HoneyPI — ловушка для хакера на Raspberry Pi

Ныне, в Эпоху Информации, секретные данные больше не находятся исключительно во власти лысеющих правительственных агентов; они хранятся на компьютерах. Сетевые администраторы могу снизить риск несанкционированного доступа посредством сочетания программных обновлений, мониторинга трафика, ультрасовременных роутеров и брандмауэров, но это может не подействовать на решительного хакера.

Вот бы был способ убедить хакера, что он вошел на ваш сервер, а на самом деле соединить его с машиной-приманкой! В нашем руководстве мы рассмотрим, как настроить и установить ПО-ловушку Kippo на ваш Raspberry Pi именно с этой целью.

Ловушка а точнее приманка — традиционная составляющая шпионских романов эпохи Холодной войны, когда страдающий от проблем с общением госслужащий оказывается в сетях роковой русской красотки, которая сначала соблазняет его, а потом шантажирует, вынуждая выдать драгоценные государственные секреты.

Основное условие, что как только программа будет установлена и запущена, вы можете настроить порт 22 на своем роутере на автоматическую переадресацию на порт 2222 на Raspberry Pi. Хакер получит доступ только к файловой системе, созданной Kippo (разработанной так, чтобы походить на Debian Server). Все внесенные изменения будут зафиксированы, так что вы сможете просмотреть их позже. Главное, что никакие другие устройства в вашей сети не будут скомпрометированы.

Установка Kippo

В целях безопасности, для данного проекта надо отвести отдельный Raspberry Pi, с чистой установкой самой последней версии Raspbian. Вы также должны быть хорошо знакомы с переадресацией портов на вашем роутере. Эти действия различаются на разных роутерах, но вы можете заглянуть на portforward, чтобы найти инструкции для наиболее частых моделей.

Установка необходимого для работы Kippo

Откройте Терминал на своем Raspberry Pi или подключитесь через SSH и затем запустите:

sudo apt-get install subversion python-twisted python- mysqldb mysql-server apache2

Когда откроется MySQL, надо будет настроить пароль root для баз данных—введите его снова, чтобы подтвердить свой выбор.

Скачайте файлы Kippo с помощью:

git clone https://github.com/desaster/kippo

Когда Kippo поработает некоторое время, вы можете в любой момент отобразить логи, запустив:

cat/home/pi/kippo/log/kippo.log

Однако помните, что с течением времени отображаться будет огромный объем информации. В порядке альтернативы рассмотрите возможность установки на свой Pi kippo-graph.

Настройка базы данных Kippo

Войдите в MySQL и введите пароль root:

mysql -h localhost -u root -p

Введите:

create database kippo

Присвойте пользователю права на “kippo» с паролем базы данных “password123″ с помощью:

ALL ON kippo.* TO ‘kippo’S'localhost' IDENTIFIED BY'password123';

Скомандуйте exit, затем:

cd kippo/doc/sql

Загрузите mysql.sql. запустив:

mysql -u kippo -p

Введите свой пароль базы данных.

Завершение настройки базы данных Kippo

В MySQL, введите:

use kippo;

Затем:

source mysql.sql

Запустите:

show tables:

это позволит вам проверить присутствие таких полей базы данных, как ’ttylog’.

Введите exit и перейдите в директорию kippo:

cd /home/pi/kippo

Затем запустите:

ср kippo.cfg.dist kippo.cfg

и

sudo nano kippo.cfg

Прокрутите до раздела “[database_mysql]”, раском­ментируйте строки и поправьте соответствующую информацию.

Настройка роутера и запуск Kippo

Убедитесь, что ваш роутер настроен на переадресацию запросов на подключение с порта 22 на внутренний порт Raspberry Pi (кото­рый 2222). Далее измените собственный номер SSH-порта Pi по умол­чанию на нечто побольше — например, 65534 — запустив:

sudo sed -i 's:Port 22:Port 65534:g' /etc/ssh/sshd_conf

И наконец, из вашей папки kippo запустите скрипт:

,/start.sh

Теперь, если хотите, можете установить kippo-graph.

Установка Kippo-Graph

Если вы хотите проводить серьезный мониторинг всех попыток подключения к вашей сети, программа kippo-graph может собрать все данные для вас в серии круговых диаграмм, графиков и карт. Затем изучайте их сколько душе угодно.

Для начала откройте Терминал на своем Raspberry Pi (или подключитесь через SSH) и установите всё необходимое для программы, запустив:

sudo apt- get install libapache2-modphp5 php5-cli php5-common php5-cgi php5-mysql php5-gd

Далее перезапустите сервис Apache:

sudo /еtc/init.d/apache2 restart

и перейдите в директорию Apache:

cd /var/www/html

Скачайте самую свежую версию kippo-graph (обратите внимание, что на данный момент программа находится в версии 1.5.1), запустив:

sudo wget http://bruteforcelab.com/wp-content/uploads/kippo-graph-1.5.1.tar.gz

и затем распакуйте ее с помощью

sudo tar zxvf kippograph-1.5.1.tar.gz -no-same- permissions

Переименуйте директорию Kippo Graph в kippograph — например:

sudo mv kippo-graph-1.5.1 kippo-graph

затем перейдите в нее с помощью:

/cd kippo-graph

Чтобы изменить расширения запустите:

sudo chmod -R 777 generated-graphs

Затем создайте файл настройки с помощью:

sudo ср config.php.dist config, phр

Отредактируйте файл — sudo nano config.php — и найдите раздел, отмеченный как # MySQL server configuration.

Измените значения следующим образом:

define('DB_HOST', '127.0.0.1'); 
define('DB_USER', 'kippo'); 
define('DB_PASS', 'password123'); 
define('DB_NAME', 'kippo'); 
deline('DB_PORT', '3306');

Нажмите Ctrl+X, затем Y. затем Enter, чтобы сохранить файл и выйти из программы.

Теперь ваш граф должен быть доступен на http://ip-адрес-вашего-pi/kippo-qraph. (например, http://192.168-1.17/ kiDDO-oraph).

Если схемы не грузятся, вам необходимо изменить разрешения во всей директории kippo-graph с помощью команды:

sudo chmod-R 777 kippo-graph

После окончания установки зайдите на http://ip-адрес-вашего-pi/kippo-graph для просмотра данных логов.

Вкладка Kippo-Graph отобразит общую активность Honeypot [Ловушки], например, общее количество попыток входа и используемые пароли.

Нажмите на Kippo Input, чтобы вывести список использованных команд. Если выбрать Kippo Play-Log, в браузере воспроизведется видео всех использованных логинов и команд.

Используйте опцию Kippo-Geo, чтобы вывести список входящих соединений по странам. Отсюда вы можете отслеживать IP-адреса разных попыток соединения и даже отображать топ-10 IP-адресов на интерактивной карте.

HoneyPI и безопасность

Снова и снова мы повторяем, что этот проект — отнюдь не для новичков. Если вы не очень комфортно чувствуете себя в управлении роутерами, серверами и брандмауэрами, велик риск, что при попытке настроить ловушку вы сделаете свою сеть еще более уязвимой для атак.

К счастью, можно снизить риск, изменив порт SSH по умолчанию на Pi, как показано в руководстве. Официальная страница Kippo на Github также рекомендует настроить отдельную виртуальную среду для самой Kippo, до некоторой степени скрыв ее в песочнице.

Сама программа Kippo разработана похожей на сервер, напоминающий Debian 5 (Lenny). Поскольку сейчас актуален Debian 9, особо продвинутые хакеры могут заподозрить ловушку. Одно из решений — постараться переделать файл настройки, изменив имя сервера и прочие данные по умолчанию, чтобы отсеять подозрительных злоумышленников.

Помните, что Kippo разработан только для защиты от атак через SSH, поэтому хакеры могут использовать сервисы, работающие на других открытых портах.

Если вам требуется более универсальная ловушка, подумайте об использовании последнего ответвления Kippo от Михеля Остерхофа [Michel Oosterhot] под названием Cowrie.

Как и Kippo, Cowrie похож на сервер Debian 5, но поддерживает дополнительные функции, например, запись в журнале попыток использования прокси SSH, переадресация SMTP-соединений на отдельный SMTP Honeypot, например, mailoney, и сохранение лог-файлов в универсальном формате JSON.

Спасибо за прочтение!

Также вы можете присылать ваши статьи в бота (оформляйте в телеграфе), я их просмотрю, если всё ОК - опубликую статью на канале с указанием автора.