Как настроить собственный honeypot

Как настроить собственный honeypot

Как настроить собственный honeypot

Honeypot — ресурс-приманка для злоумышленников. Цель honeypot — навлечь на себя атаку или несанкционированное исследование. Такое средство позволяет изучить стратегию злоумышленника и определить, каким образом могут быть нанесены удары по реально существующим объектам безопасности. Реализация honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.

 

 

  1. Введение
  2. Pentbox — ваш персональный honeypot
  3. HoneyDrive — honeypot-рай
  4. Настройка Kippo
  5. Настройка Dionaea
  6. Выводы

Введение

Важно помнить, что honeypot требует грамотной настройки, так как при отсутствии таковой он действительно может быть скомпрометирован сам. Также учитывайте, что honeypot может быть настроен для эмуляции всех возможных систем — от серверов Apache до компьютеров Windows XP. Здесь мы рассмотрим реализацию honeypot на Linux-машине, который будет регистрировать все нежелательные действия, а также сложные конфигурации, которые могут вызвать реальные проблемы у рядового пользователя.

Pentbox — ваш персональный Honeypot

Pentbox — программное обеспечение, позволяющее открывать порт на вашем хосте и слушать входящие соединения извне. Для установки выполняем следующие шаги:

  1. Загружаем Pentbox: wget http://downloads.sourceforge.net/project/pentbox18realised/pentbox-1.8.t...
  2. Распаковываем: tar -zxvf pentbox-1.8.tar.gz
  3. Перемещаем в директорию Pentbox: cd pentbox-1.8/
  4. Запускаем Pentbox: ./pentbox.rb

Теперь должно отобразиться приветственное сообщение.

Рисунок 1. Приветственное сообщение Pentbox

Выбираем пункт 2 — Network tools.

Рисунок 2. Меню Network tools

Здесь выбираем третий пункт — Honeypot, а затем Fast Auto Configuration.

Рисунок 3. Меню Honeypot

После проделанных действий вы увидите сообщение Honeypot activated on port 80. Это значит, что honeypot был активирован на 80 порте. Проверить работу просто — откройте браузер, в адресной строке введите IP своей виртуальной машины, и вы увидите сообщение о том, что доступ запрещен. Теперь в терминале Pentbox вы можете наблюдать запись об атаке.

Также можно открыть и другие порты — выберите ручную конфигурацию и включите переадресацию портов на вашем маршрутизаторе, чтобы внешние подключения к этим портам перенаправлялись на ваш honeypot.

HoneyDrive — Honeypot-рай

HoneyDrive представляет собой настоящий рай для решившего попробовать honeypot. HoneyDrive — дистрибутив Linux, который содержит 15 разных уже настроенных honeypot’ов. Кроме того, он также содержит более 30 инструментов для расследования инцидентов.

Постепенно погружаясь в мир honeypot’ов, вы начнете понимать, что существует много их разновидностей. Honeyd, Kippo и Dionaea — только немногие из них. Чтобы установить и настроить каждый из этих серверов, потребуется много времени.

HoneyDrive, начиная с Xubuntu Desktop 12.04.4, устанавливает и настраивает все эти honeypot’ы за вас, поэтому вам нужно только ознакомиться с ними, не беспокоясь о том, что придется возиться с непонятными файлами типа .config. Тем не менее все же настоятельно рекомендуем ознакомиться с этими файлами, чтобы лучше понять, что вы делаете.

Для установки HoneyDrive производим следующие действия:

  1. Загружаем HoneyDrive здесь.
  2. Запускаем .ova-файл.
  3. Теперь, если вы используете VirtualBox, она автоматически установит новую виртуальную машину с заранее подготовленными дополнениями.
  4. Как только процесс установки будет завершен, HoneyDrive запустится. Рабочий стол должен выглядеть так:

Рисунок 4. Рабочий стол HoneyDrive

Следует уделить внимание файлу readme, простому текстовому файлу, в котором сохранены пути к файлам и команды нескольких установленных honeypots’ов. Его содержимое относительно Kippo выглядит примерно так:

Рисунок 5. Содержимое файла readme

Настройка Kippo

Как уже отмечалось выше, всю подробную информацию по этой теме можно найти в файле readme, но основной алгоритм команд распишем здесь:

  1. cd /honeydrive/kippo/
  2. /honeydrive/kippo/start.sh
  3. ifconfig (чтобы найти IP-адрес виртуального honeypot)
  4. Введите этот IP в адресную строку вашего браузера, загрузите, и вы увидите следующую страницу:

Рисунок 6. Страница, оповещающая, что мы настроили honeypot

Теперь, когда ваш сервер работает правильно, вы можете включить переадресацию портов, чтобы входящий трафик перенаправлялся на ваш honeypot. После этого перейдите на http://yourip/kippo-graph/ — чтобы посмотреть интересную информацию о паролях, которые пытались использовать злоумышленники, именах пользователей, IP-адресах и других очень занятных вещах.

Рисунок 7. Статистика и записи Kippo

Настройка Dionaea

Dionaea — «преемник Nepenthes» — это приманка для вредоносных программ, первоначально разработанная в рамках проекта Honeynet Google Summer of Code (GSoC) 2009 года. Задача Dionaea заключается в том, чтобы ловить вредоносные программы, заманивая их в ловушку, таким образом исследователям удается получать так называемые сэмплы того или иного зловреда.

Dionaea имеет модульную архитектуру, Python используется в качестве языка сценариев для эмуляции протоколов. Эта приманка намного превосходит своего предшественника (Nepenthes), она способна обнаруживать шеллкоды, используя LibEmu, и поддерживает IPv6 и TLS.

Для настройки Dionaea выполняем следующий алгоритм:

  1. Запускаем Dionaea командой — /opt/dionaea/bin/dionaea
  2. Программируем Dionaea на сбор данных — python manage.py collectstatic
  3. python manage.py runserver honeypotip:8000 — где honeypotip является IP-адресом вашего honeypot (его можно получить, используя команду ifconfig)
  4. Теперь набираем в браузере honeypotip:8000, переходим и видим следующую страницу:

Рисунок 8. Приветственная страница Dionaea

У Dionaea в наличии есть действительно впечатляющие возможности: если вы посмотрите на панель, она покажет вам IP-адреса злоумышленников, их местоположение в мире, службы и порты, а также загруженные вредоносные программы и другие интересные данные.

Выводы

Теперь, когда у вас есть представление о том, что такое honeypot и как его установить и настроить, взгляните на другие приманки, разработанные в HoneyDrive, потратьте некоторое время на их изучение и попробуйте изменить файлы конфигураций. Удачи в исследованиях!

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru