Honeypot sur RouterOS

L'un des moyens d'assurer la sécurité des informations des ressources du réseau est l'organisation de «barils de miel» spécialement préparés pour faciliter le piratage, la détection des menaces, l'identification et l'analyse des signatures correspondantes, suivi d'un blocage rapide des intrus. L'article décrit la création de pots de miel sur Internet à l'aide du logiciel de MikroTik.

Digression philosophique et contexte

La navigation sur Internet est devenue associée à la réglementation gouvernementale, exprimée dans la mise en œuvre d'exigences par les fournisseurs de restreindre l'accès à divers sites. Les paranoïaques aggravent la situation avec le fait que le protocole DNS n'est pas crypté et qu'il peut être manipulé par des tiers. Le bon vieux HTTP se trouve toujours sur le Web. Et pour le dessert - analyse de nos intérêts à partir des moteurs de recherche, des services postaux, des messageries instantanées, des réseaux sociaux et de divers services. En conséquence, la plupart des gens connaissent / ont entendu / utilisent les technologies VPN pour résister à la véritable mondialisation de la vie moderne afin de protéger la confidentialité numérique. Nous ne prenons même pas en compte le côté obscur du pouvoir et n'avons aucune relation avec eux.

En tant que spécialistes de l'informatique, nous n'avons aucun droit moral d'utiliser des solutions toutes faites d'entreprises inconnues de nous dans la catégorie «appuyez sur le bouton et vous êtes en VPN». Nous avons besoin de notre propre CA et de toute l'infrastructure à clé publique. Votre serveur VPN, root complet, contrôle total, flexibilité et sécurité absolues. La plupart d'entre nous prendront un serveur Linux et ferons tout comme dans la mission technique. Une couche d'ingénieurs réseau spécialisés dans le matériel MikroTik préférerait volontiers RouterOS déployé quelque part sur VP pour un certain nombre de raisons:

1. Facilité d'intégration dans l'infrastructure existante basée sur RouterOS.

   
   
   
   
   

2. La présence d'une interface de gestion pratique, y compris une interface graphique.

   
   
   
   
   

3. Déploiement facile de diverses technologies de réseau pour la commutation, le routage, L7 , etc.

   
   
   
   
   

4. Sécurité et stabilité de la solution appliquée.

   
   
   
   
   

5. .

   
   
   
   
   

6. VPN (openvpn, l2tp, sstp, gre, pptp).

   
   
   
   
   

MikroTik. VPS . Debian RouterOS:

mount -t tmpfs tmpfs /tmp/
cd /tmp
wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip
apt install zip
unzip chr-6.47.9.img.zip
dd if=chr-6.47.9.img of=/dev/vda bs=4M oflag=sync
echo 1 > /proc/sys/kernel/sysrq 
echo b > /proc/sysrq-trigger
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VN, , :

/ip address add interface=ether1 address=_ip
/ip route add dst-address=0.0.0.0/0 gateway=gw__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Linux bruteforce ssh-:

... system,error,critical login failure for user root from 104.211.164.221 via ssh
... system,error,critical login failure for user yu from 119.29.113.149 via ssh
... system,error,critical login failure for user laboratory from 1.245.61.144 via ssh
... system,error,critical login failure for user username from 36.133.162.171 via ssh
... system,error,critical login failure for user test from 49.232.214.91 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

honeypot Cloud Hosted Router , MikroTik. «Fools your enemy with Mikrotik».

honeypot

, RouterOS:

1. .

   
   
   
   
   

2. .

   
   
   
   
   

3. .

   
   
   
   
   

, , , , , 7 ( stable 6.48.1). : «By upgrading to RouterOS v7 you will get more details in this command output» ( /system history print detail



). , :

/system logging action set 3 remote=ip__
/system logging
	add action=remote topics=info
	add action=remote topics=critical
	add action=remote topics=error
	add action=remote topics=hotspot
	add action=remote topics=warning
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn , . - rsyslog, /etc/rsyslog.conf:

$ModLoad imudp
$UDPServerAddress ip__
$UDPServerRun 514
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

systemctl enable rsyslog



, systemctl restart rsyslog



. vpn , 514 UDP . :

2021-03-24T20:46:02.608642+06:00 ip_ system,error,critical login failure for user root from 45.124.86.155 via ssh
2021-03-24T20:51:46.427403+06:00 ip_ system,error,critical login failure for user root from 193.112.24.94 via ssh
2021-03-24T20:52:48.378138+06:00 ip_ system,error,critical login failure for user ts3srv from 107.173.209.238 via ssh
2021-03-24T20:53:02.692985+06:00 ip_ system,error,critical login failure for user root from 61.7.147.29 via ssh
2021-03-24T20:53:15.616354+06:00 ip_ system,error,critical login failure for user user14 from 68.183.84.215 via ssh
2021-03-24T20:53:54.436415+06:00 ip_ system,error,critical login failure for user root from 52.172.165.176 via ssh
2021-03-24T20:53:56.684200+06:00 ip_ system,error,critical login failure for user php from 189.8.95.30 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VPS ftp, vpn (/ip service set ftp address=ip__



). MikroTik : /export compact file=file



. :

#!/bin/sh
HOST=ip_
USER=admin
PASSWD=___
FILE=file.rsc
SIZE=2091c

while true; do
	OUTPUTNAME=`date +%F-%H-%M-%S`.rcs
	curl -u $USER:$PASSWD ftp://$HOST/$FILE > /root/exports/$OUTPUTNAME
	find /root/exports/ -type 'f' -size 0 -delete
	find /root/exports/ -type 'f' -size $SIZE -delete
	sleep 5;
done
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

SIZE honeypot. , . , /root/exports - . , rsyslog ( /etc/rsyslog.conf):

if $fromhost-ip contains 'ip__' then {
        if $msg contains 'ftp' then /dev/null
        else /var/log/mikrotik.log
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

. , net-flow , –  packet-sniffer:

/tool sniffer
set filter-interface=ether1 filter-port=!ssh,!winbox,!ftp,!___vpn \
    filter-stream=yes memory-scroll=no streaming-enabled=yes \
    streaming-server=ip__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn, ssh winbox, ftp. UDP Tazmen Sniffer Protocol (TZSP), tcpdump-, , Trafr MikroTik. .

. , honeypot   RouterOS " " root qwerty ( «user root logged in»). , . 10 ( , , ) , :

:local DELAY 600;
:local USER root;

:local STRING "user $USER logged in";
:foreach line in=[/log find message~$STRING] do={
	if ([ /tool sniffer get running] = no) do={
		/tool sniffer start;
	}
	:delay $DELAY;
	/system shutdown;
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

/console clear-history



. honeypot , , email, - . . , root - honeypot, . ( ) - :

sshpass -p ___ ssh admin@ip_ /user disable root
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

!

PS Fin 2020, nous avons mis en place un projet pour organiser l'accès public à Internet pour la société internationale " Coffee Cup ": 5 propres bars du format "coffee to go " dans différentes villes, ainsi que des revendeurs dans toute la Russie et le Pays de la CEI (jusqu'à ce que les dernières mains ne soient pas atteintes). Ce qui n'est pas surprenant, mais parmi les clients des réseaux Hotspot, il n'y a pas de mains propres qui essaient d'accéder aux routeurs. Il est intéressant, pour ainsi dire, de les reconnaître "à vue" ...