Honeypot Kippo 0.8 - Instalação e utilização

Este artigo mostra como instalar e utilizar o Kippo, um honeypot de média interatividade, utilizado para coletar dados a respeito de tentativas de invasão ao serviço SSH que ele emula.

[ Hits: 24.529 ]

Por: Fernando em 19/04/2013 | Blog: https://github.com/phoemur/


Utilização



Redirecionando as portas:

# cd $KIPPODIR

Redirecionando a porta 22 para a porta do honeypot e liberando o acesso:

Obs.: substitua [seu IP] pelo seu.

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp --dport 22 -d [seu IP] -j DNAT --to-destination [seu IP]:2222
# iptables -t nat -A POSTROUTING -p tcp -d [seu IP] -j MASQUERADE
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


Obs.: se você usa ADSL, não esqueça que é necessário fazer também o redirecionamento de portas no seu roteador ou modem.

Se a sua rede tiver uma configuração diferente, aqui tem vários exemplos de regras de redirecionamento:

Iniciando o Kippo

Se quiser deixar o Kippo em background, execute assim:

./start.sh

Se quiser iniciar e ficar olhando o que um possível atacante digitar no shell, execute assim:

twistd -y kippo.tac -n

Verifique se está rodando, com:

Ver o PID do processo:

ps ax | grep kippo | grep -v grep

Ver a porta que está escutando:

netstat -ntaplv

O username default é root e o password default é 123456.

Experimente conectar e dar alguns comandos:

ssh root@localhost -p 2222

Observação: quando você der um exit, ele vai fingir que vai desconectar, mas não vai. Isso, às vezes, pega alguns comandos que o atacante iria passar no próprio computador.

Considerações finais

Para assistir ao log do que foi feito no seu falso shell:

cd $KIPPODIR/utils
$ ./playlog.py ../log/tty/20130414-192040-4451.log
  #Nome de arquivo de log localizado no diretório /log/tty

Dá para saber se eu estou conectado a um serviço SSH legítimo ou a um honeypot?

Basicamente, sim. Como o Kippo é um honeypot de média interatividade, ele apenas emula um servidor SSH. A sequência de troca de chaves não é a mesma de um SSHD real, de forma que já existem até extensões do metasploit que detectam se o serviço é um honeypot.

Veja: Kippo is being detected by Metasploit - BruteForce Lab's Blog

Existem vários sites na internet com vídeos de crackers pegos no honeypot Kippo. Esse aqui, particularmente, é bem engraçado:
E nunca é demais lembrar: o seu computador se tornará um alvo para crackers, e provavelmente será atacado por diversos bots também se você deixar a porta 22 aberta.

Você estará praticamente fazendo piada com essas pessoas. Nunca execute um honeypot em um servidor real em produção. Recomendo o uso de máquina virtual, firewall bem configurado e só prossiga se você tiver certeza do que está fazendo, afinal, o Kippo é um software como qualquer outro e pode conter bugs, de forma que não é impossível um atacante sair do seu sandbox e acessar o sistema operacional real.

Referências


Página anterior    

Páginas do artigo
   1. Introdução
   2. Dependências / Instalação e configuração
   3. Utilização
Outros artigos deste autor

i3 - Tilling Window Manager

Wake-on-LAN (WOL) utilizando Netcat - Dissecando o protocolo

ZFS no GNU/Linux

Leitura recomendada

Traduzindo plugins do OpenVAS/Nessus para português

Não precisamos de antivírus, eles sim

Escondendo banners de serviços

Implementando uma política de segurança eficaz

Terceirização de segurança gera dúvidas em profissionais de TI

  
Comentários
[1] Comentário enviado por ovudo em 23/04/2013 - 04:17h

cara. parabéns pelo artigo

nessa semana irei começar a implementação!

eu ja havia ouvido falar dessa ferramenta mas nunca tinha encontrado alguem q conseguisse explica-la de forma tão clara!

parabéns!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts