منبع اصلی نوشتار زیر در این لینک قرار دارد

نصب و راه اندازی هانی پات Honeydrive

09

ژانویه

با سلام امروز با نصب و راه اندازی هانی پات هانی درایو در خدمت شما عزیزان هستیم.

https://www.drupal.org/files/images/Honey-Pot.png

هاني پات چيست ؟
هاني پات ها (ظرف عسل ها) يك تكنولوژی تقريبا جديد و شديدا پويا هستند، آن ها به خودي خود يك راه حل به شما نرفته و هيچ مشكل امنيتي خاص را حل نمي كنند و با تكنولوژي هاي مانند فايروالها و سيستم هاي تشخيص نفوذ متفاوت است. در اصل هاني پات ها يك سيستم اطلاعاتي است كه ارزش آن به استفاده غيرمجاز و ممنوع ديگران از آن است.
هيچكس نبايد از آن ها استفاده كند و يا با آن ها تعامل برقرار نمايد، هر تعاملي با هاني پات ها غيرمجاز شمرده شده و نشانه اي از يك حركت خرابكارانه به شمار مي رود.
يك هاني پات سيستمي است كه در شبكه سازمان قرار مي گيرد، اما براي كاربران آن شبكه هيچ كاربردي ندارد و در حقيقت هيچ يك از اعضاي سازمان حق برقراري هيچگونه ارتباطي با اين سيستم را ندارند. اين سيستم داراي يك سري ضعف ها امنيتي عمدي است. از آن جايي كه مهاجمان براي نفوذ به يك شبكه هميشه دنبال سيستم هاي دراي ضعف مي گردند، اين سيستم توجه آن ها را به خود جلب مي كند و با توجه به اين كه هيچ كس حق ارتباط با آن را ندارد، پس هر تلاشي براي برقراري ارتباط با اين سيستم، يك تلاش خرابكارانه از سوي مهاجمان محسوب مي شود.
در حقيقت اين سيستم نوعي دام است كه مهاجمان را فريب داده و به سمت خود مي كشاند به اين ترتيب علاوه بر امكان نظارت و كنترل كار مهاجمان ، اين فرصت را به سازمان مي دهد كه فرد مهاجم را شناسايي كند و از سيستم هاي اصلي شبكه خود دور نگه دارد.
هاني پات honeydrive :

honey1

HoneyDrive ابزاری مجازی است که ویرایش ۳۲ بیتی ۱۲.۰۴ از Xubuntu Desktop در آن نصب شده است. HoneyDrive دربرگیرنده‌ی هانی‌پات‌های متعددی همچون Kippo SSH، هانی‌پات بدافزاری Dionaea، هانی‌پات کم‌تعامل Honeyd، هانی‌پات تحت وب Glastopf به همراه Wordpot، و در نهایت Thug honeyclient می‌باشد. علاوه بر این Honeydrive شامل اسکریپت‌های از پیش تنظیم‌شده‌ و ابزارهای مفیدی برای تجزیه و تحلیل، نمایش و پردازش داده‌هایی است که می‌تواند ثبت کند، مانندKippo-Graph ،Honeyd-Viz و خیلی موارد دیگر. همچنین بسیاری از برنامه‌های مفید در حوزه‌ی امنیت، کاوش‌های سایبری و بدافزاری در این توزیع گنجانده شده است.

برخی از ویژگی‌های Honeydrive بدین شرح است:

  • ابزاری مجازی تحت Xubuntu ۱۲.۰۴ Desktop.

  • توزیع‌شده به عنوان یک پرونده‌ی OVA.

  • پشته‌ی LAMP به‌طور تمام و کمال در آن نصب شده است (آپاچی ۲،5 MySQL)، همچنین ابزارهایی نظیر phpMyAdmin نیز در آن ارائه شده است.

  • هانی‌پات Kippo SSH به علاوه‌ی Kippo-Grap ، Kippo2MySQL وسایر اسکریپت‌های سودمند دیگر.

  • هانی‌پات بدافزاری Dionaea در کنار DionaeaFR و اسکریپت‌های مفید.

  • افزونه‌های از پیش نصب‌شده‌ی فایرفاکس به همراه نرم‌افزارهای مفیدی نظیر Gparted ،Terminator ،Adminer, VYM ،Xpdf و غیره.

  • یک بسته‌ی امنیتی کامل از ابزارهای ضدبدافزار که برای نظارت بر شبکه، شل‌کدهای مخرب و تجزیه و تحلیل pdf به کار می‌رود. این بسته‌ی نرم‌افزاری شامل ntop ،p0f ،EtherApe ،nmap ،DFF و وایرشارک است.

نصب و راه اندازي هاني پات honeydrive :
نصب و راه اندازي اين هاني پات بسيار ساده است،ابتدا فايل مجازي HoneyDrive_3_Royal_Jelly.ova را از آدرس زير دانلود كنيد.

