ЛР 3.15 - Настройка HoneyPot

HoneyPot - программная приманка, эмулирующая работу потенциально интересного для злоумышленника сервиса. В данной ЛР мы c помощью PentBox создадим эмуляцию веб-сервера вместо перемещенного в DMZ.

  1. Создайте во внутренней сети labnet новую ВМ с именем honeypot и адресом 172.16.0.10/24.
  2. Подключитесь к новой ВМ, установите зависимости и склонируйте архив с исходниками:
    apt install ruby git
    git clone https://github.com/technicaldada/pentbox
    cd pentbox/
  3. Распакуйте архив и перейдите в директорию:
    tar xzvf pentbox.tar.gz
    cd pentbox-1.8/
  4. Запустите PentBox и, используя интерактивное меню, запустите сервис:
    ./pentbox.rb
    Network tools - HoneyPot- Manual Configuration
    ###
    Port to open - 80
    False message to show - 500 Internal Server Error
    Save a log - y
    Log file name - /var/log/pentbox.log
    Activate beep sound - n
  5. Напишите однострочную консольную команду, вытаскивающую из логов ip атакующего и создающую правило iptables, запрещающее обращения с этого ip на 80 порт.
    (Используйте grep, cut или sed, uniq и awk)




    grep -a ATTEMPT /var/log/pentbox.log | cut -d ' ' -f 7 | cut -d ':' -f 1 | uniq | awk '{system("iptables -A INPUT -s " $1 " -p tcp --dport 80 -j DROP")}'