Giriş
Bilgi teknolojilerindeki hızlı gelişmelerle birlikte, siber güvenlik tehditleri de sürekli olarak evrim geçiriyor. Bu tehditlere karşı korunmak ve saldırıları engellemek için siber güvenlik uzmanları, yeni ve etkili araçlar geliştirmeye yönelik çabalarını sürdürüyorlar. Bu bağlamda, T-POT honeypot (yemleme noktası) gibi yenilikçi araçlar, siber güvenlik uzmanlarının ellerindeki en güçlü silahlardan biri haline gelmiştir.
Honeypot Nedir?
Honeypot, saldırganları çekmek ve onların saldırı tekniklerini anlamak amacıyla oluşturulan bir tür güvenlik mekanizmasıdır. Bu sistemler, gerçek bir ağ veya sistem gibi davranarak saldırıları simüle eder ve siber güvenlik uzmanlarına saldırıları analiz etme ve karşı önlemler geliştirme imkanı sunar.
T-POT Honeypot Nedir?
T-POT (Tangible Potency of Threat) honeypot, siber güvenlik uzmanlarına, saldırganların daha karmaşık ve gelişmiş tekniklerini tespit etmelerine yardımcı olan bir honeypot çeşididir. T-POT honeypot, saldırıları simüle ederken aynı zamanda saldırganların davranışlarını derinlemesine analiz ederek yeni tehditleri tespit etme kabiliyetine sahiptir.
T-POT Honeypot’un Avantajları
- Gelişmiş Tehdit Tespiti: Sadece basit saldırıları değil, aynı zamanda gelişmiş ve karmaşık saldırıları da tespit edebilme yeteneğine sahiptir.
- Davranış Analizi: Saldırganların davranışlarını anlama konusunda, siber güvenlik uzmanlarına önemli bir avantaj sağlar. Bu sayede, saldırıların önceden tahmin edilmesi ve önlenmesi mümkün olabilir.
- Eğitim ve Geliştirme İmkanı: Siber güvenlik uzmanlarına sürekli olarak kendilerini güncellemeleri ve yeni tehditlere karşı koruma önlemleri geliştirmeleri için bir platform sağlar.
T-POT Honeypot Nasıl Çalışır?
Gerçek sistemler gibi davranarak saldırıları çeker. Saldırganlar, bu honeypot üzerinde gerçekleştikleri saldırılarla ilgili izler bırakırken, T-POT sistemi bu izleri analiz eder ve yeni tehditleri tespit etmeye çalışır.
Sonuç
Siber güvenlik uzmanlarının, güvenlik önlemlerini sürekli olarak güncellemeleri ve geliştirmeleri önemlidir. Honeypot gibi araçlar, siber tehditlere karşı daha etkili bir savunma sağlamak için geliştirilen önemli araçlardan biridir. Bu tür yenilikçi çözümlerle, siber güvenlik uzmanları, saldırıları daha iyi anlamak ve önlemek için güçlü bir pozisyon elde edebilirler.
Bu taslak, TPOT honeypot hakkında genel bir bakış sunmaktadır. Kendi deneyimlerinizi ve ek bilgilerinizi ekleyerek daha spesifik ve kişisel hale getirebilirsiniz.
Kurulumu test amaçlı VMware Workstation üzerinde yapacağım. Standalone kurulum yapacağım için aşağıdaki tablodan T-Pot Type = Standalone isterine göre sanal makinamı ayarlayacağım.
| T-Pot Type | RAM | Storage | DESCRIPTION |
|---|---|---|---|
| Standalone | 8-16GB | >=128GB SSD | RAM requirements depend on the edition, storage on how much data you want to persist. |
| Hive | >=8GB | >=256GB SSD | As a rule of thumb, the more sensors & data, the more RAM and storage is needed. |
| Hive_Sensor | >=8GB | >=128GB SSD | Since honeypot logs are persisted (/data) for 30 days, storage depends on attack volume. |
Kurulum ve Kullanım
İlk olarak Debian 11 (bullseye) sürümünü aşağıdaki linkten indiriyoruz yüksek ihtimal Debian 12’yi de destekleyeceğini düşünüyorum ama kendi github sayfasında bu sürümden bahsedilmemiş.
