Honeypot unter RouterOS

Eine Möglichkeit zur Gewährleistung der Informationssicherheit von Netzwerkressourcen besteht in der Organisation speziell vorbereiteter "Honigfässer" zum einfachen Hacken, Erkennen von Bedrohungen, Identifizieren und Analysieren der entsprechenden Signaturen, gefolgt von der rechtzeitigen Blockierung von Eindringlingen. Der Artikel beschreibt die Erstellung von Honeypots im Internet mit Software von MikroTik.

Philosophischer Exkurs und Hintergrund

Das Surfen im Internet ist mit staatlichen Vorschriften verbunden, die sich in der Umsetzung der Anforderungen der Anbieter zur Einschränkung des Zugangs zu verschiedenen Websites äußern. Paranoide Menschen verschärfen die Situation mit der Tatsache, dass das DNS-Protokoll nicht verschlüsselt ist und von Dritten manipuliert werden kann. Gutes altes HTTP ist immer noch im Web zu finden. Und zum Nachtisch - Analyse unserer Interessen von Suchmaschinen, Postdiensten, Instant Messenger, sozialen Netzwerken und verschiedenen Diensten. Infolgedessen kennen / haben / hören die meisten Menschen VPN-Technologien, um der wirklichen Globalisierung des modernen Lebens zu widerstehen und die digitale Privatsphäre zu schützen. Wir berücksichtigen nicht einmal die dunkle Seite der Macht und haben keine Beziehung zu ihnen.

Als IT-Spezialisten haben wir kein moralisches Recht, vorgefertigte Lösungen von Unternehmen zu verwenden, die uns aus der Kategorie „Drücken Sie den Knopf und Sie sind im VPN“ unbekannt sind. Wir benötigen eine eigene Zertifizierungsstelle und die gesamte Public-Key-Infrastruktur. Ihr VPN-Server, volle Root, volle Kontrolle, absolute Flexibilität und Sicherheit. Die meisten von uns werden einen Linux-Server nehmen und alles wie in der technischen Aufgabe tun. Eine Schicht von Netzwerkingenieuren, die sich auf MikroTik-Hardware spezialisiert haben, würde RouterOS aus mehreren Gründen gerne irgendwo auf VP bereitstellen:

1. Einfache Integration in vorhandene Infrastruktur basierend auf RouterOS.

   
   
   
   
   

2. Das Vorhandensein einer praktischen Verwaltungsoberfläche, einschließlich einer grafischen.

   
   
   
   
   

3. Einfache Bereitstellbarkeit verschiedener Netzwerktechnologien für Switching, Routing, L7 usw.

   
   
   
   
   

4. Sicherheit und Stabilität der verwendeten Lösung.

   
   
   
   
   

5. .

   
   
   
   
   

6. VPN (openvpn, l2tp, sstp, gre, pptp).

   
   
   
   
   

MikroTik. VPS . Debian RouterOS:

mount -t tmpfs tmpfs /tmp/
cd /tmp
wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip
apt install zip
unzip chr-6.47.9.img.zip
dd if=chr-6.47.9.img of=/dev/vda bs=4M oflag=sync
echo 1 > /proc/sys/kernel/sysrq 
echo b > /proc/sysrq-trigger
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VN, , :

/ip address add interface=ether1 address=_ip
/ip route add dst-address=0.0.0.0/0 gateway=gw__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Linux bruteforce ssh-:

... system,error,critical login failure for user root from 104.211.164.221 via ssh
... system,error,critical login failure for user yu from 119.29.113.149 via ssh
... system,error,critical login failure for user laboratory from 1.245.61.144 via ssh
... system,error,critical login failure for user username from 36.133.162.171 via ssh
... system,error,critical login failure for user test from 49.232.214.91 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

honeypot Cloud Hosted Router , MikroTik. «Fools your enemy with Mikrotik».

honeypot

, RouterOS:

1. .

   
   
   
   
   

2. .

   
   
   
   
   

3. .

   
   
   
   
   

, , , , , 7 ( stable 6.48.1). : «By upgrading to RouterOS v7 you will get more details in this command output» ( /system history print detail



). , :

/system logging action set 3 remote=ip__
/system logging
	add action=remote topics=info
	add action=remote topics=critical
	add action=remote topics=error
	add action=remote topics=hotspot
	add action=remote topics=warning
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn , . - rsyslog, /etc/rsyslog.conf:

$ModLoad imudp
$UDPServerAddress ip__
$UDPServerRun 514
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

systemctl enable rsyslog



, systemctl restart rsyslog



. vpn , 514 UDP . :

2021-03-24T20:46:02.608642+06:00 ip_ system,error,critical login failure for user root from 45.124.86.155 via ssh
2021-03-24T20:51:46.427403+06:00 ip_ system,error,critical login failure for user root from 193.112.24.94 via ssh
2021-03-24T20:52:48.378138+06:00 ip_ system,error,critical login failure for user ts3srv from 107.173.209.238 via ssh
2021-03-24T20:53:02.692985+06:00 ip_ system,error,critical login failure for user root from 61.7.147.29 via ssh
2021-03-24T20:53:15.616354+06:00 ip_ system,error,critical login failure for user user14 from 68.183.84.215 via ssh
2021-03-24T20:53:54.436415+06:00 ip_ system,error,critical login failure for user root from 52.172.165.176 via ssh
2021-03-24T20:53:56.684200+06:00 ip_ system,error,critical login failure for user php from 189.8.95.30 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VPS ftp, vpn (/ip service set ftp address=ip__



). MikroTik : /export compact file=file



. :

#!/bin/sh
HOST=ip_
USER=admin
PASSWD=___
FILE=file.rsc
SIZE=2091c

while true; do
	OUTPUTNAME=`date +%F-%H-%M-%S`.rcs
	curl -u $USER:$PASSWD ftp://$HOST/$FILE > /root/exports/$OUTPUTNAME
	find /root/exports/ -type 'f' -size 0 -delete
	find /root/exports/ -type 'f' -size $SIZE -delete
	sleep 5;
done
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

SIZE honeypot. , . , /root/exports - . , rsyslog ( /etc/rsyslog.conf):

if $fromhost-ip contains 'ip__' then {
        if $msg contains 'ftp' then /dev/null
        else /var/log/mikrotik.log
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

. , net-flow , –  packet-sniffer:

/tool sniffer
set filter-interface=ether1 filter-port=!ssh,!winbox,!ftp,!___vpn \
    filter-stream=yes memory-scroll=no streaming-enabled=yes \
    streaming-server=ip__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn, ssh winbox, ftp. UDP Tazmen Sniffer Protocol (TZSP), tcpdump-, , Trafr MikroTik. .

. , honeypot   RouterOS " " root qwerty ( «user root logged in»). , . 10 ( , , ) , :

:local DELAY 600;
:local USER root;

:local STRING "user $USER logged in";
:foreach line in=[/log find message~$STRING] do={
	if ([ /tool sniffer get running] = no) do={
		/tool sniffer start;
	}
	:delay $DELAY;
	/system shutdown;
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

/console clear-history



. honeypot , , email, - . . , root - honeypot, . ( ) - :

sshpass -p ___ ssh admin@ip_ /user disable root
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

!

PS Ende 2020 haben wir ein Projekt zur Organisation des öffentlichen Internetzugangs für das internationale Unternehmen " Coffee Cup " durchgeführt: 5 eigene Bars im "Coffee to go " -Format in verschiedenen Städten sowie Händler in ganz Russland und den USA GUS-Länder (bis die letzten Hände nicht erreichten). Was nicht überraschend ist, aber unter den Clients von Hotspot-Netzwerken gibt es keine sauberen Hände, die versuchen, Zugang zu Routern zu erhalten. Es ist sozusagen interessant, sie "am Sehen" zu erkennen ...