# honeypot краткое описание HoneyPot – система защиты от вредоносного ПО и злоумышленника. TPOТ-CE - собранная система с кучей встроенных хонейпотов (не подойдет в качестве «боевой» системы защиты) https://github.com/telekom-security/tpotce ссылка где описана система TPOТ-CE и метод установки для полноценной работы надо поставить net-tools, curl, git в нашей TPOТ-CE далее для удобства подключится по ssh с винды для установки и дальнейшего использования нам надо будет linux debian ![](https://i.imgur.com/fiLZavT.png) Где ssh root@172.30.51.147 –p2223 является точкой подключения к трот системе через fw-1 (при соответствующих настройках на нем). Далее вводим в ком строке первые 3 строки, а перед 4-й строкой надо изменить в трот.конф имя пользака и пароль ![](https://i.imgur.com/waMF7Kb.png) Так же в tpot.conf можно изменить тип установки т.е. стандарт сенсор индустриал коллектор некстген медикал. После нажатия 4-й кнопки (install) ждем установку затем перегружаем машину… полсе ее запуска по ssh уже не подключишься( трот сама поменяла порты и их надо заменить в fw-1) вот что входит в состав программы: ![](https://i.imgur.com/IwsmxOD.png) Состав ТРОТ-системы где: ADBHoney – android debug bridge over tcp/ip – т.е. это система эмитирующая андроид с открытым ADB(5555 port). Так же она может к нему подключатся и смотреть на уязвимости… CISCO ASA – это firewall от компании циско в котором содержится cve-2018-0101(данный експлоит обнуляет конфиги) CITRIXhoneypot (citrix это система виртуализации) – содержит эксплоиты и методы защиты от них CONPOT – система для индустриальных сетей, эмитирует спец технику и следит что бы не взломали спец технику COWRIE – следит за ssh и telnet туннелями на предмет нежелательного трафика или скана сети DICOMPOT (dicom – сервер медданных и связывает мед оборудование) – не дает злоумышленнику подцепится к какому либо медоборудованию DIONAEA – имитирует работу разных протоколов: blackhole, epmap, ftp, http, memcache, mirror, mqtt, mssql, mysql, pptp, sip, smb, tftp, upnp…следит за протоколами и логирует их: fail2ban, hpfeeds, log_json, log_sqlit ELASTICPOT - эмитирует неправильно настроенный elasticsearch. elasticsearch – база данных-логов. В не настроенном виде(неправильно настроенном) ее можно вскрыть и увести данные GLUTTON – отслеживает какие логин пароль вводятся, какие слова пытаются подобрать(брутфорс) и показывает вводимые данные(авторизационные например) HERALDING – слушает множество протоколов (ftp telnet ssh http https pop3 pop3s imap imaps smtp vnc postgresql socks5) на разных портах HONEYPY – эмулирует tsp/udp соединения HONEYSAP (SAP – сервисы поддержки) – эмитирует работу сервисов поддержки HONEYTRAP – отслеживает атаки на tsp/udp протоколы и помогает выевлять «аномалии» сети например скан сети IPPHONEY – эмитирует работу принтеров работающих на протоколе ipp MAILONEY – эмитирует почтовые сервисы MEDPOT – сервис работающий на HL7(медицинский стандарт что позволяет передавать медданные) RDPY – эмитация удаленного рабочего стола SNARE /TANNER – эмитируют работу ВЕБ-сервисов Сама веб часть honeypot выглядит так: ![](https://i.imgur.com/lWQZzEZ.png) в которой: Cockpit – фактически веб-админка (графическое отбражение загрузки системы) Cybershef – конвертер всяких разных ключей, преобразователь времени величин (в том числе и по сетям), парсинг Elacticsearch Head – поиск по эластиксёрч(каких то событий) Kibana – основной графический инструмент для отображения текущего состояния сети и логов… сдесь же есть кнопка Т-РОТ которая показывает сколько и каких сетевых атак было SecurityMeter - описание не найдено Spiderfoot - описание не найдено T-Pot@GitHub - описание не найдено