Installer un Honeypot SSH avec Kippo

Bonjour à tous et à toutes, bande de geeks !

Aujourd’hui un nouveau tutoriel, axé sur la sécurité informatique. En effet, nous allons mettre en place un Honeypot SSH.

Pour ceux qui ne seraient pas familiers avec le terme Honeypot :

« Dans le jargon de la sécurité informatique, honeypot (pot de miel en français), est une méthode de défense active qui consiste à attirer, sur des ressources (serveur,programme, service), des adversaires déclarés ou potentiels afin de les identifier et éventuellement de les neutraliser. »

Cette technique de défense est très intéressante à étudier car elle peut nous apprendre beaucoup de choses sur nos attaquants.

Pour ce tutoriel je vais utiliser une Raspberry pi comme Honeypot ( vous commencez à me connaître, j’adore cette framboise!).

Commençons par changer le port de SSH (ce que je recommande même sans Honeypot) :

 

Vous devriez arriver sur ceci :

step2-port

Changez la valeur « Port » à « 2222 »

Quittez et sauvegardez les changements.

Relancez maintenant le service ssh:

Installons maintenant tous les paquets nécessaires à Kippo:

Kippo a besoin d’être exécuté avec un utilisateur normal, on va donc en créer un pour lui:

On télecharge Kippo et extrait son contenu:

On déplace le tout dans le dossier personnel de l’utilisateur Kippo:

On change d’utilisateur pour Kippo et on configure Kippo:

Si on lance directement Kippo ça ne marchera pas car le script essaiera d’écouter sur un port réservé à root. Pour rappel, tous les ports inférieurs à 1024. Étant donné que 22 en fait parti, la parade est d’utiliser les capacités. L’utilisation des capacités va nous permettre de contourner les limitations imposées par le noyau. Il faut donc les utiliser avec précautions.

Extrait du man: Pour vérifier les permissions, les implémentations Unix traditionnelles distinguent deux catégories de processus : les processus privilgis (dont l’UID effectif est 0, appelé superutilisateur ou root), et les processus non privilgis (dont l’UID effectif est non-nul). Les processus privilégiés contournent les vérifications de permissions du noyau, alors que les processus non-privilégiés sont soumis à une vérification complète basée sur l’identification du processus (habituellement : UID effectif, GID effectif, et liste des groupes).

À partir du noyau 2.2, Linux propose un mécanisme de capacits, qui scinde les privilèges traditionnellement associés au superutilisateur en unités distinctes que l’on peut activer ou inhiber individuellement.

On peux maintenant lancer Kippo:

Pour vérifier que Kippo tourne sans soucis:

Et voilà! Votre piège est prêt! 😀

Si vous souhaitez trafiquer les réglages de votre Honeypot, jetez un oeil dans le fichier ‘/home/kippo/kippo-0.5/kippo.cfg’. Vous pourrez y retrouver les réglages de mot de passe, de nom d’utilisateurs, etc.
Maintenant, il ne reste plus qu’à observer les malins qui essaieront de prendre votre système d’assaut. Pour ce faire, nous n’avons qu’à regarder dans le fichier ‘/home/kippo/kippo-0.5/log/kippo.log’

Profitez bien de votre nouveau pot de miel! 😀