Un pot de miel (honeypot en anglais) est un moyen efficace de piéger les attaquants d'un système en leur faisant croire qu'ils ont réussi. Il est alors possible de voir et comprendre comment ils ont fait. Cela s'appelle de la défense active.



Faisons un test avec SSH qui, par défaut, utilise le port 22. Kippo est le pot de miel parfait pour ça !

---

Installation

Avant toute chose, redirigez le port 22 de votre routeur pour qu'il pointe vers le port 2222 (par défaut) de votre machine, ensuite :

$ sudo aptitude install python-twisted

$ wget https://kippo.googlecode.com/files/kippo-0.8.tar.gz

$ tar xzf kippo-0.8.tar.gz

$ cd kippo-0.8

---

Paramétrage

Dans le fichier kippo.cfg, vous pouvez ajuster quelques options pour faire plus vrai, comme hostname et banner_file. Le premier sert à définir le nom de la machine et le second à afficher la bannière de connexion, généralement le contenu de /etc/motd. Exemple :

             `` Le serveur à la s@uce... ,,

       _@-@_           ____        _         _____ _  ____        .----.   @   @

     _(-._.-)_        | __ )  ___ | |__   __|_   _(_)/ ___|      / .-"-.`.  \v/

  .-(  `---'  )-.     |  _ \ / _ \| '_ \ / _ \| | | | |  _       | | '\ \ \_/ )

 __\ \\\___/// /__    | |_) | (_) | |_) | (_) | | | | |_| |    ,-\ `-.' /.'  /

'-._.'/M\ /M\`._,-`   |____/ \___/|_.__/ \___/|_| |_|\____|   '---`----'----'

Dans le fichier data/userdb.txt, vous pouvez ajouter d'autres couples utilisateur:mot de passe.

---

Exécution et éclate

Pour démarrer le pot de miel, il suffit de faire :

$ ./start.sh

Et pour vous fendre la gueule, vous pouvez revivre les différentes attaques :

$ python utils/playlog.py log/tty/aaaammdd-hhmmss-XXXX.log

Sources : Running an SSH honeypot with Debian and Kippo et Installing Kippo SSH Honeypot on Ubuntu