T-POT Honeypot Nedir? Nasıl Kurulur? — Canlı Test

Merhaba, şuan yazacağım yazı siberdinc.com ve medium.com bloğumda yazmış olduğum en değerli yazılardan biri diyebilirim.

Çünkü birazdan aşağıda okuyacağınız T-POT Honeypot Nedir? Nasıl Kurulur? başlıklı yazım Türkiye’nin İlk ve Tek Hacker Dergisi olan “Arka Kapı” dergisinde yayımlandı.

2018 yılında tanıştığım Arkakapı dergisi bugün bizlere veda ederek son sayısını yayımladı. Son Sayı Üzerine yazmış olduğum kısa yazımı buradan okuyabilirsiniz.

Not: Arkakapı dergisi’nin tüm sayıları artık Ücretsiz: https://read.arkakapimag.com

T-POT Honeypot Nedir? Nasıl Kurulur?

Merhaba bugün sizlere birçok Honeypot aracını içerisinde barından ve 5 dakikada canlı saldırı izleme imkanı sunan T-POT Honeypot’dan bahsedeceğiz. Peki Mr.Robot gibi dizilere de konu olan Honeypot nedir ? Önce size bundan bahsedelim.

Honeypot (Bal Küpü) Nedir?

İsmini ayıların hastası olduğu balın konulduğu balküpünden alan Honeypot, aslında metafor olarak saldırganın(ayı) diğer ağaçlara saldırmasının önüne geçmek için açıkta bırakılan balküpüne(honeypot) dayanmaktadır. Karnını kolaylıkla doyurabileceği balküpünü yiyen ayı, diğer ağaç/kovanlardaki ballara saldırmayıp ortamı terk edecektir. Metaforumuzdaki saldırgan da sistemde ele geçirdiğini sandığı bilgileri diğer sistem üyelerine dokunmayacak, hatta Honeypot üzerinde yaptığı işlemler ile arkasında iz bırakacaktır.

Honeypot diğer güvenlik tedbirlerden farklı şekilde çalışan, güvenlik mekanizmasının bir parçası olan ve bizzat savunmadaki organizasyon tarafından yerleştirilen bir güvenlik yöntemidir. Özellikle kötü amaçlı hackerlerin erişmesi istenilen verileri içerecek şekilde dizayn edilir. Saldırganın işine yaramayacak anlamsız verileri sistemde kolay ulaşılabilen düşük savunma seviyesinde gösteren yapılardır. Sisteme giren saldırganın ilk hedefi olması amaçlanarak yerleştirilir. Yani “honeypot”lar sistemin maruz kalacağı yasadışı saldırılar ve yetkisiz erişim ile kullanılması durumlarında işe yarar.

Birçok honeypot bulunmaktadır. Fakat, sizlere bugün T-POT honeypot aracından bahsedeceğiz.

T-POT Honeypot Nedir?

T-Pot honeypot(balküpü) sistemi, birçok honeypotu içerisinde barındıran bir honeypot aracıdır.İçerisinde barındırdığı honeypotlardan (Cowrie,Dionaea,Conpot,CiscoASA Honeypot,ADBHoney,ElasticPot,Glutton,Heralding,HoneyPy,Honeytrap,Malloney,Medpot,RDPY,Snare/Tanner) aldığı verileri toplar ve bu verileri merkezi bir şekilde bize sunar. Ayrıca elde edilen bilgilerin daha ayrıntılı şekilde analiz edilmesini sağlar.

T-POT Mimarisi aşağıdaki şekildedir. Mimari üzerinde T-POT kullandığı honeypot araçlarından hangi verileri hangi portlar üzerinden aldığını görmekteyiz.

Mimari üzerinde de T-POT kullandığı bu honeypot araçlarından hangi verileri hangi portlar üzerinden aldığını görmekteyiz. Örneğin; Cowrie 22 SSH portu için, Snare Web uygulamaları için yapılandırılmıştır.

Kullandığı Docker yapısı, gereksinimleri ve login bilgileri de şema üzerinde verilmiştir.

Diğer Honeypotlardan Farkı Nedir?

Honeypotlar SCADA sistemleri dahil olmak üzere kullanım amaçlarına göre farklılık göstermektedir. T-POT Honeypot’u diğer honeypot’lardan ayırdığı en önemli özelliği, tek bir honeypot veya araç kullanmamasıdır. İçerisinde ayrı servisleri çalıştıran birçok honeypot’u barındırması ile etkili bir Honeypot işlevi gerçekleştirmesine olanak sağlamaktadır. Ayrıca kullandığı Kibana yapısı ile görsel bakımdan anlaşılabilir bir grafik sunmaktadır. Kurulum esnasında Docker altyapısını kullanarak ayrı ayrı kurulum yerine, tek bir yerden kurulum imkanı da sağlamaktadır. T-POT mimarisi aşağıdaki şekildedir. Belirttiğimiz gibi T-POT, birçok honeypot’u içerisinde barındırmaktadır:

T-POT Honeypot Aracı Nasıl Kurulur ?

Cloud ortamda bir makine açılacaksa minimum Debian 9.7–8 GB RAM ve 120 GB lık disk alanı yetecektir.

Makine ortamlarımızı sağladıktan sonra;

İlk olarak aşağıdaki komut ile T-POTumuzu indiriyoruz.

# git clone https://github.com/dtag-dev-sec/tpotce

İndirdikten sonra sırasıyla aşağıdaki komutlarımızı çalıştırıyoruz.

Dosyamızı çalıştıracağımız klasöre geçtikten sonra yükleme işlemine başlıyoruz.

# cd tpotce/iso/installer/
# ./install.sh --type=user

Karşımıza aşağıdaki şekilde bir ekran gelecektir. Bu ekranda ne aradığımıza bağlı olarak kullanacağımız Honeypotu seçebiliyoruz. Ben tüm honeypotları ve ELK ile görselleştirmeyi için STANDARD seçiyorum.

Seçimimizi yaptıktan sonra bizden kullanıcı adı ve şifre isteyecektir.

Not: Bu kullanıcı adı ve şifre bilgilerini ELK görselleştirme panelimize giriş esnasında kullanacağız.

Yükleme yaklaşık 4–5 dakika sürecektir. Yükleme bittikten sonra sunucumuz otomatik olarak yeniden başlayacaktır. Fakat honeypot sununuza bağlanmadığını göreceksiniz.

Sunucunuzun güvenlik duvarı kurallarından SSH’ı 64295, HTTPS kurallarınızı ise 64297 olarak değiştirmeniz gerekmektedir.

Daha sonra tarayıcınıza https://IPAdresiniz:64297 adresine ulaştığınızda, sizden kurulum esnasında belirlediğimiz kullanıcı adı ve şifrenizi isteyecektir.

Bilgilerimizi girdikten sonra karşımıza bu şekilde bir Dashboard ekranı gelecektir.

Kibanayı seçtikten sonra T-POT Honeypot aracımızı seçiyoruz.

Gelen Dashboard ekranında yaklaşık 30 dakika içerisinde alınan Honeypot verileri aşağıdaki gibidir.

Aldığımız verileri rapor olarak almak istersek eğer “Export” kısmından “excel” dökümanı şeklinde alabilmekteyiz.

Honeypot’lar iyi konumlandırılması halinde, yapınızı çok ciddi zararlardan koruyacaktır. Arka Kapı Dergi ile üzerimde çok emeği olan Gökay DÜZAY hocam sayesinde tanıştım. Tanıştığımda kitaplığıma büyük bir heyecan ile eklediğim bir dergiydi. Aynı heyecanı, Arka Kapı Dergi’de ilk yazımın yayımlanması ile tekrar yaşadım. Bana bu imkanı sağlayan Şahin SOLMAZ ve Ziyahan ALBENİZ hocama, derginin yayımlanmasında emeği geçen herkese çok teşekkürler. Arkakapı dergisinin web sitesinde ne güzel yazıyor;

“Herkes yalnızca okursa, kim yazacak?

Makalelerimden ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.

Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.

Sağlıklı ve Güvenli Günler Dilerim.