Kippo SSH Honeypot

From ICO wiki
Jump to navigationJump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Autor: Anastasia Osadtsaja
Rühm: A21 Viimati muudetud: 21.05.2015

Sissejuhatus

Kippo Honeypot on SSH serveri imiteerimine. Eesmärk on panna arvama ründajat, et tegu on süsteemiga, kust saab ligi failidele. Kippo võlts failisüsteemis on võimalik lisada ja kustutada. Ründaja toiminguid logitakse.
Kippot saab paigaldada mis tahes masinale, mis vastavad järgmistele nõuetele: [1][2]
Python 2.5+
Twisted 8.0+
PyCrypto
Zope Interface

Install

Järgnevad käsud on mõeldud Debian, Ubuntu, Linux Mint süsteemidele.

Vajalike pakkide install, juurkasutaja õigustes: [1]

 apt-get update && apt-get install python-twisted

Esimesel katsel proovivad ründajad port 22, seega tuleb konfiguratsioonis teha kerged muudatused. [2]

 nano /etc/ssh/ssh_config

Konfiguratsioonis muuta port 22 näiteks 2002. Salvestada muudatus ja lahkuda failist. [3]

Host *
...
   Port 2002

Muudatuste toimimiseks taaskäivitada teenus. [4]

 service ssh restart

Muudatuste kontrollimine: [5]

 netstat -ant | grep 2002
tcp        0      0 0.0.0.0:2002            0.0.0.0:*               LISTEN

Lisada uus kasutaja kippo ja logida sisse loodud kasutajana. [6]

 adduser kippo

Installida uusim Kippo pakk (https://github.com/desaster/kippo) [7]

 wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz

Allalaetud pakk lahti pakkida. [8]

 tar xzf kippo-0.8.tar.gz

Lahti pakkimisel luuakse kataloog kippo-0.8, [9]

 ls kippo-0.8

mille sees on: [10]

data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils

dl – failid mis laeti alla wget-iga.
log/kippo.log – log/debug väljund.
log/tty/ – sessioni logid.
utils/playlog.py – utiliidid, et vastata sessiooni logidele.
utils/createfs.py – vajalik fs.pickle loomiseks.
fs.pickle – võlts failisüsteem.
honeyfs/ – kataloog, mis hoiab endast võlts faile.

Järgnevat käsku sisestada juurkasutajas. Vaikimisi on Kippo port 2002, käsuga suunatakse SSH 22 liiklus Kippo 2002 porti. [11]

 iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2002 

Logide kontrollimine

Logisid hoitakse kippo kataloogis. [12]

 cat log/kippo.log

Kippo käivitamine

cd kippo-0.8/
./start.sh
Starting kippo in background...Generating RSA keypair...
done.

SSH-ga ühenduse loomine. [13]

ssh <kasutaja>@<IP>

Vaikimisi on Kippo parool 123456. [14]

Password:

Kasulikud tegevused

Parooli muutmine. Uueks juurkasutaja parooliks saab näiteks password. [15]

utils/passdb.py data/pass.db add password

Vaikimisi on hostname nas3, soovitatav oleks hostname muuta. Muutmiseks tuleb avada kippo.cfg fail. [16]

nano kippo.cfg

Uus hostname on server. [17]

[...]
# (default: nas3)
hostname = server
[...]

Kokkuvõte

Soovitatav on Kippot kasutada virutaalmasinal, millel on tulemüür, kuna ta on tundlik DoS rünnakutele. Eelnevalt tehtud konfiguratsioonid ja installatsioonid, aitavad mõista kuidas ründajad tegutsevad: kuidas ründavad ja mida üritavad teha. [1][2]

Kasutatud kirjandus