Kippo. HoneyPot (pot de miel) :

Transcription

1 Kippo HoneyPot (pot de miel) : Dans le jargon de la sécurité informatique, un pot de miel, ou honeypot, est une méthode de défense active qui consiste à attirer, sur des ressources (serveur, programme, service), des adversaires déclarés ou potentiels afin de les identifier et éventuellement de les neutraliser. Le terme désigne à l'origine des dispositifs informatiques spécialement conçus pour susciter des attaques informatiques. Son usage s'est étendu à des techniques relevant de l'ingénierie sociale et du renseignement humain. Kippo est un honeypot SSH d'interaction moyen conçu pour identifier les attaques par force brute et, surtout, l'ensemble de l'interaction de la coque effectuée par l'attaquant. OS : Distribution Stratagem : Stratagème est une distribution Linux pour les honeypot, la criminalistique de réseau, l'analyse des logiciels malveillants et d'autres outils de soutien. Stratagème est basé sur Linux Mint 14 XFCE. Pourquoi choisir Kippo? -écrit en python -moyenne interaction avec l attaquant. -possibilité d ajouter des fonctions pour encore plus d interaction -une communauté active qui développe des scripts amélioré -possibilité d établir des graphiques via SQL avec un plug-in ce qui permet d avoir une autre vision des traditionnels «logs»

2 I- Installation et configuration du honeypot KIPPO, serveur MYSQL et Apache (kippograph) II- Simulation d une attaque SSH avec KALI LINUX III- Visualisation des logs Kippo-graphs via le serveur web

3 Installation des dépendances ainsi que des paquets nécessaire.

4 Installation du serveur SSH : sudo apt-get install openssh-server

5 Modification de la configuration : nano /etc/ssh/sshd_config Puis changer le port par défaut SSH (par exemple 666) Ajout d un utilisateur «kippo»

6 Attribution de droit à l utilisateur «kippo» Téléchargement de kippo, puis j ai renommé «kippo.cfg.dist» qui est le fichier de configuration non configuré. Connexion au serveur MYSQL, création de la base de donnée kippo et attribution de droit.

7 Pour crée les tables de la base de donnée. Fichier de configuration kippo: Nano kippo.cfg Inscription d un nom d hôte ainsi que des informations sur la base de données MYSQL.

8 Utilisation d IPTABLES pour redirigé le trafic du port kippo 3389 sur le port 22. sudo apt-get install y libapache2-mod-php5 php5-gd php5-mysql Décompression et installation du plug-in kippograph (présentation a la fin) sudo chmod 777 generated-graphs

9 Ensuite dans le fichier configuration il faut inclure les paramètres de la base de données kippo et relancer le service APACHE sudo service apache2 restart Je rajoute des utilisateurs dans la base de données. Nano data/userdb.txt

10 Simulation d attaque SSH avec KALI LINUX Avec Nmap (Nmap est un scanner de ports libre, Il est conçu pour détecter les ports ouverts, identifier les services hébergés) nous avons ces informations. Ensuite nous allons utiliser Medusa qui est comme un "outil de brute force modulable" avec des modules disponibles pour soutenir presque n'importe quel service qui permet l'authentification à distance en utilisant un mot de passe, y compris: CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, POP3, PostgreSQL, SMTP-AUTH, Telnet et VNC.

11 Medusa h u root P pass.txt M ssh

12 Connexion au service SSH de substitution Exemple de log kippo

13 Exemple de log kippo Utilisation de kippo graph Kippo-Graph est un script très complet pour visualiser les statistiques d'un pot de miel Kippo SSH. Il utilise "libchart" PHP tableau dessin bibliothèque par Jean-Marc Trémeaux, "QGoogleVisualizationAPI" Wrapper PHP pour la visualisation de l'api Google par Thomas Schäfer et de la technologie de géolocalisation geoplugin (geoplugin.com). Kippo-graphique montre actuellement 24 tableaux, y compris les 10 premiers mots de passe, les 10 premiers noms d'utilisateur, meilleurs combos 10 nom d'utilisateur / mot de passe, taux de réussite, les connexions par IP, connexions par pays, des sondes par jour, sondes par semaine, des clients ssh, top 10 entrée globale, top 10 entrée réussie, top 10 a échoué entrée et beaucoup plus. Il existe également des données de géolocalisation extraites et affichées avec la technologie Google de visualisation utilisant une carte Google Map, une carte de l'intensité, etc Enfin, les données et les statistiques sur les intrants sont également présenté donnant un aperçu de l'action à l'intérieur du système et il est la capacité de lecture en direct de sessions capturées.

14

15

16