Honeypot Kippo 0.8 - Instalação e utilização

Este artigo mostra como instalar e utilizar o Kippo, um honeypot de média interatividade, utilizado para coletar dados a respeito de tentativas de invasão ao serviço SSH que ele emula.

[ Hits: 21.128 ]

Por: Fernando em 19/04/2013 | Blog: https://github.com/phoemur/


Introdução



Talvez isso aqui já seja conhecido, mas vamos lá.

Honeypot (em português: Pote de Mel) é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor. É um espécie de armadilha para invasores. O Honeypot, não oferece nenhum tipo de proteção adicional.

Quanto à sua interação com o invasor, podem ser classificados em:
  • Baixa interatividade: serviços falsos - Listener TCP/UDP - Respostas falsas.
  • Média interatividade: ambiente falso - Cria uma ilusão de domínio da máquina.
  • Alta Interatividade: S.O. com serviços comprometidos - Não perceptível ao atacante.

Quanto ao seu propósito, podem ser classificados em:
  • Honeypots de pesquisa: propósito de acumular o máximo de informações dos invasores e suas ferramentas - grau alto de comprometimento - redes externas ou sem ligação com rede principal.
  • Honeypots de produção: diminuir risco - elemento de distração ou dispersão...

Adaptado de: Honeypot – Wikipédia, a enciclopédia livre

Os honeypots de baixa interatividade (por exemplo, o Honeyd) são utilizados geralmente para implementar o conceito de segurança por obscuridade, simulando diversas máquinas e serviços não existentes e logando o acesso a eles, com o propósito de esconder os serviços reais existentes. É usado para confundir o atacante com fingerprints falsos.

Já os honeypots de média ou alta interatividade, são utilizados para pesquisa, permitindo interação do atacante com serviços falsos (média interatividade) ou serviços reais porém encapsulados (alta interatividade).

Seu propósito é a coleta de dados, podendo, inclusive, salvar os arquivos baixados pelo atacante para análise de malware.

O honeypot Kippo

O Kippo é um honeypot de média interatividade que simula um serviço SSH inseguro. Foi desenvolvido para logar ataques de força bruta, script kiddies e, mais importante, logar toda a interação do atacante com o shell falso oferecido pelo Kippo.

Algumas características interessantes:
  • Sistema de arquivos falso emulado, com possibilidade de criar e apagar arquivos. Um filesystem completo simulando o Debian é incluso na instalação.
  • Possibilidade de adicionar conteúdo falso de arquivos para que o atacante possa dar um cat, como o "/etc/passwd".
  • Salva os arquivos baixados pelo atacante com Wget para inspeção posterior.
  • Session logs são salvos em formato UML, possibilitando replay com o timing original.

Por essas características, é necessário dizer que não é recomendado utilizar o Kippo em servidores reais. Recomenda-se a instalação do Kippo em uma máquina virtual, rodando em um computador sem dados sensíveis para perda.

Seu sistema, literalmente, se tornará uma isca para crackers. A responsabilidade é somente sua. Utilize um bom firewall e chroot, se possível.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Dependências / Instalação e configuração
   3. Utilização
Outros artigos deste autor

ZFS no GNU/Linux

i3 - Tilling Window Manager

Wake-on-LAN (WOL) utilizando Netcat - Dissecando o protocolo

Leitura recomendada

ARP Poisoning: compreenda os princípios e defenda-se

Fazendo sua conexão remota por SSH mais segura

Vault: SSH com OneTimePassword

Single Honeypot

Segurança na Internet

  
Comentários
[1] Comentário enviado por ovudo em 23/04/2013 - 04:17h

cara. parabéns pelo artigo

nessa semana irei começar a implementação!

eu ja havia ouvido falar dessa ferramenta mas nunca tinha encontrado alguem q conseguisse explica-la de forma tão clara!

parabéns!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts