Ловушка а точнее приманка — традиционная составляющая шпионских романов эпохи Холодной войны, когда страдающий от проблем с общением госслужащий оказывается в сетях роковой русской красотки, которая сначала соблазняет его, а потом шантажирует, вынуждая выдать драгоценные государственные секреты.
Еще по теме: Как поднять мост Tor Bridge Relay на Raspberry Pi
Ловушка для хакера
Ныне, в Эпоху Информации, секретные данные больше не находятся исключительно во власти лысеющих правительственных агентов; они хранятся на компьютерах. Сетевые администраторы могу снизить риск несанкционированного доступа посредством сочетания программных обновлений, мониторинга трафика, ультрасовременных роутеров и брандмауэров, но это может не подействовать на решительного хакера.
Вот бы был способ убедить хакера, что он вошел на ваш сервер, а на самом деле соединить его с машиной-приманкой! В нашем руководстве мы рассмотрим, как настроить и установить ПО-ловушку Kippo на ваш Raspberry Pi именно с этой целью.
Основное условие, что как только программа будет установлена и запущена, вы можете настроить порт 22 на своем роутере на автоматическую переадресацию на порт 2222 на Raspberry Pi. Хакер получит доступ только к файловой системе, созданной Kippo (разработанной так, чтобы походить на Debian Server). Все внесенные изменения будут зафиксированы, так что вы сможете просмотреть их позже. Главное, что никакие другие устройства в вашей сети не будут скомпрометированы.
Установка Kippo
В целях безопасности, для данного проекта надо отвести отдельный Raspberry Pi, с чистой установкой самой последней версии Raspbian. Вы также должны быть хорошо знакомы с переадресацией портов на вашем роутере. Эти действия различаются на разных роутерах, но вы можете заглянуть на portforward, чтобы найти инструкции для наиболее частых моделей.
Установка необходимого для работы Kippo
Откройте Терминал на своем Raspberry Pi или подключитесь через SSH и затем запустите:
1 |
sudo apt-get install subversion python-twisted python- mysqldb mysql-server apache2 |
Когда откроется MySQL, надо будет настроить пароль root для баз данных—введите его снова, чтобы подтвердить свой выбор.
Скачайте файлы Kippo с помощью:
1 |
git clone https://github.com/desaster/kippo |
Когда Kippo поработает некоторое время, вы можете в любой момент отобразить логи, запустив:
1 |
cat/home/pi/kippo/log/kippo.log |
Однако помните, что с течением времени отображаться будет огромный объем информации. В порядке альтернативы рассмотрите возможность установки на свой Pi kippo-graph.
Настройка базы данных Kippo
Войдите в MySQL и введите пароль root:
1 |
mysql -h localhost -u root -p |
Введите:
1 |
create database kippo |
Присвойте пользователю права на “kippo» с паролем базы данных “password123″ с помощью:
1 |
ALL ON kippo.* TO ‘kippo’S'localhost' IDENTIFIED BY'password123'; |
Скомандуйте exit, затем:
1 |
cd kippo/doc/sql |
Загрузите mysql.sql. запустив:
1 |
mysql -u kippo -p |
Введите свой пароль базы данных.
Завершение настройки базы данных Kippo
В MySQL, введите:
1 |
use kippo; |
затем:
1 |
source mysql.sql |
Запустите:
1 |
show tables: |
это позволит вам проверить присутствие таких полей базы данных, как ’ttylog’.
Введите exit и перейдите в директорию kippo:
1 |
cd /home/pi/kippo |
Затем запустите:
1 |
ср kippo.cfg.dist kippo.cfg |
и
1 |
sudo nano kippo.cfg |
Прокрутите до раздела “[database_mysql]”, раскомментируйте строки и поправьте соответствующую информацию.
Настройка роутера и запуск Kippo
Убедитесь, что ваш роутер настроен на переадресацию запросов на подключение с порта 22 на внутренний порт Raspberry Pi (который 2222). Далее измените собственный номер SSH-порта Pi по умолчанию на нечто побольше — например, 65534 — запустив:
1 |
sudo sed -i 's:Port 22:Port 65534:g' /etc/ssh/sshd_conf |
И наконец, из вашей папки kippo запустите скрипт:
1 |
,/start.sh |
Теперь, если хотите, можете установить kippo-graph.
Установка Kippo-Graph
Если вы хотите проводить серьезный мониторинг всех попыток подключения к вашей сети, программа kippo-graph может собрать все данные для вас в серии круговых диаграмм, графиков и карт. Затем изучайте их сколько душе угодно.
Для начала откройте Терминал на своем Raspberry Pi (или подключитесь через SSH) и установите всё необходимое для программы, запустив:
1 |
sudo apt- get install libapache2-modphp5 php5-cli php5-common php5-cgi php5-mysql php5-gd |
Далее перезапустите сервис Apache:
1 |
sudo /еtc/init.d/apache2 restart |
и перейдите в директорию Apache:
1 |
cd /var/www/html |
Скачайте самую свежую версию kippo-graph (обратите внимание, что на данный момент программа находится в версии 1.5.1), запустив:
1 |
sudo wget http://bruteforcelab.com/wp-content/uploads/kippo-graph-1.5.1.tar.gz |
и затем распакуйте ее с помощью
1 |
sudo tar zxvf kippograph-1.5.1.tar.gz -no-same- permissions |
Переименуйте директорию Kippo Graph в kippograph — например:
1 |
sudo mv kippo-graph-1.5.1 kippo-graph |
затем перейдите в нее с помощью:
1 |
/cd kippo-graph |
Чтобы изменить расширения запустите:
1 |
sudo chmod -R 777 generated-graphs |
Затем создайте файл настройки с помощью:
1 |
sudo ср config.php.dist config, phр |
Отредактируйте файл — sudo nano config.php — и найдите раздел, отмеченный как # MySQL server configuration.
Измените значения следующим образом:
1 2 3 4 5 |
define('DB_HOST', '127.0.0.1'); define('DB_USER', 'kippo'); define('DB_PASS', 'password123'); define('DB_NAME', 'kippo'); deline('DB_PORT', '3306'); |
Нажмите Ctrl+X, затем Y. затем Enter, чтобы сохранить файл и выйти из программы.
Теперь ваш граф должен быть доступен на http://ip-адрес-вашего-pi/kippo-qraph. (например, http://192.168-1.17/ kiDDO-oraph).
Если схемы не грузятся, вам необходимо изменить разрешения во всей директории kippo-graph с помощью команды:
1 |
sudo chmod-R 777 kippo-graph |
После окончания установки зайдите на http://ip-адрес-вашего-pi/kippo-graph для просмотра данных логов.
Вкладка Kippo-Graph отобразит общую активность Honeypot [Ловушки], например, общее количество попыток входа и используемые пароли.
Нажмите на Kippo Input, чтобы вывести список использованных команд. Если выбрать Kippo Play-Log, в браузере воспроизведется видео всех использованных логинов и команд.
Используйте опцию Kippo-Geo, чтобы вывести список входящих соединений по странам. Отсюда вы можете отслеживать IP-адреса разных попыток соединения и даже отображать топ-10 IP-адресов на интерактивной карте.
HoneyPI и безопасность
Снова и снова мы повторяем, что этот проект — отнюдь не для новичков. Если вы не очень комфортно чувствуете себя в управлении роутерами, серверами и брандмауэрами, велик риск, что при попытке настроить ловушку вы сделаете свою сеть еще более уязвимой для атак.
К счастью, можно снизить риск, изменив порт SSH по умолчанию на Pi, как показано в руководстве. Официальная страница Kippo на Github также рекомендует настроить отдельную виртуальную среду для самой Kippo, до некоторой степени скрыв ее в песочнице.
Сама программа Kippo разработана похожей на сервер, напоминающий Debian 5 (Lenny). Поскольку сейчас актуален Debian 9, особо продвинутые хакеры могут заподозрить ловушку. Одно из решений — постараться переделать файл настройки, изменив имя сервера и прочие данные по умолчанию, чтобы отсеять подозрительных злоумышленников.
Помните, что Kippo разработан только для защиты от атак через SSH, поэтому хакеры могут использовать сервисы, работающие на других открытых портах.
Если вам требуется более универсальная ловушка, подумайте об использовании последнего ответвления Kippo от Михеля Остерхофа [Michel Oosterhot] под названием Cowrie.
Как и Kippo, Cowrie похож на сервер Debian 5, но поддерживает дополнительные функции, например, запись в журнале попыток использования прокси SSH, переадресация SMTP-соединений на отдельный SMTP Honeypot, например, mailoney, и сохранение лог-файлов в универсальном формате JSON.
РЕКОМЕНДУЕМ: