Ha pasado un tiempo desde que quería escribir en mi blog sobre mi homelab, y para este primer post sobre el tema, quiero hablarles de una solución que configuré recientemente: T-pot.
¿Qué es un honeypot?
Pero, ¿qué es exactamente un honeypot? Un honeypot (tarro de miel) es uno o más servidores que se exponen deliberadamente para simular servicios, aplicaciones o recursos vulnerables, con el objetivo de atraer atacantes. El objetivo principal es detectar, estudiar y comprender las técnicas utilizadas por los ciberdelincuentes atrayéndolos a un entorno controlado, sin poner en riesgo nuestra infraestructura real.
T-Pot: La Plataforma Multi-Honeypot Todo en Uno
T-Pot es una solución de código abierto integral que nos hace la vida mucho más fácil. Nos permite desplegar, gestionar y analizar fácilmente más de 20 honeypots diferentes (Cowrie, Dionaea, Conpot, Log4pot, etc.). T-Pot proporciona una visualización avanzada integrando la Elastic Stack (Elasticsearch, Logstash, Kibana) para la recopilación y análisis de datos, paneles en tiempo real y mapas de ataque animados.
Todo esto se ejecuta en contenedores Docker, ofreciendo la máxima modularidad y aislamiento de servicios.
Desplegar T-Pot
En mi caso, estoy usando un pequeño pc como honeypot (procesador: intel N100, RAM: 15G ddr5, almacenamiento: 512G m.2). Para desplegar t-pot de forma segura, voy a exponerlo a internet dentro de la dmz.
Para el sistema operativo, estoy usando Ubuntu 24.04 Live Server y sigo las instrucciones para instalar t-pot desde el repositorio de github Get and install t-pot.
WARNINGNo es un tutorial, así que si quieres hacerlo, puedes encontrar la documentación en el repositorio de github (enlace).
Panel de control de T-pot
Cuando se está ejecutando, puedes acceder a la interfaz web para ver las diferentes visualizaciones.
Podemos ver los diferentes honeypots, los mapas de ataque, los registros, etc.
¿Qué está pasando?
Inmediatamente después del despliegue, comencé a recibir algunos ataques de todo el mundo. Es realmente estresante ver todos los intentos de los atacantes para entrar en mi honeypot.
Este es el mapa de ataque después de 2 días del despliegue. pero lo más interesante son los registros en kibana.
Como puedes ver, es realmente grande la cantidad de intentos de los atacantes.
Conclusión
T-pot es una muy buena solución para desplegar un honeypot de manera simple. Aún no he probado todas las características, pero estoy realmente impresionado por la cantidad de datos que puede recopilar. Como sabrán soy un apasionado de la seguridad y todos los registros que puedo recopilar podrían usarse para hacer inteligencia de amenazas.
En un post futuro, hablaré sobre los registros y cómo usarlos para hacer inteligencia de amenazas (con OpenCTI).
Si tienen alguna pregunta, pueden contactarme en mi X.