Difference between revisions of "Kippo SSH Honeypot"

From ICO wiki
(Sissejuhatus)
(Kokkuvõte)
 
(35 intermediate revisions by the same user not shown)
Line 1: Line 1:
 +
=Koostaja=
 
Autor: Anastasia Osadtsaja<br>
 
Autor: Anastasia Osadtsaja<br>
Rühm: A21
+
Rühm: A21<br>
Viimati muudetud: 21.05.2015
+
Viimati muudetud: 23.05.2015
  
 
=Sissejuhatus=
 
=Sissejuhatus=
Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi failidele. Kippo võlts failisüsteemis on võimalik lisada ja kustutada. Ründaja toiminguid logitakse.<br>
+
Kippo Honeypot on SSH serveri imiteerimine. Honeypot on severi peibutis või süsteemi seadistus, mis aitab koguda informatsiooni ründaja tegevustest. Meeles tuleb pidada, et Honepotid ei asenda traditsioonilisi turvasüsteeme. <br>
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/][http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux] <br>
+
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: <ref name="unixmen">http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/</ref> <ref name="linuxcareer">http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux</ref> <br>
 
Python 2.5+<br>
 
Python 2.5+<br>
 
Twisted 8.0+<br>
 
Twisted 8.0+<br>
Line 15: Line 16:
 
Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.
 
Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.
  
Vajalike pakkide install, juurkasutaja õigustes: [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Vajalike pakkide install, juurkasutaja õigustes: <ref name="unixmen" />
<pre> apt-get update && apt-get install python-twisted</pre>
+
<pre>apt-get update && apt-get install python-twisted</pre>
  
Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. <ref name="unixmen" />
 
<pre> nano /etc/ssh/ssh_config</pre>
 
<pre> nano /etc/ssh/ssh_config</pre>
  
Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. <ref name="unixmen" />
 
<pre>Host *
 
<pre>Host *
 
...
 
...
 
   Port 2002</pre>
 
   Port 2002</pre>
  
Muudatuste toimimiseks taaskäivitada teenus. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Muudatuste toimimiseks taaskäivitada teenus. <ref name="unixmen" />
 
<pre> service ssh restart</pre>
 
<pre> service ssh restart</pre>
  
Muudatuste kontrollimine: [http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux]
+
Muudatuste kontrollimine: <ref name="linuxcareer" />
 
<pre> netstat -ant | grep 2002
 
<pre> netstat -ant | grep 2002
 
tcp        0      0 0.0.0.0:2002            0.0.0.0:*              LISTEN</pre>
 
tcp        0      0 0.0.0.0:2002            0.0.0.0:*              LISTEN</pre>
  
Lisada uus kasutaja kippo ja logida sisse loodud kasutajana. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Lisada uus kasutaja kippo. <ref name="unixmen" />
 
<pre> adduser kippo</pre>
 
<pre> adduser kippo</pre>
  
Installida uusim Kippo pakk (https://github.com/desaster/kippo) [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Vahetada kasutajat.
 +
<pre> su - kippo </pre>
 +
 
 +
Laadida alla uusim Kippo pakk (https://github.com/desaster/kippo) <ref name="unixmen" />
 
<pre> wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz</pre>
 
<pre> wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz</pre>
  
Allalaetud pakk lahti pakkida. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Allalaetud pakk lahti pakkida. <ref name="unixmen" />
 
<pre> tar xzf kippo-0.8.tar.gz</pre>
 
<pre> tar xzf kippo-0.8.tar.gz</pre>
  
Lahti pakkimisel luuakse kataloog kippo-0.8, [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Lahti pakkimisel luuakse kataloog kippo-0.8, <ref name="unixmen" />
 
<pre> ls kippo-0.8</pre>
 
<pre> ls kippo-0.8</pre>
  
mille sees on: [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
mille sees on: <ref name="unixmen" />
 
<pre>data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils</pre>
 
<pre>data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils</pre>
 
dl – failid mis laeti alla wget-iga.<br>
 
dl – failid mis laeti alla wget-iga.<br>
Line 55: Line 59:
 
honeyfs/ – kataloog, mis hoiab endast võlts faile. <br>
 
honeyfs/ – kataloog, mis hoiab endast võlts faile. <br>
  
Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. <ref name="unixmen" />
 
<pre> iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002 </pre>
 
<pre> iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002 </pre>
  
 
=Logide kontrollimine=
 
=Logide kontrollimine=
  
Logisid hoitakse kippo kataloogis. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Logisid hoitakse kippo kataloogis. <ref name="unixmen" />
<pre> cat log/kippo.log</pre>
+
<pre>cat log/kippo.log</pre>
  
 
=Kippo käivitamine=
 
=Kippo käivitamine=
Line 70: Line 74:
 
done.</pre>
 
done.</pre>
  
SSH-ga ühenduse loomine. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
SSH-ga ühenduse loomine. <ref name="unixmen" />
 
<pre>ssh <kasutaja>@<IP></pre>
 
<pre>ssh <kasutaja>@<IP></pre>
  
Vaikimisi on Kippo parool 123456. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Vaikimisi on Kippo parool 123456. <ref name="unixmen" />
 
<pre>Password:</pre>
 
<pre>Password:</pre>
  
 
=Kasulikud tegevused=
 
=Kasulikud tegevused=
Parooli muutmine. Uueks juurkasutaja parooliks saab näiteks password. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Parooli muutmine. <ref name="unixmen" />
<pre>utils/passdb.py data/pass.db add password</pre>
+
<pre>utils/passdb.py data/pass.db add <sisesta keeruline parool></pre>
Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. <ref name="unixmen" />
 
<pre>nano kippo.cfg</pre>
 
<pre>nano kippo.cfg</pre>
Uus hostname on server. [http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
Uus hostname on server. <ref name="unixmen" />
 
<pre>[...]
 
