Honeypot di RouterOS

Salah satu cara untuk memastikan keamanan informasi sumber daya jaringan adalah organisasi "barel madu" yang disiapkan secara khusus untuk memudahkan peretasan, mendeteksi ancaman, mengidentifikasi dan menganalisis tanda tangan yang sesuai, diikuti dengan pemblokiran penyusup tepat waktu. Artikel tersebut menjelaskan pembuatan honeypots di Internet menggunakan perangkat lunak dari MikroTik.

Penyimpangan dan latar belakang filosofis

Menjelajah Internet telah dikaitkan dengan peraturan pemerintah, yang diekspresikan dalam penerapan persyaratan oleh penyedia untuk membatasi akses ke berbagai situs. Orang-orang paranoid memperburuk situasi dengan fakta bahwa protokol DNS tidak dienkripsi dan dapat dimanipulasi oleh pihak ketiga. HTTP lama yang bagus masih ditemukan di web. Dan untuk hidangan penutup - analitik minat kami dari mesin pencari, layanan pos, pengirim pesan instan, jejaring sosial, dan berbagai layanan. Akibatnya, kebanyakan orang tahu / pernah mendengar / menggunakan teknologi VPN untuk menolak globalisasi kehidupan modern yang sebenarnya untuk melindungi privasi digital. Kami bahkan tidak memperhitungkan sisi gelap kekuatan dan tidak memiliki hubungan dengan mereka.

Sebagai spesialis TI, kami tidak memiliki hak moral untuk menggunakan solusi siap pakai dari perusahaan yang tidak kami kenal dari kategori "tekan tombol dan Anda menggunakan VPN". Kami membutuhkan CA kami sendiri dan seluruh infrastruktur kunci publik. Server VPN Anda, root penuh, kontrol penuh, fleksibilitas dan keamanan mutlak. Sebagian besar dari kita akan menggunakan server Linux dan melakukan segalanya seperti dalam tugas teknis. Lapisan insinyur jaringan yang berspesialisasi dalam perangkat keras MikroTik akan dengan senang hati memilih RouterOS yang digunakan di suatu tempat di VP karena sejumlah alasan:

1. Kemudahan integrasi ke infrastruktur yang ada berdasarkan RouterOS.

   
   
   
   
   

2. Kehadiran antarmuka manajemen yang nyaman, termasuk antarmuka grafis.

   
   
   
   
   

3. Kemudahan penggunaan berbagai teknologi jaringan untuk peralihan, perutean, L7 , dll.

   
   
   
   
   

4. Keamanan dan stabilitas solusi yang diterapkan.

   
   
   
   
   

5. .

   
   
   
   
   

6. VPN (openvpn, l2tp, sstp, gre, pptp).

   
   
   
   
   

MikroTik. VPS . Debian RouterOS:

mount -t tmpfs tmpfs /tmp/
cd /tmp
wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip
apt install zip
unzip chr-6.47.9.img.zip
dd if=chr-6.47.9.img of=/dev/vda bs=4M oflag=sync
echo 1 > /proc/sys/kernel/sysrq 
echo b > /proc/sysrq-trigger
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VN, , :

/ip address add interface=ether1 address=_ip
/ip route add dst-address=0.0.0.0/0 gateway=gw__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Linux bruteforce ssh-:

... system,error,critical login failure for user root from 104.211.164.221 via ssh
... system,error,critical login failure for user yu from 119.29.113.149 via ssh
... system,error,critical login failure for user laboratory from 1.245.61.144 via ssh
... system,error,critical login failure for user username from 36.133.162.171 via ssh
... system,error,critical login failure for user test from 49.232.214.91 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

honeypot Cloud Hosted Router , MikroTik. «Fools your enemy with Mikrotik».

honeypot

, RouterOS:

1. .

   
   
   
   
   

2. .

   
   
   
   
   

3. .

