# honey pot установка **HoneyPot** выявление активности в сети структуры Система, призванная привлекать внимание хакеров – приманка. И она фиксирует всё, что с ней делают. Оставляем внутри инф-ры уязвимую тачку. Хакер проникает в структуру, начинает ее сканировать, обнаруживает уязвимую машинку и начинает ее ломать – это первая точка входа для него. Хакер видит нашу машинку и ломает ее первой. На тачке нет ничего – никаких прав, ничего – злоумышленник получает доступ к машинке, а мы понимаем, что в нашей сети есть «чужой». HoneyPot – это сервер, с несколькими сервисами (может быть один или несколько сервисов). Этот сервис при сканировании обычным сканером, типа nmap (он выдает уязвимый сервис) – vulnerable . Это значит, что вроде как есть уязвимый сервис, но на самом деле он просто дает знание, что это уязвимый сервис (красная стрелка) – это некоторого рода «пустышка». При обращении к этой «пустышке» определенными действиями и скриптами – эта «пустышка» начинает регистрировать события и передавать их на встроенную в HoneyPot ELK – сколько атак, откуда они идут и логи – т.е. мы реально можем обнаружить злоумышленника, который начинает сканить и сможем «ударить» по нему системами защиты (например, отключить его порт), физически обнаружить, где этот злоумышленник сейчас находится.  Есть несколько разных вариантов – куда можно поставить HoneyPot: 1. Есть зона DMZ, за ней стоят несколько FW-ов и есть WAN-зона и LAN-зона Злоумышленник мог помолать какоя-нибудь веб-сайт и выйти за его пределы в ВЬЯ-зону – нужен ли здесь HoneyPot?? Или другой момент: в LAN-зоне запустили вредоносное ПО и оно прописалось на машинке. – нужен ли здесь HoneyPot??  HoneyPot нужен и там, и там. Принцип работы у него один. И нам надо где-то его расположить. Вывод данных можно смотреть на самой HoneyPot и есть возможность вывода данных с ELK HoneyPot на внешний сервер ( на стороннюю ELK, где фактически данные собираются и обрабатываются, где можно видеть целостную картину по всей инф-ре) Мы будем устанавливать tpot-ce – это штука где собрано большое количество разных HoneyPot-ок :  Разворачивать будем целую большую HoneyPot и там смотреть уже каждую составляющую HoneyPot-ку Нам нужна топология нашeй eve-ng и дебиан-машинка. У нашей T-Pot – 8 процессоров и 8 памяти – этого должно хватить для нашей HoneyPot   Перезапускаем оба FW-а. Заходим на оба FW-а в pfSense Нужно пробросить соединение, чтобы цепляться по ssh На FW1: открываем: firewall/nat/port forward и добавляем:  На 22 порт и вписываем таргет IP – IP-шник, который получила машинка с HoneyPot + вписываем коммент:  save + apply changes У нас добавилось правило на 2223 порт -  Коннектимся на WAN-адрес 172.30.51.149:  Подключаемся от рута:  Для установки HoneyPot нужна ссылка: github.com/telecom-security/tpotce Здесь нужна вот эта часть:  Подключаемся по ssh к нашей машинке:  Проверяем, что система обновлена: apt update -> apt install git -> apt install curl -> apt install net-tools Далее, нам нужно клонировать tpotce –   Мы склонировали. Переходим в соответствующую папку:  Смотрим, что у нас здесь есть:  Видим, что есть папка iso и там есть инсталер:   Если посмотрим в инстpукцию  увидим инсталлер и выделенную строчку – копируем и вставляем:  И отредактируем tpot. Conf: У нас здесь есть: версии установки (зеленый шрифт) – можем выбрать нужную нам  оставляем – «стандартную» версию и сменим пароль: myCONF_WEB_Pw="Qq1234567" (его можно потом поменять) Сохраняем настройки и можно запускать…  - копируем и вставляем  И ставим нашу системку  Скорость установки зависит от конфига машинки (от ее железа) и интернета. Обычно установка занимает от 10 минут и больше.