https://www.debian.org/releases/bullseye/debian-installer/
serdar@tpot:~$ cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"
NAME="Debian GNU/Linux"
VERSION_ID="11"
VERSION="11 (bullseye)"
VERSION_CODENAME=bullseye
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"Debian 11 kurulumunu tamamladım ve ilk iş olarak Static IP tanımlaması yaptım. Kurulum öncesinde static IP yapılandırmasının yapılması önemlidir.
serdar@tpot:~$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto ens33
iface ens33 inet static
address 192.168.1.200
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 1.1.1.1 1.0.0.1Sonrasında her ihtimale karşın temiz bir debian sunucumun snapshot’unu aldım. Bundan sonraki adımlar T-POT Honeypot kurulumu ile alakalı olacaktır.
Github reposundan ilgili uygulamayı ve daha sonradan kullanmak için aşağıdaki komut ile git, wget, curl ve aria2 paketlerini sunucuya kuruyoruz.
apt install git wget curl aria2T-POT’un kurulabilmesi için apt-fast paketini repoda bulamadım. Bu yüzden farklı bir şekilde yükleyeceğiz.
Aşağıdaki komutlar sırasıyla çalıştırılır.
/bin/bash -c "$(curl -sL https://git.io/vokNn)"
cp /usr/local/sbin/apt-fast /usr/local/bin/Aşağıdaki komutları çalıştırarak t-pot aracını indiriyoruz sonra ilgili dizine giriş yapıyor ve user tipi ile kuruluma başlıyoruz.
git clone https://github.com/telekom-security/tpotce
cd tpotce/iso/installer/
./install.sh --type=userAşağıdaki galeride kuruluma ait özet ekran görüntülerini bulabilirsiniz. Standalone kurulumunu tercih ettiğim çünkü istediğim her şey bu seçenek ile geliyor. Web console erişimi için webuser adında bir kullanıcı oluşturmayı tercih ettim. En son adımda ise reboot komutu çalışmadığı için kendim reboot ederek kurulumu tamamlamış oldum.
Kurulum sonrasında VMware Workstation’da son durum aşağıdaki gibidir.

Dikkat ettiyseniz SSH, WEB ve Admin erişimi için custom portlar tanımlanmış durumda çünkü 22, 80, 443 ve aşağıdaki port listesinde bulunan portlar yemleme için kullanılacak.
Cockpit Erişimi: https://<IP-Adresiniz>:64294
SSH Erişimi: ssh -l [tsec,<os_kullanıcınız>] -p 64295 <IP-Adresiniz>
Nginx Erişimi: https://<IP-Adresiniz>:64297 (Burası T-POT Web arayüzü ve araçların bulunduğu kısımdır.)
