HoneypotT-Pot

T-POT Honeypot: Tehdit Tespitinde Yenilikçi Bir Yaklaşım

Giriş

Bilgi teknolojilerindeki hızlı gelişmelerle birlikte, siber güvenlik tehditleri de sürekli olarak evrim geçiriyor. Bu tehditlere karşı korunmak ve saldırıları engellemek için siber güvenlik uzmanları, yeni ve etkili araçlar geliştirmeye yönelik çabalarını sürdürüyorlar. Bu bağlamda, T-POT honeypot (yemleme noktası) gibi yenilikçi araçlar, siber güvenlik uzmanlarının ellerindeki en güçlü silahlardan biri haline gelmiştir.

Honeypot Nedir?

Honeypot, saldırganları çekmek ve onların saldırı tekniklerini anlamak amacıyla oluşturulan bir tür güvenlik mekanizmasıdır. Bu sistemler, gerçek bir ağ veya sistem gibi davranarak saldırıları simüle eder ve siber güvenlik uzmanlarına saldırıları analiz etme ve karşı önlemler geliştirme imkanı sunar.

T-POT Honeypot Nedir?

T-POT (Tangible Potency of Threat) honeypot, siber güvenlik uzmanlarına, saldırganların daha karmaşık ve gelişmiş tekniklerini tespit etmelerine yardımcı olan bir honeypot çeşididir. T-POT honeypot, saldırıları simüle ederken aynı zamanda saldırganların davranışlarını derinlemesine analiz ederek yeni tehditleri tespit etme kabiliyetine sahiptir.

T-POT Honeypot’un Avantajları

  1. Gelişmiş Tehdit Tespiti: Sadece basit saldırıları değil, aynı zamanda gelişmiş ve karmaşık saldırıları da tespit edebilme yeteneğine sahiptir.
  2. Davranış Analizi: Saldırganların davranışlarını anlama konusunda, siber güvenlik uzmanlarına önemli bir avantaj sağlar. Bu sayede, saldırıların önceden tahmin edilmesi ve önlenmesi mümkün olabilir.
  3. Eğitim ve Geliştirme İmkanı: Siber güvenlik uzmanlarına sürekli olarak kendilerini güncellemeleri ve yeni tehditlere karşı koruma önlemleri geliştirmeleri için bir platform sağlar.

T-POT Honeypot Nasıl Çalışır?

Gerçek sistemler gibi davranarak saldırıları çeker. Saldırganlar, bu honeypot üzerinde gerçekleştikleri saldırılarla ilgili izler bırakırken, T-POT sistemi bu izleri analiz eder ve yeni tehditleri tespit etmeye çalışır.

Sonuç

Siber güvenlik uzmanlarının, güvenlik önlemlerini sürekli olarak güncellemeleri ve geliştirmeleri önemlidir. Honeypot gibi araçlar, siber tehditlere karşı daha etkili bir savunma sağlamak için geliştirilen önemli araçlardan biridir. Bu tür yenilikçi çözümlerle, siber güvenlik uzmanları, saldırıları daha iyi anlamak ve önlemek için güçlü bir pozisyon elde edebilirler.


Bu taslak, TPOT honeypot hakkında genel bir bakış sunmaktadır. Kendi deneyimlerinizi ve ek bilgilerinizi ekleyerek daha spesifik ve kişisel hale getirebilirsiniz.

Kurulumu test amaçlı VMware Workstation üzerinde yapacağım. Standalone kurulum yapacağım için aşağıdaki tablodan T-Pot Type = Standalone isterine göre sanal makinamı ayarlayacağım.

T-Pot TypeRAMStorageDESCRIPTION
Standalone8-16GB>=128GB SSDRAM requirements depend on the edition,
storage on how much data you want to persist.
Hive>=8GB>=256GB SSDAs a rule of thumb, the more sensors & data,
the more RAM and storage is needed.
Hive_Sensor>=8GB>=128GB SSDSince honeypot logs are persisted (/data)
for 30 days, storage depends on attack volume.
Kurulum İsterleri

Kurulum ve Kullanım

İlk olarak Debian 11 (bullseye) sürümünü aşağıdaki linkten indiriyoruz yüksek ihtimal Debian 12’yi de destekleyeceğini düşünüyorum ama kendi github sayfasında bu sürümden bahsedilmemiş.