<pre>[...]
 
# (default: nas3)
 
# (default: nas3)
Line 89: Line 93:
 
=Kokkuvõte=
 
=Kokkuvõte=
  
Soovitatav on Kippot kasutada virutaalmasinal, millel on tulemüür, kuna ta on tundlik DoS rünnakutele. Eelnevalt tehtud konfiguratsioonid ja installatsioonid, aitavad mõista kuidas ründajad tegutsevad: kuidas ründavad ja mida üritavad teha. [1][2]
+
Honeypoti võlu seiseneb selles, et seda on lihtne paigaldada, kuid suuremat kaitset ta ei paku. Honeypote on soovitav kasutada masinatel, millel on seadistatud tulemüürid, kuna tulemüürideta on masinad tundlikud, näiteks Dos rünnakutele. Kuid sellegipoolest on tegemist kasuliku tarkvaraga, mis aitab jälgida ründajate tegevusi ning saadud informatsiooni pöörata enda kasuks.
  
 
=Kasutatud kirjandus=
 
=Kasutatud kirjandus=
*[http://www.unixmen.com/kippo-ssh-honeypot-monitor-brute-force-attacks-debian-7-ubuntu-13-10/]
+
<references/>
*[http://how-to.linuxcareer.com/deployment-of-kippo-ssh-honeypot-on-ubuntu-linux]
 

Latest revision as of 13:06, 25 May 2015

Koostaja

Autor: Anastasia Osadtsaja
Rühm: A21
Viimati muudetud: 23.05.2015

Sissejuhatus

Kippo Honeypot on SSH serveri imiteerimine. Honeypot on severi peibutis või süsteemi seadistus, mis aitab koguda informatsiooni ründaja tegevustest. Meeles tuleb pidada, et Honepotid ei asenda traditsioonilisi turvasüsteeme.
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [1] [2]
Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface

Install

Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.

Vajalike pakkide install, juurkasutaja õigustes: [1]

apt-get update && apt-get install python-twisted

Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [1]

 nano /etc/ssh/ssh_config

Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. [1]

Host *
...
   Port 2002

Muudatuste toimimiseks taaskäivitada teenus. [1]

 service ssh restart

Muudatuste kontrollimine: [2]

 netstat -ant | grep 2002
tcp        0      0 0.0.0.0:2002            0.0.0.0:*               LISTEN

Lisada uus kasutaja kippo. [1]

 adduser kippo

Vahetada kasutajat.

 su - kippo 

Laadida alla uusim Kippo pakk (https://github.com/desaster/kippo) [1]

 wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz

Allalaetud pakk lahti pakkida. [1]

 tar xzf kippo-0.8.tar.gz

Lahti pakkimisel luuakse kataloog kippo-0.8, [1]

 ls kippo-0.8

mille sees on: [1]

data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils

dl – failid mis laeti alla wget-iga.
log/kippo.log – log/debug väljund.
log/tty/ – sessioni logid.
utils/playlog.py – utiliidid, et vastata sessiooni logidele.
utils/createfs.py – vajalik fs.pickle loomiseks.
fs.pickle – võlts failisüsteem.
honeyfs/ – kataloog, mis hoiab endast võlts faile.

Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [1]

 iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002 

Logide kontrollimine

Logisid hoitakse kippo kataloogis. [1]

cat log/kippo.log

Kippo käivitamine

cd kippo-0.8/
./start.sh
Starting kippo in background...Generating RSA keypair...
done.

SSH-ga ühenduse loomine. [1]

ssh <kasutaja>@<IP>

Vaikimisi on Kippo parool 123456. [1]

Password:

Kasulikud tegevused

Parooli muutmine. [1]

utils/passdb.py data/pass.db add <sisesta keeruline parool>

Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. [1]

nano kippo.cfg

Uus hostname on server. [1]

[...]
# (default: nas3)
hostname = server
[...]

Kokkuvõte

Honeypoti võlu seiseneb selles, et seda on lihtne paigaldada, kuid suuremat kaitset ta ei paku. Honeypote on soovitav kasutada masinatel, millel on seadistatud tulemüürid, kuna tulemüürideta on masinad tundlikud, näiteks Dos rünnakutele. Kuid sellegipoolest on tegemist kasuliku tarkvaraga, mis aitab jälgida ründajate tegevusi ning saadud informatsiooni pöörata enda kasuks.

Kasutatud kirjandus