Redirecionando as portas:
# cd $KIPPODIR
Redirecionando a porta 22 para a porta do honeypot e liberando o acesso:
Obs.: substitua [seu IP] pelo seu.
# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp --dport 22 -d [seu IP] -j DNAT --to-destination [seu IP]:2222
# iptables -t nat -A POSTROUTING -p tcp -d [seu IP] -j MASQUERADE
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Obs.: se você usa ADSL, não esqueça que é necessário fazer também o redirecionamento de portas no seu roteador ou modem.
Se a sua rede tiver uma configuração diferente, aqui tem vários exemplos de regras de redirecionamento:
Iniciando o Kippo
Se quiser deixar o Kippo em background, execute assim:
./start.sh
Se quiser iniciar e ficar olhando o que um possível atacante digitar no shell, execute assim:
twistd -y kippo.tac -n
Verifique se está rodando, com:
Ver o PID do processo:
ps ax | grep kippo | grep -v grep
Ver a porta que está escutando:
netstat -ntaplv
O username default é
root e o password default é 123456.
Experimente conectar e dar alguns comandos:
ssh root@localhost -p 2222
Observação: quando você der um
exit, ele vai fingir que vai desconectar, mas não vai. Isso, às vezes, pega alguns comandos que o atacante iria passar no próprio computador.
Considerações finais
Para assistir ao log do que foi feito no seu falso shell:
cd $KIPPODIR/utils
$ ./playlog.py ../log/tty/20130414-192040-4451.log #Nome de arquivo de log localizado no diretório /log/tty
Dá para saber se eu estou conectado a um serviço SSH legítimo ou a um honeypot?
Basicamente, sim. Como o Kippo é um honeypot de média interatividade, ele apenas emula um servidor SSH. A sequência de troca de chaves não é a mesma de um SSHD real, de forma que já existem até extensões do metasploit que detectam se o serviço é um honeypot.
Veja:
Kippo is being detected by Metasploit - BruteForce Lab's Blog
Existem vários sites na internet com vídeos de crackers pegos no honeypot Kippo. Esse aqui, particularmente, é bem engraçado:
E nunca é demais lembrar: o seu computador se tornará um alvo para crackers, e provavelmente será atacado por diversos bots também se você deixar a porta 22 aberta.
Você estará praticamente fazendo piada com essas pessoas. Nunca execute um honeypot em um servidor real em produção. Recomendo o uso de máquina virtual, firewall bem configurado e só prossiga se você tiver certeza do que está fazendo, afinal, o Kippo é um software como qualquer outro e pode conter bugs, de forma que não é impossível um atacante sair do seu sandbox e acessar o sistema operacional real.
Referências