https://www.debian.org/releases/bullseye/debian-installer/

serdar@tpot:~$ cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 11 (bullseye)"
NAME="Debian GNU/Linux"
VERSION_ID="11"
VERSION="11 (bullseye)"
VERSION_CODENAME=bullseye
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

Debian 11 kurulumunu tamamladım ve ilk iş olarak Static IP tanımlaması yaptım. Kurulum öncesinde static IP yapılandırmasının yapılması önemlidir.

serdar@tpot:~$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto ens33
iface ens33 inet static
address	192.168.1.200
netmask	255.255.255.0
gateway	192.168.1.1
dns-nameservers	1.1.1.1 1.0.0.1

Sonrasında her ihtimale karşın temiz bir debian sunucumun snapshot’unu aldım. Bundan sonraki adımlar T-POT Honeypot kurulumu ile alakalı olacaktır.

Github reposundan ilgili uygulamayı ve daha sonradan kullanmak için aşağıdaki komut ile git, wget, curl ve aria2 paketlerini sunucuya kuruyoruz.

apt install git wget curl aria2

T-POT’un kurulabilmesi için apt-fast paketini repoda bulamadım. Bu yüzden farklı bir şekilde yükleyeceğiz.

Aşağıdaki komutlar sırasıyla çalıştırılır.

/bin/bash -c "$(curl -sL https://git.io/vokNn)"
cp /usr/local/sbin/apt-fast /usr/local/bin/

Aşağıdaki komutları çalıştırarak t-pot aracını indiriyoruz sonra ilgili dizine giriş yapıyor ve user tipi ile kuruluma başlıyoruz.

git clone https://github.com/telekom-security/tpotce
cd tpotce/iso/installer/
./install.sh --type=user

Aşağıdaki galeride kuruluma ait özet ekran görüntülerini bulabilirsiniz. Standalone kurulumunu tercih ettiğim çünkü istediğim her şey bu seçenek ile geliyor. Web console erişimi için webuser adında bir kullanıcı oluşturmayı tercih ettim. En son adımda ise reboot komutu çalışmadığı için kendim reboot ederek kurulumu tamamlamış oldum.

Kurulum sonrasında VMware Workstation’da son durum aşağıdaki gibidir.

Dikkat ettiyseniz SSH, WEB ve Admin erişimi için custom portlar tanımlanmış durumda çünkü 22, 80, 443 ve aşağıdaki port listesinde bulunan portlar yemleme için kullanılacak.

Cockpit Erişimi: https://<IP-Adresiniz>:64294
SSH Erişimi: ssh -l [tsec,<os_kullanıcınız>] -p 64295 <IP-Adresiniz>
Nginx Erişimi: https://<IP-Adresiniz>:64297 (Burası T-POT Web arayüzü ve araçların bulunduğu kısımdır.)

 Önemli Not: Kurulum sonrasında ens33 olan interface ismim eth0 olarak değiştiği için /etc/network/interface ayarlarında ens33 olarak gözüken 2 satırı eth0 olarak güncelledim. Son hali aşağıdaki gibidir. 
[root@wonderfulunit:/home/serdar]# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.200
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 1.1.1.1 1.0.0.1

### Example static ip config
### Replace <eth0> with the name of your physical interface name
#
#auto eth0
#iface eth0 inet static
# address 192.168.1.1
# netmask 255.255.255.0
# network 192.168.1.0
# broadcast 192.168.1.255
# gateway 192.168.1.1
# dns-nameservers 192.168.1.1

### Example wireless config without 802.1x
### This configuration was tested with the IntelNUC series
### If problems occur you can try and change wpa-driver to "iwlwifi"
#
#auto wlan0
#iface wlan0 inet dhcp
#   wpa-driver wext
#   wpa-ssid <your_ssid_here_without_brackets>
#   wpa-ap-scan 1
#   wpa-proto RSN
#   wpa-pairwise CCMP
#   wpa-group CCMP
#   wpa-key-mgmt WPA-PSK
#   wpa-psk "<your_password_here_without_brackets>

