Настройка HoneyPot
HoneyPot - программная приманка, эмулирующая работу потенциально интересного для злоумышленника сервиса. В данной ЛР мы c помощью PentBox создадим эмуляцию веб-сервера вместо перемещенного в DMZ.
- Создайте во внутренней сети labnet новую ВМ с именем honeypot и адресом 172.16.0.10/24.
- Подключитесь к новой ВМ, установите зависимости и склонируйте архив с исходниками:
apt install ruby git
git clone https://github.com/technicaldada/pentbox
cd pentbox/
- Распакуйте архив и перейдите в директорию:
tar xzvf pentbox.tar.gz
cd pentbox-1.8/
- Запустите PentBox и, используя интерактивное меню, запустите сервис:
./pentbox.rb
Network tools - HoneyPot- Manual Configuration ### Port to open - 80 False message to show - 500 Internal Server Error Save a log - y Log file name - /var/log/pentbox.log Activate beep sound - n
- Напишите однострочную консольную команду, вытаскивающую из логов ip атакующего и создающую правило iptables, запрещающее обращения с этого ip на 80 порт.
(Используйтеgrep
,cut
илиsed
,uniq
иawk
).
Чуть ниже белым по белому написано решение, нажмите CTRL+A, чтобы увидеть.
grep -a ATTEMPT /var/log/pentbox.log | cut -d ' ' -f 7 | cut -d ':' -f 1 | uniq | awk '{system("iptables -A INPUT -s " $1 " -p tcp --dport 80 -j DROP")}'