot, llamado Chameleon. Trae un dashboard ya precreado en su propio Grafana y consiste en un pack de 19 honeypots personalizables para los servicios: DNS 解析, HTTP Proxy, HTTP 协议, HTTPS 协议, SSH 公司, POP3, IMAP 协议, STMP, RDP, VNC, SMB （中小型企业）, SOCKS5, 雷迪斯, 泰尔内特, Postgres, MySQL （MySQL的, MSSQL, Elastic y LDAP.

Antes de desplegar nada, que será maravilloso gracias a los contenedores de Docker, 我们将不得不更改我们 Ubuntu 的 SSH 连接端口, 因为 22tcp 将被一个蜜罐使用, 所以编辑 ‘/etc/ssh/sshd_config’ 设置一个较高的端口, 比如 2222tcp (港口 2222) 然后重启 sshd 守护进程 ‘sudo systemctl restart sshd’.

只需克隆 Chameleon 的仓库, 然后运行一个脚本, 它会处理所有事情, 接下来就是等待.

git 克隆 HTTPS://github.com/qeeqbox/chameleon.git
cd chameleon
sudo chmod +x ./run.sh
sudo ./run.sh deploy
sudo ./run.sh test 

我们至少有两个选项, (我) deploy, 将部署 3 一个 Grafana 容器, 另一个是 Postgres 容器和蜂蜜罐容器. 这个选项 (第二) 测试, 另外会部署一个 syslog 和一个模拟连接的容器; 我觉得这个最后的选项不那么有趣，而且更重 (对于我们在这篇文章中尝试的内容). Una vez haya finalizado la creación de los contenedores estará todo listo. Accederemos a Grafana por el puerto 3000 y los credenciales predeterminados (changeme457f6460cb287 / changemed23b8cc6a20e0). En mi caso que ya tengo de algún Grafana en la red, pues este contenedor no me interesa, exporto su dashboard y lo importo en el Grafana de producción, el acceso a la BD de Postgres sería usando el puerto 9999tcp y los credenciales (changeme027a088931d22 / changeme0f40773877963).

哦，好吧, para integrarlo en Centreon y que éste sea el generador de las alertas de conexiones, pues lo mejor con consultas a la BD de PostgreSQL del propio Honeypot, así que con un Comando tal que:

perl /usr/lib/centreon/plugins/centreon-plugins/centreon_plugins.pl --plugin=database::Postgres::插件 --mode=sql --host=DIRECCION_IP_HONEYPOT --port=9999 --database=chameleon --username=changeme027a088931d22 --password=changeme0f40773877963 --sql-statement="$ARG1$" --warning=0 --critical=0

并且作为参数传递Postgres查询, 例如HTTP服务:

选择计数(*) FROM sniffer_table WHERE date >= (现在() - INTERVAL '1 HOUR') AND data->>'dst_port' = '80' AND DATA ->>'action' = 'tcpscan'

结果将是. 虽然确实可以在Chameleon自带的Grafana中配置告警, 你们都知道我作为一个好的集中化管理者, 一切都通过Centreon, 必须从一个中央点掌握所有信息.

我说了什么, 希望你们觉得有趣, 但我认为在我们的网络中有这样一台机器是好的, 如果我们遭到攻击, 最好有人先告诉我们，而不是等待自己发现. Es ligera, no consume…

附言: 注意不要在互联网上放置公共蜜罐, 你们会从互联网的混乱中收集到非常惊人的数据, 关于攻击情况, 最受影响的端口或机器人尝试的凭证; 但如果有人攻破了你们的机器, 他们就会在你们的网络中; 在隔离网络中用小测试进行实验. 拥抱,