[root@wonderfulunit:/home/serdar]# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.200
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 1.1.1.1 1.0.0.1
### Example static ip config
### Replace <eth0> with the name of your physical interface name
#
#auto eth0
#iface eth0 inet static
# address 192.168.1.1
# netmask 255.255.255.0
# network 192.168.1.0
# broadcast 192.168.1.255
# gateway 192.168.1.1
# dns-nameservers 192.168.1.1
### Example wireless config without 802.1x
### This configuration was tested with the IntelNUC series
### If problems occur you can try and change wpa-driver to "iwlwifi"
#
#auto wlan0
#iface wlan0 inet dhcp
# wpa-driver wext
# wpa-ssid <your_ssid_here_without_brackets>
# wpa-ap-scan 1
# wpa-proto RSN
# wpa-pairwise CCMP
# wpa-group CCMP
# wpa-key-mgmt WPA-PSK
# wpa-psk "<your_password_here_without_brackets>İlk olarak dışarıdan içeriye doğru 22 TCP portunu NAT’ladığım için Honeypot: Cowrie, Honeypot: Endlessh, Honeypot: Heralding, Honeypot: qHoneypots dashboardlarında atakları görüyor olacağım. Aşağıdaki port tablosunda Description alanı Honeypot: olarak başlayanlar farklı honeypot türlerini temsil ederler. Örneğin: Honeypot: Conpot, endüstriyel kontrol sistemleri (ICS/SCADA vb) gibi davranır. Bir kaç örnek verecek olursak bunlardan bazıları elektrik santralleri, nükleer enerji tesisleri vb’dir. Eğer dışarıdan içeriye Honeypot: Conpot ile alakalı portlara (80, 102, 502, 1025, 2404, 10001, 44818, 47808, 50100 / TCP) izin verirsek tehtid aktörleri ataklarını bu sistemlere göre yapacak ve bizler de kendimizi nasıl korumamız ile alakalı önlemler alabiliyor olacağız. Aşağıdaki her honeypot türünün portlardan da anlayacağınız üzere farklı sistemler gibi davranmaktadır ama günün sonunda ulaşmak istediğimiz nokta hep aynı olmaktadır. Yapılandırmalarınızı siz de kendi ortamınıza göre yapabilirsiniz.
| PORT | PROTOCOL | DIRECTION | DESCRIPTION |
|---|---|---|---|
| 80, 443 | tcp | outgoing | T-Pot Management: Install, Updates, Logs (i.e. Debian, GitHub, DockerHub, PyPi, Sicherheitstacho, etc. |
| 64294 | tcp | incoming | T-Pot Management: Access to Cockpit |
| 64295 | tcp | incoming | T-Pot Management: Access to SSH |
| 64297 | tcp | incoming | T-Pot Management Access to NGINX reverse proxy |
| 5555 | tcp | incoming | Honeypot: ADBHoney |
| 5000 | udp | incoming | Honeypot: CiscoASA |
| 8443 | tcp | incoming | Honeypot: CiscoASA |
| 443 | tcp | incoming | Honeypot: CitrixHoneypot |
| 80, 102, 502, 1025, 2404, 10001, 44818, 47808, 50100 | tcp | incoming | Honeypot: Conpot |
| 161, 623 | udp | incoming | Honeypot: Conpot |
| 22, 23 | tcp | incoming | Honeypot: Cowrie |
| 19, 53, 123, 1900 | udp | incoming | Honeypot: Ddospot |
| 11112 | tcp | incoming | Honeypot: Dicompot |
| 21, 42, 135, 443, 445, 1433, 1723, 1883, 3306, 8081 | tcp | incoming | Honeypot: Dionaea |
| 69 | udp | incoming | Honeypot: Dionaea |
| 9200 | tcp | incoming | Honeypot: Elasticpot |
| 22 | tcp | incoming | Honeypot: Endlessh |
| 21, 22, 23, 25, 80, 110, 143, 443, 993, 995, 1080, 5432, 5900 | tcp | incoming | Honeypot: Heralding |
| 21, 22, 23, 25, 80, 110, 143, 389, 443, 445, 1080, 1433, 1521, 3306, 5432, 5900, 6379, 8080, 9200, 11211 | tcp | incoming | Honeypot: qHoneypots |
| 53, 123, 161 | udp | incoming | Honeypot: qHoneypots |
| 631 | tcp | incoming | Honeypot: IPPHoney |
| 80, 443, 8080, 9200, 25565 | tcp | incoming | Honeypot: Log4Pot |
| 25 | tcp | incoming | Honeypot: Mailoney |
| 2575 | tcp | incoming | Honeypot: Medpot |
| 6379 | tcp | incoming | Honeypot: Redishoneypot |
| 5060 | udp | incoming | Honeypot: SentryPeer |
| 80 | tcp | incoming | Honeypot: Snare (Tanner) |
Kısa süre içerisinde veriler Kibana’da görüntülenmeye başladı.
Örnek Ekran Görüntüleri










