Skip to content

Mise en place des honeypots pour un client

Ce document décrit la procédure à suivre pour configurer les honeypots pour un client.

Procédure vue par le client

Le client peut choisir de configurer des honeypots ou d'ignorer cette étape grâce au bouton "Ignore the honeypots configuration".

S'il choisit de configurer ses honeypots, il doit saisir un nom de domaine pour chacun des 3 types de honeypot : HTTP, HTTPS et SSH. Comme sur l'exemple ci-dessous :

Honeypot - Step 1

En cliquant sur le bouton "Next step >", il arrive à l'étape 2 où on lui affiche les entrées DNS qu'il doit configurer pour son domaine :

Honeypot - Step 2

Il clique alors sur le bouton "finish >" pour arriver sur la page d'attente de la configuration des honeypots par ComputableFacts :

Honeypot - Step 3

Tickets dans Freshdesk

Pour chacun des 3 types de honeypot, un mail est envoyé dans Freshdesk pour prévenir ComputableFacts de la demande. Il y a donc 3 tickets créés :

Tickets Freshdesk

Configuration

Vérification de la configuration DNS

Le client doit avoir configuré les DNS correctement en faisant pointer les 3 domaines vers le CNAME ou IP v4 de PROD comme décrit dans la doc de la repo sentinel-honeypot

HTTP et HTTPS

Il faut ajouter les noms de domaine choisis par le client à la configuration ansible des honeypots dans la repo sentinel-honeypot et la branche main.

Dans le fichier apps/web/ansible/vars/default.yml, ajouter des lignes de ce type avec les 2 domaines du client :

# ...
web_sites:
# ...
  - host: dev.brisacier.net
    ssl: false
    cywise: "https://app.cywise.io"
  - host: prod.brisacier.net
    ssl: true
    letsencrypt: true
    cywise: "https://app.cywise.io"
# ...

SSH

Il faut ajouter le nom de domaine choisi par le client à la configuration ansible du honeypot SSH dans la repo sentinel-honeypot et la branche main.

Dans le fichier apps/ssh/ansible/vars/default.yml, ajouter des lignes de ce type avec le domaine du client :

# ...
ssh_hosts:
# ...
  - host: backup.brisacier.net
    keywords: [".*brisacier.*"]
# ...

Publication des modifications

Archiver les modifications dans la branche main.

Pousser la modification doit déclencher la mise à jour des honeypots de PROD qui est faite par terraform.io et que l'on peut voir ici : https://app.terraform.io/app/computablefacts/workspaces/prod-aws-honeypot-lb-ireland

Attention : il faut valider manuellement la mise à jour sur la PROD.

Vérification

On peut voir le log du honeypot HTTP et HTTPS avec : http://dev3.computablefacts.io/debug-my-app-4242.log.

Clore les tickets dans Freshdesk

Pour chacun des 3 tickets Freshdesk, exécuter la requête SQL fournie sur la base de PROD cywise_ui_ngprod et clore le ticket.