   
   
   
   
   

, , , , , 7 ( stable 6.48.1). : «By upgrading to RouterOS v7 you will get more details in this command output» ( /system history print detail



). , :

/system logging action set 3 remote=ip__
/system logging
	add action=remote topics=info
	add action=remote topics=critical
	add action=remote topics=error
	add action=remote topics=hotspot
	add action=remote topics=warning
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn , . - rsyslog, /etc/rsyslog.conf:

$ModLoad imudp
$UDPServerAddress ip__
$UDPServerRun 514
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

systemctl enable rsyslog



, systemctl restart rsyslog



. vpn , 514 UDP . :

2021-03-24T20:46:02.608642+06:00 ip_ system,error,critical login failure for user root from 45.124.86.155 via ssh
2021-03-24T20:51:46.427403+06:00 ip_ system,error,critical login failure for user root from 193.112.24.94 via ssh
2021-03-24T20:52:48.378138+06:00 ip_ system,error,critical login failure for user ts3srv from 107.173.209.238 via ssh
2021-03-24T20:53:02.692985+06:00 ip_ system,error,critical login failure for user root from 61.7.147.29 via ssh
2021-03-24T20:53:15.616354+06:00 ip_ system,error,critical login failure for user user14 from 68.183.84.215 via ssh
2021-03-24T20:53:54.436415+06:00 ip_ system,error,critical login failure for user root from 52.172.165.176 via ssh
2021-03-24T20:53:56.684200+06:00 ip_ system,error,critical login failure for user php from 189.8.95.30 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VPS ftp, vpn (/ip service set ftp address=ip__



). MikroTik : /export compact file=file



. :

#!/bin/sh
HOST=ip_
USER=admin
PASSWD=___
FILE=file.rsc
SIZE=2091c

while true; do
	OUTPUTNAME=`date +%F-%H-%M-%S`.rcs
	curl -u $USER:$PASSWD ftp://$HOST/$FILE > /root/exports/$OUTPUTNAME
	find /root/exports/ -type 'f' -size 0 -delete
	find /root/exports/ -type 'f' -size $SIZE -delete
	sleep 5;
done
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

SIZE honeypot. , . , /root/exports - . , rsyslog ( /etc/rsyslog.conf):

if $fromhost-ip contains 'ip__' then {
        if $msg contains 'ftp' then /dev/null
        else /var/log/mikrotik.log
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

. , net-flow , –  packet-sniffer:

/tool sniffer
set filter-interface=ether1 filter-port=!ssh,!winbox,!ftp,!___vpn \
    filter-stream=yes memory-scroll=no streaming-enabled=yes \
    streaming-server=ip__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn, ssh winbox, ftp. UDP Tazmen Sniffer Protocol (TZSP), tcpdump-, , Trafr MikroTik. .

. , honeypot   RouterOS " " root qwerty ( «user root logged in»). , . 10 ( , , ) , :

:local DELAY 600;
:local USER root;

:local STRING "user $USER logged in";
:foreach line in=[/log find message~$STRING] do={
	if ([ /tool sniffer get running] = no) do={
		/tool sniffer start;
	}
	:delay $DELAY;
	/system shutdown;
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

/console clear-history



. honeypot , , email, - . . , root - honeypot, . ( ) - :

sshpass -p ___ ssh admin@ip_ /user disable root
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

!

PS Pada akhir tahun 2020, kami melaksanakan proyek untuk mengatur akses publik ke Internet untuk perusahaan internasional " Coffee Cup ": 5 bar sendiri dengan format "coffee to go " di berbagai kota, serta dealer di seluruh Rusia dan Negara CIS (sampai tangan terakhir tidak mencapai). Yang tidak mengherankan, tetapi di antara klien jaringan Hotspot tidak ada tangan bersih yang mencoba mendapatkan akses ke router. Sangat menarik, untuk berbicara, untuk mengenali mereka "dengan melihat" ...