Kippo SSH Honeypot: Difference between revisions
(5 intermediate revisions by the same user not shown) | |||
Line 6: | Line 6: | ||
=Sissejuhatus= | =Sissejuhatus= | ||
Kippo Honeypot on SSH serveri imiteerimine. Honeypot on severi peibutis või süsteemi seadistus, mis aitab koguda informatsiooni ründaja tegevustest. Meeles tuleb pidada, et Honepotid ei asenda traditsioonilisi turvasüsteeme. <br> | Kippo Honeypot on SSH serveri imiteerimine. Honeypot on severi peibutis või süsteemi seadistus, mis aitab koguda informatsiooni ründaja tegevustest. Meeles tuleb pidada, et Honepotid ei asenda traditsioonilisi turvasüsteeme. <br> | ||
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: <ref name="unixmen">http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/</ref> <ref name=" | Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: <ref name="unixmen">http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/</ref> <ref name="linuxcareer">http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux</ref> <br> | ||
Python 2.5+<br> | Python 2.5+<br> | ||
Twisted 8.0+<br> | Twisted 8.0+<br> | ||
Line 30: | Line 30: | ||
<pre> service ssh restart</pre> | <pre> service ssh restart</pre> | ||
Muudatuste kontrollimine: <ref name=" | Muudatuste kontrollimine: <ref name="linuxcareer" /> | ||
<pre> netstat -ant | grep 2002 | <pre> netstat -ant | grep 2002 | ||
tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN</pre> | tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN</pre> | ||
Line 37: | Line 37: | ||
<pre> adduser kippo</pre> | <pre> adduser kippo</pre> | ||
Vahetada kasutajat. | |||
<pre> su - kippo | <pre> su - kippo </pre> | ||
Laadida alla uusim Kippo pakk (https://github.com/desaster/kippo) <ref name="unixmen" /> | Laadida alla uusim Kippo pakk (https://github.com/desaster/kippo) <ref name="unixmen" /> | ||
Line 82: | Line 81: | ||
=Kasulikud tegevused= | =Kasulikud tegevused= | ||
Parooli muutmine. <ref name=" | Parooli muutmine. <ref name="unixmen" /> | ||
<pre>utils/passdb.py data/pass.db add <sisesta keeruline parool></pre> | <pre>utils/passdb.py data/pass.db add <sisesta keeruline parool></pre> | ||
Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. <ref name=" | Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. <ref name="unixmen" /> | ||
<pre>nano kippo.cfg</pre> | <pre>nano kippo.cfg</pre> | ||
Uus hostname on server. <ref name=" | Uus hostname on server. <ref name="unixmen" /> | ||
<pre>[...] | <pre>[...] | ||
# (default: nas3) | # (default: nas3) | ||
Line 94: | Line 93: | ||
=Kokkuvõte= | =Kokkuvõte= | ||
Honeypoti võlu seiseneb selles, et seda on lihtne paigaldada, kuid suuremat kaitset ta ei paku. Honeypote on soovitav kasutada masinatel, millel on seadistatud tulemüürid, kuna tulemüürideta on masinad tundlikud, näiteks Dos rünnakutele. | Honeypoti võlu seiseneb selles, et seda on lihtne paigaldada, kuid suuremat kaitset ta ei paku. Honeypote on soovitav kasutada masinatel, millel on seadistatud tulemüürid, kuna tulemüürideta on masinad tundlikud, näiteks Dos rünnakutele. Kuid sellegipoolest on tegemist kasuliku tarkvaraga, mis aitab jälgida ründajate tegevusi ning saadud informatsiooni pöörata enda kasuks. | ||
=Kasutatud kirjandus= | =Kasutatud kirjandus= | ||
<references/> | <references/> |
Latest revision as of 12:06, 25 May 2015
Koostaja
Autor: Anastasia Osadtsaja
Rühm: A21
Viimati muudetud: 23.05.2015
Sissejuhatus
Kippo Honeypot on SSH serveri imiteerimine. Honeypot on severi peibutis või süsteemi seadistus, mis aitab koguda informatsiooni ründaja tegevustest. Meeles tuleb pidada, et Honepotid ei asenda traditsioonilisi turvasüsteeme.
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [1] [2]
Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface
Install
Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.
Vajalike pakkide install, juurkasutaja õigustes: [1]
apt-get update && apt-get install python-twisted
Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [1]
nano /etc/ssh/ssh_config
Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. [1]
Host * ... Port 2002
Muudatuste toimimiseks taaskäivitada teenus. [1]
service ssh restart
Muudatuste kontrollimine: [2]
netstat -ant | grep 2002 tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN
Lisada uus kasutaja kippo. [1]
adduser kippo
Vahetada kasutajat.
su - kippo
Laadida alla uusim Kippo pakk (https://github.com/desaster/kippo) [1]
wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz
Allalaetud pakk lahti pakkida. [1]
tar xzf kippo-0.8.tar.gz
Lahti pakkimisel luuakse kataloog kippo-0.8, [1]
ls kippo-0.8
mille sees on: [1]
data dl doc fs.pickle honeyfs kippo kippo.cfg kippo.tac log start.sh txtcmds utils
dl – failid mis laeti alla wget-iga.
log/kippo.log – log/debug väljund.
log/tty/ – sessioni logid.
utils/playlog.py – utiliidid, et vastata sessiooni logidele.
utils/createfs.py – vajalik fs.pickle loomiseks.
fs.pickle – võlts failisüsteem.
honeyfs/ – kataloog, mis hoiab endast võlts faile.
Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [1]
iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002
Logide kontrollimine
Logisid hoitakse kippo kataloogis. [1]
cat log/kippo.log
Kippo käivitamine
cd kippo-0.8/ ./start.sh Starting kippo in background...Generating RSA keypair... done.
SSH-ga ühenduse loomine. [1]
ssh <kasutaja>@<IP>
Vaikimisi on Kippo parool 123456. [1]
Password:
Kasulikud tegevused
Parooli muutmine. [1]
utils/passdb.py data/pass.db add <sisesta keeruline parool>
Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. [1]
nano kippo.cfg
Uus hostname on server. [1]
[...] # (default: nas3) hostname = server [...]
Kokkuvõte
Honeypoti võlu seiseneb selles, et seda on lihtne paigaldada, kuid suuremat kaitset ta ei paku. Honeypote on soovitav kasutada masinatel, millel on seadistatud tulemüürid, kuna tulemüürideta on masinad tundlikud, näiteks Dos rünnakutele. Kuid sellegipoolest on tegemist kasuliku tarkvaraga, mis aitab jälgida ründajate tegevusi ning saadud informatsiooni pöörata enda kasuks.