ЛР 3.15 - Настройка HoneyPot
HoneyPot - программная приманка, эмулирующая работу потенциально интересного для злоумышленника сервиса. В данной ЛР мы c помощью PentBox создадим эмуляцию веб-сервера вместо перемещенного в DMZ.
- Создайте во внутренней сети labnet новую ВМ с именем honeypot и адресом 172.16.0.10/24.
- Подключитесь к новой ВМ, установите зависимости и склонируйте архив с исходниками:
apt install ruby git
git clone https://github.com/technicaldada/pentbox
cd pentbox/
- Распакуйте архив и перейдите в директорию:
tar xzvf pentbox.tar.gz
cd pentbox-1.8/
- Запустите PentBox и, используя интерактивное меню, запустите сервис:
./pentbox.rb
Network tools - HoneyPot- Manual Configuration
###
Port to open - 80
False message to show - 500 Internal Server Error
Save a log - y
Log file name - /var/log/pentbox.log
Activate beep sound - n
- Напишите однострочную консольную команду, вытаскивающую из логов ip атакующего и создающую правило iptables, запрещающее обращения с этого ip на 80 порт.
(Используйте grep
, cut
или sed
, uniq
и awk
)
grep -a ATTEMPT /var/log/pentbox.log | cut -d ' ' -f 7 | cut -d ':' -f 1 | uniq | awk '{system("iptables -A INPUT -s " $1 " -p tcp --dport 80 -j DROP")}'