Kippo SSH Honeypot
Autor
Nimi: Anastasia Osadtsaja
Rühm: A21
Sissejuhatus
Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi failidele. Kippo võlts failisüsteemis on võimalik lisada ja kustutada. Ründaja toiminguid logitakse.
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [1][2]
Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface
Sissejuhatus
Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi failidele. Kippo võlts failisüsteemis on võimalik lisada ja kustutada andmeid. Ründaja toiminguid logitakse.
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [1][2]
Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface
Install
Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.
Vajalike pakkide install: [1]
$ sudo apt-get update && apt-get install python-twisted
Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [1]
# nano /etc/ssh/ssh_config
Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. [1]
Host * ... # Port 2002
Muudatuste toimimiseks taaskäivitada teenus. [1]
# service ssh restart
Muudatuste kontrollimine: [2]
# netstat -ant | grep 2002 tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN
Lisada uus kasutaja kippo ja logida sisse loodud kasutajana. [1]
# adduser kippo
Installida uusim Kippo pakk (https://github.com/desaster/kippo) [1]
$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz
Allalaetud pakk lahti pakkida. [1]
$ tar xzf kippo-0.8.tar.gz
Lahti pakkimisel luuakse kataloog kippo-0.8, [1]
$ ls kippo-0.8
mille sees on: [1]
data dl doc fs.pickle honeyfs kippo kippo.cfg kippo.tac log start.sh txtcmds utils
dl – failid mis laeti alla wget-iga.
log/kippo.log – log/debug väljund.
log/tty/ – sessioni logid.
utils/playlog.py – utiliidid, et vastata sessiooni logidele.
utils/createfs.py – vajalik fs.pickle loomiseks.
fs.pickle – võlts failisüsteem.
honeyfs/ – kataloog, mis hoiab endast võlts faile.
Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [1]
# iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002
Kippo käivitamine
$ cd kippo-0.8/ $ ./start.sh Starting kippo in background...Generating RSA keypair... done.
SSH-ga ühenduse loomine. [1]
$ ssh <kasutaja>@<IP>
Vaikimisi on Kippo parool 123456. [1]
Password:
Kasulikud tegevused
Parooli muutmine. Uueks juurkasutaja parooliks saab näiteks password. [1]
kippo@server:~/kippo-0.8$ utils/passdb.py data/pass.db add password
Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. [1]
$ nano kippo.cfg
Uus hostname on server
[...] # (default: nas3) hostname = server [...]
Logide kontrollimine
Logisid hoitakse kippo kataloogis. [1]
$ cat log/kippo.log
Kasutatud kirjandus
[1] http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/
[2] http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux