Toplam Sayfa Görüntüleme Sayısı

4 Kasım 2014 Salı

Kippo ssh Honeypot

Selamlar


Bu paylaşımda Kippo ssh Honeypot yazılımdan bahsedeceğim.Kippo ssh Honeypot yazılımı ne işimize yarar diye soracak olursanız,ssh ile oluşabilecek bir saldırıda sahte,aldatıcı (fake) bir dosya sistemi ile saldırganı karşılayan güvenlik yazılımı olarak açıklanabilir.Yani uzun lafın kısası,saldırgan ssh ile işletim sistemine bağlandığını düşünür ama bağlandığı kippo yazılımı ile gelen sahte dosya sistemidir.Bu sahte imajdaki dosya sisteminde,dosya silme+oluşturma+içeriğini değiştirme işlemlerini yapabilir,ama yaptığı işlemler asıl dosya sistemine yansımaz.Ayrıca yaptığı işlemlerin hepsi loglanır.Saldırgan sisteme zarar verdiğini düşünse de yapmış olduğu işlemlerin tamamı sahte dosya sisteminde olduğu için çalışan faal sistem etkilenmemiştir.Kippo hakkında fikir sahibi olduğumuza göre kurulumuna geçebiliriz.

Kurulum adımları;

İlk olarak gerekli paketler kurulmalıdır.
  • sudo apt-get install python-dev openssl python-openssl python-pyasn1 python-twisted
Güncel development versiyon kurmak için subversion kurulması gerekmektedir,bu anlatımda doğrudan "tar.gz" hazır kurulum paket elimizde olduğu için subversiona ihtiyacımız ortadan kalkmış oldu.Bu yüzden subversion ile ilgili adımları atlayarak kurulum linkine geçiyoruz.Aşağıdaki linki kullanarak uygulamayı indiriyoruz.
Aşağıdaki komut ile termina konsolda Kippo user oluşturuyoruz.
  • sudo useradd -d /home/kippo -s /bin/bash -m kippo -g sudo 
Aşağıdaki komut ile termina konsolda Kippo kullanıcısına parola tanımlıyoruz.
  • sudo passwd kippo

Bu arada Linux işletim sisteminde şayet root kullanıcı değilseniz 1024 portun altında uygulama çalıştırma imkanınız olmuyor.Ama bu durumu aşmak için aşağıdaki komutu kullanarak "authbind" yazılımını kurup konfigure etmemiz gerekiyor.
  • apt-get install authbind
Authbind için ek ayarlamalar;

  • touch /etc/authbind/byport/22
  • chown kippo:kippo /etc/authbind/byport/22
  • chmod 777 /etc/authbind/byport/22

Bu işlem ile Kippo'yu ssh varsayılan 22 port üzerinden çalışırabileceğiz.Bunu yapmadan önce asıl ssh servisimizin portunu değiştirmemiz gerekiyor.Bu işlem için aşağıdaki komutları kullanmalıyız.

  • sudo nano /etc/ssh/sshd_config
Dosyasından 22 olan port numarasını değiştirmek gerekli,örneğin 22 olan port numarasını 1919 olarak değiştirebiliriz.Sonrasında ssh servisi restart etmeliyiz.
  • sudo servive ssh restart
İndirmiş olduğumuz "kippo-0.8.tar.gz" dosyasını açmalıyız.Bu işlem için aşağıdaki komutu kullanmalıyız.
  • sudo tar -zxf kippo-0.8.tar.gz

Kippo-0.8.tar.gz dosyasını açtıktan sonra kippo-0.8 klasörüne girmeli ve klasörde bulunan "start.sh" dosyasında bulunan;

  • sudo nano start.sh
  • "twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid"  
Komutunu aşağıdaki komut ile değiştirmeliyiz.
  • authbind --deep twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid
Böylece authbind'le kippoyu 22 porttan başlatmış olacağız.

Son olarak kippo'yu çalıştırmaya sıra geldi.Yapmamız gereken işlem son derece basit "su kippo" ile kippo kullanıcısına geçerek "kippo-0.8" klasöründe bulunan "start.sh" çalıştımak .
  • su kippo
  • ./start.sh
Kontrol için ssh user@ip-adres olarak kontrol edebilirisiniz.Kendi asıl ssh bağlantınız 1919 porttan olacaktır.Sunucuya 1919 porttan ssh yapmak için aşağıdaki komutu kullanmalısınız. 
  • ssh -p 1919 user@ip_adres

Teşekkürler.

Başka bir paylaşımda görüşmek üzere.
Mehmet ÖCAL 2014

Hiç yorum yok: