Hepinize Merhabalar. 🙂
Bu makalemde sizlere sanallaştırma üzerine nasıl T-POT honeypot kurulumunu yapacağınızdan ve buradaki logları inceleyeceğinizden bahsedeceğim.
Bal Küpü (Honeypot) Nedir?
Bal küpü bir sistemi ele geçirmeye çalışan ya da sistem hakkında bilgi toplamaya çalışan saldırganları tuzağa düşürmeyi amaçlayan sistemlerdir. Bal küpleri içerisinde bulundukları ağın bir parçasıymış gibi görünen bir bilgisayar veya sunucu olabilmektedir. Honeypotlar saldırganlara hedef bir cihazmış gibi görünen ancak izole edilmiş olarak saldırganların hareketlerini izlemeyi amaçlayan önemli bir kaynaktır.
T-POT Honeypot
T-POT Debian tabanlı, birden fazla honeypot aracını yapılandırılmış halde içerisinde barındıran Docker altyapısıyla servise sunulduğu honeypot sistemi bütünüdür.
T-POT özellikleri şu şekilde sıralanabilir;
- Saldırganlar tarafından portların taranması sonucunda bu saldırganlara ait araçlar veya IP tespit edilmesi sonucunda istihbarat veritabanı oluşturulabilir.
- Saldırganların sistemde denediği kullanıcı adı, parola vb. tespit edilebilir ve veritabanı oluşturulabilmektedir.
- İç networkte saldırganların yapacağı hareketler tespit edilebilir.
Kurulum Gereksinimleri
- 8GB RAM
- 128GB SSD
- DHCP üzerinden ağ
- Çalışan, proxy olmayan bir internet sayfası
Kurulum
Kurulum oldukça basittir. Büyük ölçüde çalışan proxy’siz bir internet bağlantısına bağıdır. Aksi takdirde başarısız bir kurulum olur.
İlk olarak buradan iso dosyasını indiriyoruz. Ben dosyayı indirdikten sonra sanal makine üzerine kurulum yapıyorum. Gerekli ayarlamaları ve sistem gereksinimlerini karşıladıktan sonra ilk kurulum ekranı aşağıdaki gibi geliyor.
- Burada ben genel olarak konum olarak United States’i baz alarak ilerleyeceğim.
- Klavye dilimizi seçiyoruz.
- Görseldeki gibi konfigürasyon ekranı geliyor.
- Yine görseldeki gibi kendi seçimlerimizi yapıyoruz.
- Debian arşivini bu şekilde seçiyoruz.
- Burayı boş bırakarak devam ediyoruz.
- Yükleme ekranını bekliyoruz.
- Kurulumda bu şekilde karşımıza çıkan önemli bir ekran geliyor. Eğer dağınık bir yapı kullanılmayacaksa ve sistem tek bir sunucu üzerine kurulacaksa “STANDART” seçeneğini seçerek ilerliyoruz. Bu test denemeleri için yeterli olacaktır.
- Bu kısımlarda bizden kulllanıcı adı ve parola bilgilerini istiyor. Burada bazı bilgileri 2 defa istediği için bu ekranları da sizlerle paylaşıyorum.
- Gerekli kullanıcı adı parola bilgilerini verdikten sonra aşağıdaki gibi bir yükleme ekranı geliyor.
- Kurulum bittiği zaman aşağıdaki gibi bir ekranla karşılaşıyoruz. Burada gördüğünüz gibi yönetici, web ve SSH bağlantı bilgileri ekrana basılmış şekildedir.
- İlk olarak yönetici arayüzüne bağlanmak için bir önceki görseldeki bilgileri kullanıyoruz.
- Sonrasında kullanıcı adı ve parolayı giriyoruz.
- Arayüzde karşımıza ilk olarak aşağıdaki gibi bir ekran gelmektedir.
- Burası hemen alt kısımda yer alan depolama ekranıdır.
- Networking ekranı,
- Hesapların bulunduğu ekran,
- Servislerin yer aldığı ekran,
- Burada terminal ekranını görüyorsunuz.
- Terminal ekranına “top” komutunu yazarak anlık olarak çalışan processlerin durumunu görüntülüyoruz.
- Burada da tüm servislerin durumunu görüntülüyoruz.
- Daha sonra Operasyon merkezine erişmek için URL kısmını değiştiriyoruz. Ve yine kullanıcı adı parolamızı giriyoruz.
- Operasyon merkezi kullanımı oldukça basit ve aşağıdaki gibidir. Kibana arayüzüne erişiyoruz.
- Aşağıdaki gibi kibana arayüzüne erişebilirsiniz. Ve buradan logları izleyerek trafiği analiz edebilirsiniz.
T-POT’a Yakalanma
Şimdi de basit bir servis taraması yapacağım ve bunları honeypotun nasıl yakaladığı görüntüleyeceğim.
İlk olarak bir servislere bir nmap taraması yapıyorum.
- Burada ise yaptığım servis taramasının Suricata tarafından sınıflandırıldığını görüyoruz.
Buraya kadar okuduğunuz için Teşekkürler. Eksiklerim ve yanlışlarım için benimle iletişime geçerseniz sevinirim. 🙂
kaynaklar:
- https://www.linkedin.com/pulse/t-pot-honeypot-ile-tehdit-istihbarat%C4%B1-fatih-%C3%A7i%CC%87ro%C4%9Flu/?originalSubdomain=tr
- https://github.security.telekom.com/2020/08/honeypot-tpot-20.06-released.html