Существует простая по своей идее и в то же время достаточно эффективная система повышения безопасности локальной сети с помощью технологии honeypot. Я раньше прохладно относился к этой идее, думал что это что-то замороченное, чем пользуются в основном безопасники или другие специалисты, специализирующиеся в основном на защите.
Но на самом деле Honeypots могут помочь любому сисадмину, который старается защитить свои системы от взлома. Идея там простая. Вы ставите в локальной сети некое ПО, которое смотрит открытыми портами в сеть. Например, там могут быть открыты порты SSH, SMTP, SIP и т.д. Как только кто-то стукнется на любой из этих открытых портов, вы получите оповещение.
В нормальной ситуации вряд ли кто-то в вашей локалке будет сканить и стучаться на порты неизвестной ему машины. Если это происходит, значит надо обратить внимание и посмотреть, кто там такой любопытный. Возможно завёлся какой-то червь или просто любопытный сотрудник решил посмотреть, что тут интересного в локалке. В любом случае, надо что-то предпринять. Есть и другой вариант. Например, ставите рабочий VOIP сервер на внешний IP и рядом на соседний IP Honeypot. Всех, кто стучится на Honeypot, баните на обоих серверах.
Одним из вариантов реализации honeypot может служить T-Pot. Это готовый инструмент, который ставится в автоматическом режиме и дальше управляется через веб интерфейс. Для установки нужен будет дистрибутив Debian 10 (на 11 не встанет).
А вот и вся установка:
# git clone https://github.com/telekom-security/tpotce# cd tpotce/iso/installer/# ./install.sh --type=userПосле установки вас отключит от ssh, так как на родном порту 22 будет запущен honeypot. Подключаться надо на порт 64295. Управление осуществляется через браузер по ip адресу сервера и порт 64297.
T-Pot в своей основе использует Docker для запуска всех своих служб. Система достаточно замороченная и многокомпонентная. Для хранения и визуализации данных использует ELK, так что ресурсов надо не мало. Хотя бы 4 гига памяти, а лучше 8. Процессора 2-4 ядра.
У T-Pot неплохая документация и обширный функционал. Всё управление через веб интерфейс, так что каких-то особых знаний, чтобы просто запустить и попробовать не требуется. Достаточно базовых знаний Linux. Разбираться в Docker или ELK не обязательно.
Исходники - https://github.com/telekom-security/tpotce
Отправить комментарий