Uma das formas de garantir a segurança da informação dos recursos de rede é a organização de "barris de mel" especialmente preparados para facilitar o hacking, detectando ameaças, identificando e analisando as assinaturas correspondentes, seguido de bloqueio atempado de intrusos. O artigo descreve a criação de honeypots na Internet a partir do software MikroTik.
Digressão filosófica e histórico
A navegação na Internet passou a ser associada a uma regulamentação governamental, expressa na implementação de requisitos por parte dos provedores para restringir o acesso a diversos sites. Os paranóicos estão agravando a situação com o fato de que o protocolo DNS não é criptografado e pode ser manipulado por terceiros. O bom e velho HTTP ainda é encontrado na web. E para sobremesa - análises de nossos interesses em motores de busca, serviços postais, mensageiros instantâneos, redes sociais e vários serviços. Como resultado, a maioria das pessoas conhece / ouviu / usa tecnologias VPN para resistir à globalização real da vida moderna a fim de proteger a privacidade digital. Nós nem mesmo levamos em consideração o lado negro do poder e não temos nenhum relacionamento com eles.
Como especialistas em TI, não temos o direito moral de usar soluções prontas de empresas desconhecidas para nós na categoria de “aperte o botão e você está em VPN”. Precisamos de nossa própria CA e de toda a infraestrutura de chave pública. Seu servidor VPN, root total, controle total, flexibilidade e segurança absolutas. A maioria de nós pegará um servidor Linux e fará tudo como no trabalho técnico. Uma camada de engenheiros de rede especializados em hardware MikroTik felizmente preferiria RouterOS implantado em algum lugar no VP por uma série de razões:
Facilidade de integração na infraestrutura existente com base no RouterOS.
A presença de uma interface de gerenciamento conveniente, incluindo uma gráfica.
Fácil implantação de várias tecnologias de rede para comutação, roteamento,
L7, etc.
Segurança e estabilidade da solução aplicada.
.
VPN (openvpn, l2tp, sstp, gre, pptp).
MikroTik. VPS . Debian RouterOS:
mount -t tmpfs tmpfs /tmp/
cd /tmp
wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip
apt install zip
unzip chr-6.47.9.img.zip
dd if=chr-6.47.9.img of=/dev/vda bs=4M oflag=sync
echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger
, VN, , :
/ip address add interface=ether1 address=_ip /ip route add dst-address=0.0.0.0/0 gateway=gw__
Linux bruteforce ssh-:
... system,error,critical login failure for user root from 104.211.164.221 via ssh
... system,error,critical login failure for user yu from 119.29.113.149 via ssh
... system,error,critical login failure for user laboratory from 1.245.61.144 via ssh
... system,error,critical login failure for user username from 36.133.162.171 via ssh
... system,error,critical login failure for user test from 49.232.214.91 via ssh
honeypot Cloud Hosted Router , MikroTik. «Fools your enemy with Mikrotik».
honeypot
, RouterOS:
.
.
.
, , , , , 7 ( stable 6.48.1). : «By upgrading to RouterOS v7 you will get more details in this command output» ( /system history print detail
). , :
/system logging action set 3 remote=ip__
/system logging
add action=remote topics=info
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=hotspot
add action=remote topics=warning
vpn , . - rsyslog, /etc/rsyslog.conf:
$ModLoad imudp
$UDPServerAddress ip__
$UDPServerRun 514
systemctl enable rsyslog
, systemctl restart rsyslog
. vpn , 514 UDP . :
2021-03-24T20:46:02.608642+06:00 ip_ system,error,critical login failure for user root from 45.124.86.155 via ssh
2021-03-24T20:51:46.427403+06:00 ip_ system,error,critical login failure for user root from 193.112.24.94 via ssh
2021-03-24T20:52:48.378138+06:00 ip_ system,error,critical login failure for user ts3srv from 107.173.209.238 via ssh
2021-03-24T20:53:02.692985+06:00 ip_ system,error,critical login failure for user root from 61.7.147.29 via ssh
2021-03-24T20:53:15.616354+06:00 ip_ system,error,critical login failure for user user14 from 68.183.84.215 via ssh
2021-03-24T20:53:54.436415+06:00 ip_ system,error,critical login failure for user root from 52.172.165.176 via ssh
2021-03-24T20:53:56.684200+06:00 ip_ system,error,critical login failure for user php from 189.8.95.30 via ssh
, VPS ftp, vpn (/ip service set ftp address=ip__
). MikroTik : /export compact file=file
. :
#!/bin/sh
HOST=ip_
USER=admin
PASSWD=___
FILE=file.rsc
SIZE=2091c
while true; do
OUTPUTNAME=`date +%F-%H-%M-%S`.rcs
curl -u $USER:$PASSWD ftp://$HOST/$FILE > /root/exports/$OUTPUTNAME
find /root/exports/ -type 'f' -size 0 -delete
find /root/exports/ -type 'f' -size $SIZE -delete
sleep 5;
done
SIZE honeypot. , . , /root/exports - . , rsyslog ( /etc/rsyslog.conf):
if $fromhost-ip contains 'ip__' then {
if $msg contains 'ftp' then /dev/null
else /var/log/mikrotik.log
}
. , net-flow , – packet-sniffer:
/tool sniffer
set filter-interface=ether1 filter-port=!ssh,!winbox,!ftp,!___vpn \
filter-stream=yes memory-scroll=no streaming-enabled=yes \
streaming-server=ip__
vpn, ssh winbox, ftp. UDP Tazmen Sniffer Protocol (TZSP), tcpdump-, , Trafr MikroTik. .
. , honeypot RouterOS " " root qwerty ( «user root logged in»). , . 10 ( , , ) , :
:local DELAY 600;
:local USER root;
:local STRING "user $USER logged in";
:foreach line in=[/log find message~$STRING] do={
if ([ /tool sniffer get running] = no) do={
/tool sniffer start;
}
:delay $DELAY;
/system shutdown;
}
/console clear-history
. honeypot , , email, - . . , root - honeypot, . ( ) - :
sshpass -p ___ ssh admin@ip_ /user disable root
!
PS No final de 2020, implementamos um projeto para organizar o acesso público à Internet para a empresa internacional " Coffee Cup ": 5 bares próprios do formato "coffee to go " em diferentes cidades, além de distribuidores em toda a Rússia e no Países da CEI (até as últimas mãos não alcançaram). O que não é surpreendente, mas entre os clientes de redes Hotspot não há mãos limpas tentando obter acesso a roteadores. É interessante, por assim dizer, reconhecê-los "de vista" ...