İlk olarak dışarıdan içeriye doğru 22 TCP portunu NAT’ladığım için Honeypot: Cowrie, Honeypot: Endlessh, Honeypot: Heralding, Honeypot: qHoneypots dashboardlarında atakları görüyor olacağım. Aşağıdaki port tablosunda Description alanı  Honeypot:  olarak başlayanlar farklı honeypot türlerini temsil ederler. Örneğin: Honeypot: Conpot, endüstriyel kontrol sistemleri (ICS/SCADA vb) gibi davranır. Bir kaç örnek verecek olursak bunlardan bazıları elektrik santralleri, nükleer enerji tesisleri vb’dir. Eğer dışarıdan içeriye Honeypot: Conpot ile alakalı portlara (80, 102, 502, 1025, 2404, 10001, 44818, 47808, 50100 / TCP) izin verirsek tehtid aktörleri ataklarını bu sistemlere göre yapacak ve bizler de kendimizi nasıl korumamız ile alakalı önlemler alabiliyor olacağız. Aşağıdaki her honeypot türünün portlardan da anlayacağınız üzere farklı sistemler gibi davranmaktadır ama günün sonunda ulaşmak istediğimiz nokta hep aynı olmaktadır. Yapılandırmalarınızı siz de kendi ortamınıza göre yapabilirsiniz.

PORTPROTOCOLDIRECTIONDESCRIPTION
80, 443tcpoutgoingT-Pot Management: Install, Updates, Logs (i.e. Debian, GitHub, DockerHub, PyPi, Sicherheitstacho, etc.
64294tcpincomingT-Pot Management: Access to Cockpit
64295tcpincomingT-Pot Management: Access to SSH
64297tcpincomingT-Pot Management Access to NGINX reverse proxy
5555tcpincomingHoneypot: ADBHoney
5000udpincomingHoneypot: CiscoASA
8443tcpincomingHoneypot: CiscoASA
443tcpincomingHoneypot: CitrixHoneypot
80, 102, 502, 1025, 2404, 10001, 44818, 47808, 50100tcpincomingHoneypot: Conpot
161, 623udpincomingHoneypot: Conpot
22, 23tcpincomingHoneypot: Cowrie
19, 53, 123, 1900udpincomingHoneypot: Ddospot
11112tcpincomingHoneypot: Dicompot
21, 42, 135, 443, 445, 1433, 1723, 1883, 3306, 8081tcpincomingHoneypot: Dionaea
69udpincomingHoneypot: Dionaea
9200tcpincomingHoneypot: Elasticpot
22tcpincomingHoneypot: Endlessh
21, 22, 23, 25, 80, 110, 143, 443, 993, 995, 1080, 5432, 5900tcpincomingHoneypot: Heralding
21, 22, 23, 25, 80, 110, 143, 389, 443, 445, 1080, 1433, 1521, 3306, 5432, 5900, 6379, 8080, 9200, 11211tcpincomingHoneypot: qHoneypots
53, 123, 161udpincomingHoneypot: qHoneypots
631tcpincomingHoneypot: IPPHoney
80, 443, 8080, 9200, 25565tcpincomingHoneypot: Log4Pot
25tcpincomingHoneypot: Mailoney
2575tcpincomingHoneypot: Medpot
6379tcpincomingHoneypot: Redishoneypot
5060udpincomingHoneypot: SentryPeer
80tcpincomingHoneypot: Snare (Tanner)
T-POT Honeypot Ports

Kısa süre içerisinde veriler Kibana’da görüntülenmeye başladı.

Örnek Ekran Görüntüleri

TPOT Github

Serdar Kurt

Merhaba, 1986 Ankara doğumluyum. Sakarya Üniversitesi Bilgisayar Programcılığı mezunuyum. Şu an özel bir şirkette Security Engineer pozisyonunda görev yapıyorum. Bilişim Teknolojileri alanında kendimi geliştirmeye devam ediyorum.
Abone ol
Bildir
guest
1 Yorum
Eskiler
En Yeniler Beğenilenler
Satır İçi Geri Bildirimler
Tüm yorumları görüntüle
Başa dön tuşu

Reklam Engelleyici Algılandı

Bana destek olmak için lütfen reklam engelleyicinizi devre dışı bırakınız ya da bu siteyi izin verilenler listesine ekleyiniz.