• MikroTik – Część 23: Honeypoty i pułapki sieciowe z MikroTik, Raspberry Pi i SIEM – warstwa dezinformacji w Zero Trust
    Sieci komputerowe

    MikroTik – Część 23: Honeypoty i pułapki sieciowe z MikroTik, Raspberry Pi i SIEM – warstwa dezinformacji w Zero Trust

    Marek „Netbe” Lampart Opublikowane w

    MikroTik – kompleksowa konfiguracja sieci od podstaw do zaawansowanych rozwiązań

    Część 23: Honeypoty i pułapki sieciowe z MikroTik, Raspberry Pi i SIEM – warstwa dezinformacji w Zero Trust

    W dobie zaawansowanych cyberzagrożeń klasyczne mechanizmy ochrony (firewalle, EDR, SIEM) nie zawsze wystarczają. Dlatego coraz więcej organizacji implementuje systemy Deception Technology, czyli mechanizmy celowej dezinformacji — honeypoty, fałszywe zasoby i pułapki, które pozwalają:

    • wykryć intruza zanim osiągnie cel,
    • zaobserwować techniki ataku,
    • odciągnąć uwagę od rzeczywistych systemów,
    • zyskać czas na reakcję i analizę.

    W tej części pokażemy, jak przy użyciu MikroTik, Raspberry Pi, SIEM i prostych narzędzi open-source wdrożyć efektywny i skalowalny system honeypotów w środowisku produkcyjnym lub testowym.

    MikroTik – Część 23: Honeypoty i pułapki sieciowe z MikroTik, Raspberry Pi i SIEM – warstwa dezinformacji w Zero Trust
    MikroTik – Część 23: Honeypoty i pułapki sieciowe z MikroTik, Raspberry Pi i SIEM – warstwa dezinformacji w Zero Trust

    Czym są honeypoty i jak działają?

    Honeypot to celowo wystawiona, podatna lub wyglądająca na podatną usługa, której jedynym celem jest przyciąganie atakujących. W zależności od stopnia zaawansowania możemy wyróżnić:

    • Low-interaction honeypoty – symulują wybrane porty/usługi (np. SSH, HTTP),
    • High-interaction honeypoty – to rzeczywiste systemy z pełnym stosem usług, w pełni monitorowane i kontrolowane,
    • Honeytokens – fałszywe dane (loginy, tokeny, pliki), które wykrywane przez SIEM wskazują, że atakujący ma dostęp.

    Krok 1: Architektura honeypotów w środowisku MikroTik

    Założenia:

    • MikroTik zarządza dostępem i ruchem do honeypotów.
    • Raspberry Pi pełni funkcję hosta dla kontenerów honeypotów.
    • SIEM (np. Wazuh lub Elastic) zbiera logi i alarmuje.
    • SOAR (opcjonalnie) może reagować automatycznie.
    Czytaj  MikroTik od podstaw do zaawansowania — część 5: Zero Trust, NAC i automatyzacja reakcji w środowisku sieci brzegowej

    Schemat:

    Internet
   |
[MikroTik] --- VLAN20 (prod)
     |  
     +-- VLAN99 (honeypots)
           |
     [Raspberry Pi]
        |- Cowrie (SSH)
        |- Dionaea (SMB, FTP)
        |- HoneyDB agent

    Krok 2: MikroTik – konfiguracja segmentu honeypotów

    Tworzymy osobny VLAN, izolowany od reszty sieci, z dostępem jedynie z Internetu:

    /interface vlan
add name=vlan99 interface=ether2 vlan-id=99

/ip address
add address=192.168.99.1/24 interface=vlan99

/ip firewall filter
add chain=forward action=drop src-address=192.168.99.0/24 dst-address=192.168.20.0/24 comment="Zerotrust: honeypot VLAN isolation"

    Udostępniamy porty honeypotów do Internetu:

    /ip firewall nat
add chain=dstnat protocol=tcp dst-port=2222 action=dst-nat to-addresses=192.168.99.10 to-ports=22 comment="Honeypot SSH"
add chain=dstnat protocol=tcp dst-port=445 action=dst-nat to-addresses=192.168.99.10 to-ports=445 comment="Honeypot SMB"

    Krok 3: Raspberry Pi – uruchamianie honeypotów

    Najprostszym i lekkim rozwiązaniem są kontenery Docker z gotowymi obrazami honeypotów:

    Cowrie (SSH Honeypot)

    docker run -d --name cowrie -p 22:2222 cowrie/cowrie

    Dionaea (SMB/FTP)

    docker run -d --name dionaea -p 21:21 -p 445:445 honeynet/dionaea

    HoneyDB Agent

    Agent umożliwia centralne raportowanie aktywności:

    pip install honeydb
export HONEYDB_API_ID=xxxxx
export HONEYDB_API_KEY=yyyyy
python -m honeydb.agent

    Krok 4: SIEM – integracja logów

    MikroTik

    Przesyłanie logów firewall i NAT:

    /system logging action
add name=honeypot-udp remote=192.168.1.100 remote-port=514 target=remote

/system logging
add topics=firewall action=honeypot-udp
add topics=info action=honeypot-udp

    Raspberry Pi (Docker)

    Zbieranie logów kontenerów i forward do syslog:

    docker logs cowrie -f | logger -t cowrie
docker logs dionaea -f | logger -t dionaea

    Wazuh / Elastic

    Reguły:

    • Cowrie → Brute force attempts (SSH)
    • Dionaea → Malware download / exploit attempt
    • Alerty → IP reputation check

    Krok 5: Automatyzacja – SOAR i MikroTik API

    Przykład automatycznej reakcji: IP z honeypota trafia na blacklistę MikroTik.

    from routeros_api import RouterOsApiPool

api = RouterOsApiPool('192.168.88.1', username='admin', password='sekret', plaintext_login=True)
conn = api.get_api()
firewall = conn.get_resource('/ip/firewall/address-list')

ip = "185.123.99.1"
firewall.add(address=ip, list='blacklist-honeypot', comment='Zerotrust: caught by Cowrie')

    W MikroTik:

    /ip firewall filter
add chain=forward src-address-list=blacklist-honeypot action=drop comment="Zerotrust: Honeypot block"

    Krok 6: Honeytokens i fałszywe pliki

    Możesz także tworzyć tzw. honeytokens – np. fałszywe pliki na udostępnionym zasobie:

    • confidential-passwords.xlsx
    • vpn-credentials.ovpn
    • aws-keys.txt

    SIEM wykrywa próby dostępu do tych plików (hash, mtime, ACL), a SOAR blokuje dostęp IP.

    Czytaj  Konfiguracja MikroTik – Część 33: Routing dynamiczny OSPF – od podstaw do praktyki

    Podsumowanie

    W tej części pokazaliśmy, jak zbudować kompletny system honeypotów w środowisku MikroTik bez ponoszenia dużych kosztów. Dzięki temu:

    • pozyskujesz informacje o metodach ataków,
    • wczesne wykrywasz zagrożenia (pre-exploitation),
    • możesz reagować automatycznie i skutecznie,
    • spełniasz wytyczne NIS2/Zero Trust bez drogich rozwiązań komercyjnych.

    W kolejnym artykule (Część 24) zajmiemy się stworzeniem scentralizowanego systemu zarządzania konfiguracją MikroTik z użyciem GitOps, Ansible i REST API.

     

    Polecane wpisy
    5G vs Wi-Fi 6/6E – bezpieczeństwo i prywatność w realnym użytkowaniu
    5G vs Wi-Fi 6/6E – bezpieczeństwo i prywatność w realnym użytkowaniu

    5G vs Wi-Fi 6/6E – bezpieczeństwo i prywatność w realnym użytkowaniu Dynamiczny rozwój technologii sieciowych sprawia, że użytkownicy coraz częściej Czytaj dalej

    Konfiguracja MikroTik – Część 47: MikroTik jako lokalny serwer DNS z filtrowaniem treści i cache’owaniem odpowiedzi
    Konfiguracja MikroTik – Część 47: MikroTik jako lokalny serwer DNS z filtrowaniem treści i cache’owaniem odpowiedzi

    Konfiguracja MikroTik – Część 47: MikroTik jako lokalny serwer DNS z filtrowaniem treści i cache’owaniem odpowiedzi 🔍 Wprowadzenie W większości Czytaj dalej

    Powiązane wpisy:

    1. Sieci komputerowe , podstawy sieci komputerowych, rodzaje sieci komputerowych, topologie sieci
    2. Administracja sieciami komputerowymi
    3. Wyjaśnienie, czym jest IPv6 i dlaczego został wprowadzony
    4. Studium przypadku: Wdrożenie RIP w małej sieci firmowej – konfiguracja i wyzwania
    5. IPv6 dla Administratorów Sieci: Kluczowe Aspekty Adresacji i Routingu

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również