ネットワークリソースの情報セキュリティを確保する方法の1つは、ハッキングを容易にし、脅威を検出し、対応するシグネチャを識別および分析し、侵入者をタイムリーにブロックするために特別に準備された「蜂蜜のバレル」を編成することです。この記事では、MikroTikのソフトウェアを使用したインターネット上でのハニーポットの作成について説明しています。
哲学的余談と背景
インターネットサーフィンは、さまざまなサイトへのアクセスを制限するプロバイダーによる要件の実装で表される政府の規制に関連付けられるようになりました。妄想的な人々は、DNSプロトコルが暗号化されておらず、サードパーティによって操作される可能性があるという事実で状況を悪化させています。古き良きHTTPはまだウェブ上にあります。そしてデザートのために-検索エンジン、郵便サービス、インスタントメッセンジャー、ソーシャルネットワークおよび様々なサービスからの私たちの興味の分析。その結果、ほとんどの人は、デジタルプライバシーを保護するために、VPNテクノロジーを知っている/聞いたことがある/使用して、現代の生活の真のグローバル化に抵抗しています。私たちは権力の暗黒面さえ考慮に入れておらず、彼らとは何の関係もありません。
ITスペシャリストとして、「ボタンを押すだけでVPNを利用できる」というカテゴリで、私たちが知らない企業の既製のソリューションを使用する道徳的権利はありません。独自のCAと公開鍵インフラストラクチャ全体が必要です。VPNサーバー、フルルート、フルコントロール、絶対的な柔軟性とセキュリティ。私たちのほとんどはLinuxサーバーを使用し、技術的な割り当てと同じようにすべてを行います。MikroTikハードウェアを専門とするネットワークエンジニアの層は、いくつかの理由から、VPのどこかに配置されたRouterOSを喜んで好むでしょう。
RouterOSに基づく既存のインフラストラクチャへの統合の容易さ。
グラフィカルなものを含む便利な管理インターフェースの存在。
スイッチング、ルーティング、
L7などのさまざまなネットワークテクノロジーの簡単な展開。
適用されたソリューションのセキュリティと安定性。
.
VPN (openvpn, l2tp, sstp, gre, pptp).
MikroTik. VPS . Debian RouterOS:
mount -t tmpfs tmpfs /tmp/
cd /tmp
wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip
apt install zip
unzip chr-6.47.9.img.zip
dd if=chr-6.47.9.img of=/dev/vda bs=4M oflag=sync
echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger
, VN, , :
/ip address add interface=ether1 address=_ip /ip route add dst-address=0.0.0.0/0 gateway=gw__
Linux bruteforce ssh-:
... system,error,critical login failure for user root from 104.211.164.221 via ssh
... system,error,critical login failure for user yu from 119.29.113.149 via ssh
... system,error,critical login failure for user laboratory from 1.245.61.144 via ssh
... system,error,critical login failure for user username from 36.133.162.171 via ssh
... system,error,critical login failure for user test from 49.232.214.91 via ssh
honeypot Cloud Hosted Router , MikroTik. «Fools your enemy with Mikrotik».
honeypot
, RouterOS:
.
.
.
, , , , , 7 ( stable 6.48.1). : «By upgrading to RouterOS v7 you will get more details in this command output» ( /system history print detail
). , :
/system logging action set 3 remote=ip__
/system logging
add action=remote topics=info
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=hotspot
add action=remote topics=warning
vpn , . - rsyslog, /etc/rsyslog.conf:
$ModLoad imudp
$UDPServerAddress ip__
$UDPServerRun 514
systemctl enable rsyslog
, systemctl restart rsyslog
. vpn , 514 UDP . :
2021-03-24T20:46:02.608642+06:00 ip_ system,error,critical login failure for user root from 45.124.86.155 via ssh
2021-03-24T20:51:46.427403+06:00 ip_ system,error,critical login failure for user root from 193.112.24.94 via ssh
2021-03-24T20:52:48.378138+06:00 ip_ system,error,critical login failure for user ts3srv from 107.173.209.238 via ssh
2021-03-24T20:53:02.692985+06:00 ip_ system,error,critical login failure for user root from 61.7.147.29 via ssh
2021-03-24T20:53:15.616354+06:00 ip_ system,error,critical login failure for user user14 from 68.183.84.215 via ssh
2021-03-24T20:53:54.436415+06:00 ip_ system,error,critical login failure for user root from 52.172.165.176 via ssh
2021-03-24T20:53:56.684200+06:00 ip_ system,error,critical login failure for user php from 189.8.95.30 via ssh
, VPS ftp, vpn (/ip service set ftp address=ip__
). MikroTik : /export compact file=file
. :
#!/bin/sh
HOST=ip_
USER=admin
PASSWD=___
FILE=file.rsc
SIZE=2091c
while true; do
OUTPUTNAME=`date +%F-%H-%M-%S`.rcs
curl -u $USER:$PASSWD ftp://$HOST/$FILE > /root/exports/$OUTPUTNAME
find /root/exports/ -type 'f' -size 0 -delete
find /root/exports/ -type 'f' -size $SIZE -delete
sleep 5;
done
SIZE honeypot. , . , /root/exports - . , rsyslog ( /etc/rsyslog.conf):
if $fromhost-ip contains 'ip__' then {
if $msg contains 'ftp' then /dev/null
else /var/log/mikrotik.log
}
. , net-flow , – packet-sniffer:
/tool sniffer
set filter-interface=ether1 filter-port=!ssh,!winbox,!ftp,!___vpn \
filter-stream=yes memory-scroll=no streaming-enabled=yes \
streaming-server=ip__
vpn, ssh winbox, ftp. UDP Tazmen Sniffer Protocol (TZSP), tcpdump-, , Trafr MikroTik. .
. , honeypot RouterOS " " root qwerty ( «user root logged in»). , . 10 ( , , ) , :
:local DELAY 600;
:local USER root;
:local STRING "user $USER logged in";
:foreach line in=[/log find message~$STRING] do={
if ([ /tool sniffer get running] = no) do={
/tool sniffer start;
}
:delay $DELAY;
/system shutdown;
}
/console clear-history
. honeypot , , email, - . . , root - honeypot, . ( ) - :
sshpass -p ___ ssh admin@ip_ /user disable root
!
PS 2020年の終わりに、国際企業「コーヒーカップ」のインターネットへのパブリックアクセスを整理するプロジェクトを実施しました。さまざまな都市の「コーヒートゥゴー」形式の5つの独自のバー、およびロシア全土のディーラーとCIS諸国(最後の手が届かないまで)。これは驚くべきことではありませんが、ホットスポットネットワークのクライアントの中には、ルーターにアクセスしようとするクリーンな手がありません。いわば「一目で」それらを認識するのは面白い…