T-Pot: plataforma multihoneypot todo en uno

T-Pot es una plataforma de redes falsas (honeypot) todo en uno, opcionalmente distribuida y multiarquitectura (amd64, arm64), desarrollada por Deutsche Telekom Security GmbH.

Esta herramienta gratuita y de código abierto admite más de 20 tipos de trampas y numerosas opciones de visualización utilizando la pila Elastic Stack.

Ofrece mapas de ataque animados en tiempo real y una gran variedad de herramientas de seguridad para mejorar la experiencia de decepción. T-Pot es compatible con sistemas operativos Linux y puede ejecutarse en entornos distribuidos, lo que permite escalar su capacidad de captura de amenazas según sea necesario.

T-Pot ofrece varios servicios que se dividen en cinco grupos principales:

  • Servicios del sistema proporcionados por el SO: Incluyen SSH para acceso remoto seguro.
  • Pila Elastic Stack:
    • Elasticsearch para almacenar eventos.
    • Logstash para ingresar, recibir y enviar eventos a Elasticsearch.
    • Kibana para visualizar eventos en tableros de control bonitos y rendidos.
  • Herramientas:
    • NGINX proporciona acceso remoto seguro (proxy inverso) a Kibana, CyberChef, Elasticvue, GeoIP AttackMap, Spiderfoot y permite que los sensores de T-Pot transmitan datos de eventos de manera segura al hormiguero de T-Pot.
    • CyberChef es una aplicación web para cifrado, codificación, compresión y análisis de datos.
    • Elasticvue es una interfaz frontal web para explorar y interactuar con un clúster de Elasticsearch.
    • T-Pot Attack Map es una hermosa cartografía animada de ataques para T-Pot.
    • Spiderfoot es una herramienta automatizada de recopilación de información abierta.
  • Redes falsas (honeypots): Selección de los 23 disponibles basada en docker-compose.yml seleccionado.
  • Monitoreo de seguridad de la red (NSM):
    • Fatt es un script pyshark para extraer metadatos y huellas digitales de archivos pcap y tráfico de red en vivo.
    • P0f es una herramienta para fingerprinting pasivo puro del tráfico.
    • Suricata es un motor de monitoreo de seguridad de la red.

Estos servicios y herramientas trabajan juntos para proporcionar una plataforma de redes falsas completa, que incluye captura de amenazas, análisis y visualización de datos.

Github oficial

Tagged with
,
Filed under
Herramientas
Previous Next
For this post, the comments have been closed.