MikroTik – kompleksowa konfiguracja sieci od podstaw do zaawansowanych rozwiązań

Część 26: Honeypot sieciowy z MikroTik, Raspberry Pi i Elastic Stack – detekcja zagrożeń w praktyce

W dzisiejszym ekosystemie bezpieczeństwa nie wystarczy jedynie blokować – trzeba również rozumieć, kto i dlaczego próbuje przełamać nasze systemy. Honeypoty, czyli przynęty symulujące podatne maszyny, stanowią niezwykle cenne źródło wiedzy o atakujących. W połączeniu z MikroTik, systemami typu SIEM oraz ELK Stack (Elasticsearch, Logstash, Kibana), możemy zbudować potężny system wykrywania i analizy zagrożeń.

Co to jest honeypot i dlaczego warto?

Honeypot to system komputerowy skonfigurowany tak, aby wyglądał jak cel ataku. Jego zadaniem jest zwabienie cyberprzestępców, zapisanie ich działań oraz przekazanie informacji do analityków bezpieczeństwa lub automatycznego systemu reagowania (SOAR). Dzięki temu można:

• analizować typy ataków i techniki
• identyfikować adresy IP źródeł zagrożeń
• tworzyć reguły prewencyjne i automatyczne bloki
• trenować modele ML do wykrywania anomalii

Architektura rozwiązania

[Internet] 
    ↓
[MikroTik Router]
    ↓ (port forwarding: honeypot services)
[Raspberry Pi z honeypotami]
    ↓
[Logstash → Elasticsearch → Kibana]
    ↓
[SIEM, Alerty, Threat Intelligence]

Krok 1: Konfiguracja MikroTik – przekierowanie ruchu

Zakładamy, że router MikroTik pełni funkcję głównego punktu styku z Internetem. Przekierujemy ruch podejrzanych portów na lokalny honeypot.

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=21,22,23,80,443,3389 action=dst-nat to-addresses=192.168.88.50 to-ports=21

Wskazówka: IP 192.168.88.50 to Raspberry Pi z honeypotami (np. Cowrie, Dionaea, Glastopf, etc.).

Krok 2: Instalacja honeypotów na Raspberry Pi

Najlepiej użyć Dockera do uruchamiania kilku honeypotów równocześnie. Przykład dla Cowrie (SSH + Telnet):

docker run -d --name cowrie -p 22:2222 -p 23:2223 cowrie/cowrie

Przykład dla Glastopf (HTTP):

docker run -d --name glastopf -p 80:80 -p 443:443 honeynet/glastopf

Do zautomatyzowania można użyć docker-compose.

Krok 3: Zbieranie logów – integracja z Logstash

Honeypoty zapisują logi lokalnie lub emitują dane po syslogu. Skonfiguruj Logstash, by odbierał dane np. przez UDP:

input {
  udp {
    port => 514
    type => "syslog"
  }
}
filter {
  if [message] =~ /cowrie/ {
    grok { match => { "message" => "%{GREEDYDATA:raw}" } }
  }
}
output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "honeypot-logs"
  }
}

Krok 4: Wizualizacja w Kibana

Tworzymy dashboard, który pokazuje:

• źródłowe adresy IP
• częstotliwość prób logowania
• typy ataków (brute-force, exploit, scan)
• cele: porty, usługi, ścieżki URL

Dzięki temu możesz zidentyfikować aktywne kampanie ataków i szybko reagować.

Krok 5: Blokowanie automatyczne – integracja z MikroTik

Na podstawie logów (np. przez Elastic Watcher lub własny skrypt Python z Elastic API), możesz stworzyć skrypt do automatycznego blokowania IP w MikroTik:

from elasticsearch import Elasticsearch
import subprocess

es = Elasticsearch("http://localhost:9200")
res = es.search(index="honeypot-logs", body={"size":100, "query": {"match_all":{}}})

bad_ips = set()
for hit in res['hits']['hits']:
    ip = hit["_source"].get("src_ip")
    if ip:
        bad_ips.add(ip)

for ip in bad_ips:
    cmd = f"/ip firewall address-list add list=honeypot-blocked address={ip} comment='auto-block'"
    subprocess.run(["ssh", "admin@192.168.88.1", cmd])

Krok 6: Integracja z SIEM i alertowaniem

Elastic może wysyłać alerty przez:

• Webhook
• Slack
• Email
• API do systemu SIEM

Przykład alertu (Watcher lub ElastAlert):

{
  "trigger": {
    "schedule": { "interval": "5m" }
  },
  "input": {
    "search": {
      "request": {
        "indices": ["honeypot-logs"],
        "body": {
          "query": {
            "range": {
              "@timestamp": {
                "gte": "now-5m"
              }
            }
          }
        }
      }
    }
  },
  "actions": {
    "notify-slack": {
      "slack": {
        "message": {
          "text": "Nowe próby ataku wykryte na honeypocie!"
        }
      }
    }
  }
}

Korzyści z wdrożenia honeypotów z MikroTik

✅ Aktywna obserwacja zagrożeń w czasie rzeczywistym
✅ Własne dane Threat Intelligence oparte na realnych próbach
✅ Dynamiczne reguły zapory bazujące na zachowaniu napastników
✅ Automatyzacja i integracja z SIEM/SOAR
✅ Szybkie reagowanie na kampanie ataków rozproszonych
✅ Edukacja i testowanie mechanizmów obronnych w sieci

Co dalej?

W części 27 przygotujemy dedykowany system Threat Intelligence + MikroTik + MISP – z własną bazą IOC, sygnaturami i alertami automatycznymi. Połączymy to z analityką behawioralną i klasyfikacją ryzyka.

Polecane wpisy

Konfiguracja MikroTik – Część 33: Routing dynamiczny OSPF – od podstaw do praktyki

Konfiguracja MikroTik – Część 33: Routing dynamiczny OSPF – od podstaw do praktyki W miarę rozrastania się infrastruktury sieciowej pojawia Czytaj dalej

Gdzie używany jest protokół TCP/IP: Kluczowa rola w komunikacji sieciowej

Protokół TCP/IP, będący zestawem protokołów komunikacyjnych, odgrywa kluczową rolę w dzisiejszych sieciach komputerowych. Wykorzystuje się go w różnych obszarach, zapewniając Czytaj dalej