Kippo SSH Honeypot: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Line 1: Line 1:
=Sissejuhatus=
=Sissejuhatus=
 
Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi tähtsatele failidele. Kippol on võlts failisüsteem, kus saab lisada ja kustutada faile. Ründaja toiminguid saab Honeypotiga logida.<br>
Kippot saab paigaldada mis tahes masinale, mis vastab järgmistele nõuetele.<br>
Python 2.5+<br>
Twisted 8.0+<br>
PyCrypto<br>
Zope Interface<br>
<br>
Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.<br>


=Install=
=Install=

Revision as of 13:30, 20 May 2015

Sissejuhatus

Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi tähtsatele failidele. Kippol on võlts failisüsteem, kus saab lisada ja kustutada faile. Ründaja toiminguid saab Honeypotiga logida.
Kippot saab paigaldada mis tahes masinale, mis vastab järgmistele nõuetele.
Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface

Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.

Install

Jälgida, mis kasutajas käske sisestatakse!

Vajalike pakkide install [1]:

$ sudo apt-get update && apt-get install python-twisted

Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [1]

# nano /etc/ssh/ssh_config

Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist.[1]

Host *
...
#   Port 2002

Kontrollida saab nii [2]:

# netstat -ant | grep 2002<br>
tcp        0      0 0.0.0.0:2002            0.0.0.0:*               LISTEN

Muudatuste toimimiseks taaskäivitada teenus. [1]

# service ssh restart

Lisada uus kasutaja kippo ja logida sisse loodud kasutajana. [1]

# adduser kippo

Installida uusim Kippo pakk (https://github.com/desaster/kippo) [1]

$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz

Allalaetud pakk lahti pakkida. [1]

$ tar xzf kippo-0.8.tar.gz

Lahti pakkimisel luuakse kataloog kippo-0.8, [1]

$ ls kippo-0.8 LABOR

mille sees on: [1]

data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils

dl – failid mis laeti alla wget-iga.
log/kippo.log – log/debug väljund.
log/tty/ – sessioni logid.
utils/playlog.py – utiliidid, et vastata sessiooni logidele.
utils/createfs.py – vajalik fs.pickle loomiseks.
fs.pickle – võlts failisüsteem.
honeyfs/ – kataloog, mis hoiab endast võlts faile.

Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [1]

# iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002 

Start Kippo




Kasutatud kirjandus

[1] http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/ [2] http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux