Honeypot en RouterOS

Una de las formas de garantizar la seguridad de la información de los recursos de la red es la organización de "barriles de miel" especialmente preparados para facilitar la piratería, detectar amenazas, identificar y analizar las firmas correspondientes, seguido del bloqueo oportuno de intrusos. El artículo describe la creación de honeypots en Internet utilizando software de MikroTik.

Digresión filosófica y antecedentes

Navegar por Internet se ha asociado con la regulación gubernamental, expresada en la implementación de requisitos por parte de los proveedores para restringir el acceso a varios sitios. La gente paranoica está agravando la situación con el hecho de que el protocolo DNS no está encriptado y que puede ser manipulado por terceros. El buen HTTP todavía se encuentra en la web. Y de postre: análisis de nuestros intereses de motores de búsqueda, servicios postales, mensajería instantánea, redes sociales y varios servicios. Como resultado, la mayoría de las personas conocen / han escuchado / utilizan las tecnologías VPN para resistir la globalización real de la vida moderna con el fin de proteger la privacidad digital. Ni siquiera tomamos en cuenta el lado oscuro del poder y no tenemos ninguna relación con ellos.

Como especialistas en TI, no tenemos ningún derecho moral a utilizar soluciones prefabricadas de empresas desconocidas para nosotros de la categoría de "pulsa el botón y estás en VPN". Necesitamos nuestra propia CA y toda la infraestructura de claves públicas. Su servidor VPN, root total, control total, flexibilidad y seguridad absolutas. La mayoría de nosotros tomará un servidor Linux y hará todo como en la tarea técnica. Una capa de ingenieros de red especializados en hardware MikroTik preferiría con gusto que RouterOS se implementara en algún lugar de VP por varias razones:

1. Facilidad de integración en la infraestructura existente basada en RouterOS.

   
   
   
   
   

2. La presencia de una interfaz de gestión conveniente, incluida una gráfica.

   
   
   
   
   

3. Fácil implementación de varias tecnologías de red para conmutación, enrutamiento, L7 , etc.

   
   
   
   
   

4. Seguridad y estabilidad de la solución aplicada.

   
   
   
   
   

5. .

   
   
   
   
   

6. VPN (openvpn, l2tp, sstp, gre, pptp).

   
   
   
   
   

MikroTik. VPS . Debian RouterOS:

mount -t tmpfs tmpfs /tmp/
cd /tmp
wget https://download.mikrotik.com/routeros/6.47.9/chr-6.47.9.img.zip
apt install zip
unzip chr-6.47.9.img.zip
dd if=chr-6.47.9.img of=/dev/vda bs=4M oflag=sync
echo 1 > /proc/sys/kernel/sysrq 
echo b > /proc/sysrq-trigger
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VN, , :

/ip address add interface=ether1 address=_ip
/ip route add dst-address=0.0.0.0/0 gateway=gw__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Linux bruteforce ssh-:

... system,error,critical login failure for user root from 104.211.164.221 via ssh
... system,error,critical login failure for user yu from 119.29.113.149 via ssh
... system,error,critical login failure for user laboratory from 1.245.61.144 via ssh
... system,error,critical login failure for user username from 36.133.162.171 via ssh
... system,error,critical login failure for user test from 49.232.214.91 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

honeypot Cloud Hosted Router , MikroTik. «Fools your enemy with Mikrotik».

honeypot

, RouterOS:

1. .

   
   
   
   
   

2. .

   
   
   
   
   

3. .

   
   
   
   
   

, , , , , 7 ( stable 6.48.1). : «By upgrading to RouterOS v7 you will get more details in this command output» ( /system history print detail



). , :

/system logging action set 3 remote=ip__
/system logging
	add action=remote topics=info
	add action=remote topics=critical
	add action=remote topics=error
	add action=remote topics=hotspot
	add action=remote topics=warning
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn , . - rsyslog, /etc/rsyslog.conf:

$ModLoad imudp
$UDPServerAddress ip__
$UDPServerRun 514
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

systemctl enable rsyslog



, systemctl restart rsyslog



. vpn , 514 UDP . :

2021-03-24T20:46:02.608642+06:00 ip_ system,error,critical login failure for user root from 45.124.86.155 via ssh
2021-03-24T20:51:46.427403+06:00 ip_ system,error,critical login failure for user root from 193.112.24.94 via ssh
2021-03-24T20:52:48.378138+06:00 ip_ system,error,critical login failure for user ts3srv from 107.173.209.238 via ssh
2021-03-24T20:53:02.692985+06:00 ip_ system,error,critical login failure for user root from 61.7.147.29 via ssh
2021-03-24T20:53:15.616354+06:00 ip_ system,error,critical login failure for user user14 from 68.183.84.215 via ssh
2021-03-24T20:53:54.436415+06:00 ip_ system,error,critical login failure for user root from 52.172.165.176 via ssh
2021-03-24T20:53:56.684200+06:00 ip_ system,error,critical login failure for user php from 189.8.95.30 via ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

, VPS ftp, vpn (/ip service set ftp address=ip__



). MikroTik : /export compact file=file



. :

#!/bin/sh
HOST=ip_
USER=admin
PASSWD=___
FILE=file.rsc
SIZE=2091c

while true; do
	OUTPUTNAME=`date +%F-%H-%M-%S`.rcs
	curl -u $USER:$PASSWD ftp://$HOST/$FILE > /root/exports/$OUTPUTNAME
	find /root/exports/ -type 'f' -size 0 -delete
	find /root/exports/ -type 'f' -size $SIZE -delete
	sleep 5;
done
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

SIZE honeypot. , . , /root/exports - . , rsyslog ( /etc/rsyslog.conf):

if $fromhost-ip contains 'ip__' then {
        if $msg contains 'ftp' then /dev/null
        else /var/log/mikrotik.log
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

. , net-flow , –  packet-sniffer:

/tool sniffer
set filter-interface=ether1 filter-port=!ssh,!winbox,!ftp,!___vpn \
    filter-stream=yes memory-scroll=no streaming-enabled=yes \
    streaming-server=ip__
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

vpn, ssh winbox, ftp. UDP Tazmen Sniffer Protocol (TZSP), tcpdump-, , Trafr MikroTik. .

. , honeypot   RouterOS " " root qwerty ( «user root logged in»). , . 10 ( , , ) , :

:local DELAY 600;
:local USER root;

:local STRING "user $USER logged in";
:foreach line in=[/log find message~$STRING] do={
	if ([ /tool sniffer get running] = no) do={
		/tool sniffer start;
	}
	:delay $DELAY;
	/system shutdown;
}
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

/console clear-history



. honeypot , , email, - . . , root - honeypot, . ( ) - :

sshpass -p ___ ssh admin@ip_ /user disable root
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

!

PD A finales de 2020, implementamos un proyecto para organizar el acceso público a Internet para la empresa internacional " Coffee Cup ": 5 bares propios del formato "coffee to go " en diferentes ciudades, así como distribuidores en toda Rusia y el Países de la CEI (hasta que no llegaron las últimas manos). Lo cual no es sorprendente, pero entre los clientes de las redes Hotspot no hay manos limpias tratando de acceder a los enrutadores. Es interesante, por así decirlo, reconocerlos "de vista" ...