Главная » Другое » HoneyPI — ловушка для хакера на Raspberry Pi
HoneyPI - ловушка для хакеров на Raspberry Pi

HoneyPI — ловушка для хакера на Raspberry Pi

Ловушка а точнее приманка — традиционная составляющая шпионских романов эпохи Холодной войны, когда страдающий от проблем с общением госслужащий оказывается в сетях роковой русской красотки, которая сначала соблазняет его, а потом шантажирует, вынуждая выдать драгоценные государственные секреты.

Ловушка для хакера

Ныне, в Эпоху Информации, секретные данные больше не находятся исключительно во власти лысеющих правительственных агентов; они хранятся на компьютерах. Сетевые администраторы могу снизить риск несанкционированного доступа посредством сочетания программных обновлений, мониторинга трафика, ультрасовременных роутеров и брандмауэров, но это может не подействовать на решительного хакера.

Вот бы был способ убедить хакера, что он вошел на ваш сервер, а на самом деле соединить его с машиной-приманкой! В нашем руководстве мы рассмотрим, как настроить и установить ПО-ловушку Kippo на ваш Raspberry Pi именно с этой целью.

Основное условие, что как только программа будет установлена и запущена, вы можете настроить порт 22 на своем роутере на автоматическую переадресацию на порт 2222 на Raspberry Pi. Хакер получит доступ только к файловой системе, созданной Kippo (разработанной так, чтобы походить на Debian Server). Все внесенные изменения будут зафиксированы, так что вы сможете просмотреть их позже. Главное, что никакие другие устройства в вашей сети не будут скомпрометированы.

Установка Kippo

В целях безопасности, для данного проекта надо отвести отдельный Raspberry Pi, с чистой установкой самой последней версии Raspbian. Вы также должны быть хорошо знакомы с переадресацией портов на вашем роутере. Эти действия различаются на разных роутерах, но вы можете заглянуть на portforward, чтобы найти инструкции для наиболее частых моделей.

Установка необходимого для работы Kippo

Откройте Терминал на своем Raspberry Pi или подключитесь через SSH и затем запустите:

Когда откроется MySQL, надо будет настроить пароль root для баз данных—введите его снова, чтобы подтвердить свой выбор.

Скачайте файлы Kippo с помощью:

Когда Kippo поработает некоторое время, вы можете в любой момент отобразить логи, запустив:

Однако помните, что с течением времени отображаться будет огромный объем информации. В порядке альтернативы рассмотрите возможность установки на свой Pi kippo-graph.

Настройка базы данных Kippo

Войдите в MySQL и введите пароль root:

Введите:

Присвойте пользователю права на “kippo» с паролем базы данных “password123″ с помощью:

Скомандуйте exit, затем:

Загрузите mysql.sql. запустив:

Введите свой пароль базы данных.

Завершение настройки базы данных Kippo

В MySQL, введите:

затем:

Запустите:

это позволит вам проверить присутствие таких полей базы данных, как ’ttylog’.

Введите exit и перейдите в директорию kippo:

Затем запустите:

и

Прокрутите до раздела “[database_mysql]”, раском­ментируйте строки и поправьте соответствующую информацию.

Настройка роутера и запуск Kippo

Убедитесь, что ваш роутер настроен на переадресацию запросов на подключение с порта 22 на внутренний порт Raspberry Pi (кото­рый 2222). Далее измените собственный номер SSH-порта Pi по умол­чанию на нечто побольше — например, 65534 — запустив:

И наконец, из вашей папки kippo запустите скрипт:

Теперь, если хотите, можете установить kippo-graph.

Установка Kippo-Graph

Если вы хотите проводить серьезный мониторинг всех попыток подключения к вашей сети, программа kippo-graph может собрать все данные для вас в серии круговых диаграмм, графиков и карт. Затем изучайте их сколько душе угодно.

Для начала откройте Терминал на своем Raspberry Pi (или подключитесь через SSH) и установите всё необходимое для программы, запустив:

Далее перезапустите сервис Apache:

и перейдите в директорию Apache:

Скачайте самую свежую версию kippo-graph (обратите внимание, что на данный момент программа находится в версии 1.5.1), запустив:

и затем распакуйте ее с помощью

Переименуйте директорию Kippo Graph в kippograph — например:

затем перейдите в нее с помощью:

Чтобы изменить расширения запустите:

Затем создайте файл настройки с помощью:

Отредактируйте файл — sudo nano config.php — и найдите раздел, отмеченный как # MySQL server configuration.

Измените значения следующим образом:

Нажмите Ctrl+X, затем Y. затем Enter, чтобы сохранить файл и выйти из программы.

Теперь ваш граф должен быть доступен на http://ip-адрес-вашего-pi/kippo-qraph. (например, http://192.168-1.17/ kiDDO-oraph).

Если схемы не грузятся, вам необходимо изменить разрешения во всей директории kippo-graph с помощью команды:

После окончания установки зайдите на http://ip-адрес-вашего-pi/kippo-graph для просмотра данных логов.

Вкладка Kippo-Graph отобразит общую активность Honeypot [Ловушки], например, общее количество попыток входа и используемые пароли.

Нажмите на Kippo Input, чтобы вывести список использованных команд. Если выбрать Kippo Play-Log, в браузере воспроизведется видео всех использованных логинов и команд.

Используйте опцию Kippo-Geo, чтобы вывести список входящих соединений по странам. Отсюда вы можете отслеживать IP-адреса разных попыток соединения и даже отображать топ-10 IP-адресов на интерактивной карте.

HoneyPI и безопасность

Снова и снова мы повторяем, что этот проект — отнюдь не для новичков. Если вы не очень комфортно чувствуете себя в управлении роутерами, серверами и брандмауэрами, велик риск, что при попытке настроить ловушку вы сделаете свою сеть еще более уязвимой для атак.

К счастью, можно снизить риск, изменив порт SSH по умолчанию на Pi, как показано в руководстве. Официальная страница Kippo на Github также рекомендует настроить отдельную виртуальную среду для самой Kippo, до некоторой степени скрыв ее в песочнице.

Сама программа Kippo разработана похожей на сервер, напоминающий Debian 5 (Lenny). Поскольку сейчас актуален Debian 9, особо продвинутые хакеры могут заподозрить ловушку. Одно из решений — постараться переделать файл настройки, изменив имя сервера и прочие данные по умолчанию, чтобы отсеять подозрительных злоумышленников.

Помните, что Kippo разработан только для защиты от атак через SSH, поэтому хакеры могут использовать сервисы, работающие на других открытых портах.

Если вам требуется более универсальная ловушка, подумайте об использовании последнего ответвления Kippo от Михеля Остерхофа [Michel Oosterhot] под названием Cowrie.

Как и Kippo, Cowrie похож на сервер Debian 5, но поддерживает дополнительные функции, например, запись в журнале попыток использования прокси SSH, переадресация SMTP-соединений на отдельный SMTP Honeypot, например, mailoney, и сохранение лог-файлов в универсальном формате JSON.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *