Préambule

Hey ça fait un moment que je ne suis pas venu par ici poster quelques news. Vu que j'avais écrit ce tuto pour un cours il y a quelques mois, je me suis dit que ça serait dommage de ne pas en faire profiter tout le monde. Noter néanmoins qu'un fork appelait Cowrie propose des fonctionnalités plus avancé que Kippo à l'heure actuelle. Bref voici un tuto d'installation pour le Honeypot Kippo, suivez le guide!

Présentation

Kippo est un honeypot à interaction moyenne, son but est d'émuler un service SSH afin d'archiver les tentatives de brute force des attaquants, mais aussi les interactions qu'ils effectuent une fois connectés.

En effet, il est possible grâce à kippo de définir un mot de passe faible afin de laisser l'attaquant avoir un shell sur la machine. Cet environnement est bien sûr protégé, mais permet à notre système de journaliser les commandes qui ont été entrées ainsi que les fichiers téléchargés.

De plus lorsque l'attaquant pense quitter le shell SSH pour revenir sur son shell local, Kippo l'amène dans un deuxième environnement protégé afin de loguer les commandes qu'il aurait pu entrer sur sa machine pour déclencher l'attaque.

Installation

Installation des dépendances

Pour fonctionner Kippo a juste besoin de Python. Néanmoins pour une installation propre, nous allons installer ses dépendances dans un environnement virtuel avec l'aide de PIP et VirtualEnv. Enfin nous allons installer la librairie MySQL clients au cas où nous voudrions nous interfacer avec une base de données MySQL.

$ sudo apt-get install build-essential python-dev libmysqlclient-dev python-virtualenv python-pip

Il s'agit de la seule commande que l'on doit exécuter en root durant l'installation.

Créer l'environnement virtuel

Il est maintenant nécessaire de créer l'environnement virtuel python que nous appellerons "kippo". Pour celà, il faut entrer la commande suivante:

$ virtualenv kippo_venv

Puis il faut l'activer afin d'entrer dans cet environnement:

$ source kippo_venv/bin/activate

Après cette commande le shell change afin de ressembler à celui-ci:

(kippo_venv)$

Installer les dépendances Python

Maintenant que l'environnement virtuel est fonctionnel, il est possible d'installer les dépendances python du projet:

(kippo_venv)$ pip install twisted==15 pyasn1 pycrypto

Installation de Kippo

Après avoir installé les dépendances de kippo, il suffit maintenant de le télécharger grâce à git :

(kippo_venv)$ git clone https://github.com/desaster/kippo.git

Configuration de Kippo

La configuration de kippo se situe dans kippo.cfg, Par défaut ce fichier n'existe pas, mais un template est fourni avec une configuration basique, il suffit donc simplement de la copier sous un autre nom:

(kippo_venv)$ cd kippo
(kippo_venv)$ cp kippo.cfg.dist kippo.cfg

Il est aussi possible de créer différents utilisateur dans le fichier data/userdb.txt.

Enfin, il est déconseillé de lancer kippo sur le port 22. En effet sous GNU/Linux tous les ports en dessous de 1024 sont des ports réservés nécessitant des droits privilégiés. Il est donc conseillé de laisser le port 2222 par défaut et d'effectuer du NAT afin de rediriger le port 22 vers le port 2222 de la machine. Si kippo est exécuté sous Windows, il est tout à fait possible de mettre le port 22 qui est habituellement libre.

Rediriger le port 22 vers le port 2222

La configuration du port forwarding se fait via une simple règle IPTables:

$ sudo iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222

Utilisation

Kippo peut se lancer de deux manières, soit en arrière-plan, soit au premier plan.

Lancement de Kippo au premier plan

Tout d'abord, pour lancer kippo

(kippo)$ twistd -n -y kippo.tac

Lancement de Kippo au arrière-plan

Contrairement au lancement précédent, celui-ci ne nécessite pas que l'utilisateur soit connecté à l'environnement virtuel. Le script de lancement prend tout simplement le nom de l'environnement en argument:

$ ./start.sh kippo_venv

L'arrêt du logiciel se fera via l'exécution du script stop.sh.


Port Knocking et installation de Knockd sous debian

ven. 23 mai 2014 by y0no

Qu'est ce que le port knocking, et comment en installer sur son serveur Debian.

read more