Download : http://sourceforge.net/projects/honeydrive

سپس فايل را در داخل سرورمجازي esxi يا هر ماشين مجازي ديگر ، import كنيد. به طور پيش فرض فضاي دايناميك 80 گيگ را به خود اختصاص مي دهد و به صورت لايو اجرا شده و بالا مي آيد ، همچنين به صورت خودكار با نام كاربري و رمزعبور honeydrive/honeydrive لاگين مي شود.پس از اجرا شدن مجموعه هاني پات honeydrive بايد هاني پات هاي مورد نياز را راه اندازي كنيم.براي اين كار مي توان مطابق با فايل README.txt موجود در صفحه ي دسكتاپ honeydrive پيش رفت.

راه اندازي هانی پات kippo :

kippo یک هانی پات برای سرویس SSH است. یعنی با راه اندازی آن یک هانی پات در نقش SSH Server داریم که اطلاعات انواع حملات به این سرویس را ثبت می کند. در توزیع لینوکسی HoneyDrive ، این هانی پات به صورت پیش فرض نصب شده و کافی است اسکریپت start.sh را در دایرکتوری Kippo اجرا کنید.

 bash /honeydrive/kippo/start.sh

honey2

سپس برای مشاهده خروجی تولید شده از kippo-graph استفاده می کنیم، به این صورت که آدرس زیر را در مرورگر وارد می کنیم:

http://honeydrive-ip-/kippo-graph

گرافها و گزارش های متنوعی از خصوصیات حملات انجام شده به سرویس SSH در این ابزار قابل مشاهده است.

honey3راه اندازي هانی پات Dionaea :

Dionaea یک هانی پات با سطح تعامل پايين است كه حملات انجام شده و بدافزارها را كپچر مي كند. اين اسكريپت پايتون با بهره بردن از libemu ، شل كد ها را شناسايي كرده و داراي قابليت حمايت از حملات انجام شده در ipv6 و TLS است. هاني درايو با بهره بردن از اسكريپت DionaeaFR نتايج جمع آوري شده توسط Dionaea را به صورت گرافيكي، تحت وب ارايه مي دهد.
براي اجراي اين اسكريپت ها دستورات زير را در ترمينال وارد كنيد.

 cd /honeydrive/dionaea-vagrant
runDionaea.sh/.#
cd /honeydrive/DionaeaFR#
python manage.collectstatic#
python manage.py runserver 0.0.0.0:8000

honey4

اكنون مي توانيم به صورت گرافيكي اين هاني پات بر روي لوكال هاست و پورت 8000 را ببينيم. در اين جا ما با استفاده از اسكنر nmap اقدام يه اسكن هاني پات مي كنيم كه در هاني پات Dionaea اطلاعات سيستم اسكن كننده ثبت ميشود.

تصاويري از UI مربوط به هاني پات Dionaea :

honey5
honey6

اين هاني پات اطلاعات جامعي از هكرها و نفوذگران در اختيار ما قرار مي دهد از جمله سرويس هاي مورد حمله ، آي پي ، پورت ها ، موقعيت جغرافياي و غيره.

راه اندازي هانی پات Wordpot :

Wordpot یک هانی پات وردپرسي است كه هرگونه درخواست بر روي تم ها و پلاگين ها و صفحات وردپرس را شناسايي و ثبت مي كند. اين هاني پات با راه اندازي يك cms وردپرس بر روي پورت دلخواهي طعمه اي را براي هكران وب كار فراهم مي كند تا فعاليت هاي آن ها را ثبت كند. براي اجراي اين هاني پات دستورات زير را در ترمينال وارد كنيد.
دقت كنيد كه در فايل كانفيگ wordpot.conf مقدار هاست و پورت را تنظيم كنيد.

 cd /honeydrive/wordpot/#
#nano wordpot.conf
#sudo python wordpot.py

همان طور كه در تصوير زير مي بينيد ما هاني پات wordpot را بر روي آي پي 192.168.1.2 و پورت 8080 راه اندازي كرديم. (http://192.168.1.2:8080)

honey7

اكنون صفحاتي از اين هاني پات را براي تست باز مي كنيم. آدرس لاگ فايل در مسير /honeydrive/wordpot/logs/ قرار دارد.

honey8

همان طور كه در تصوير زير مي بينيد از صفحه ي نخست و لاگين وردپرس مشاهده شده است.

honey9راه اندازي هانی پات Glastopf :

Glastopf یک هانی پات ساده تحت وب است كه هر گونه فعاليت بر روي خود را ثبت مي كند. همانند هاني پات وردپات اين هاني پات هم در فايل كانفيگ قابل تنظيم شدن بر روي هاست و پورت خاصي است. براي راه اندازي آن از دستورات زير در ترمينال استفاده مي كنيم.

 cd /honeydrive/glastopf-honeypot#
nano glastopf.cfg#
#sudo /usr/local/bin/glastopf-runner

honey10
همان طور كه در تصوير بالا مي بينيد ما اين هاني پات را بر روي آي پي 192.168.1.2 و پورت 8090 تنظيم كرديم.
در ادامه در تصوير زير هاني پات را اجرا كرده و صفحاتي از آن را باز كرديم ( آي پي هكر 192.1681.102 است).

honey11

لاگ فايل اين هاني پات در مسير /honeydrive/glastopf-honeypot/log/glastopf.log قابل مشاهده است.

honey12