T-Pot: Den kostenlosen professionellen Honeypot nutzen

Voraussetzungen für den Betrieb von T-Pot

T-Pot benötigt einen Computer oder eine VM mit mindestens acht GByte Arbeitsspeicher und sechs CPU-Kernen. Außerdem wird mindestens 128 GByte Speicherplatz benötigt. Der Download kann als ISO-Datei erfolgen. Die Datei hat eine Größe von etwa 50 MByte, bei der Installation lädt das System aber Daten nach. Erfahrene Nutzer können sich auch eine eigene Honeypot-Plattform zusammenbauen und die ISO-Datei erstellen. Basis von T-Pot ist Debian. Die Installation und Einrichtung erfolgt über einen Assistenten, der keine Fragen offenlässt.

In einer umfangreichen Umgebung lässt sich T-Pot in einem Cluster auf mehrere Knoten verteilen, der Standalone-Betrieb reicht in vielen Fällen aber aus. Nach der Grundinstallation führt ein Assistent durch die Einrichtung. Hier werden Benutzernamen, Kennwörter und Netzwerkschnittstellen konfiguriert.

Erste Schritte mit T-Pot

Nach der Installation steht zunächst die Konsole von T-Pot zur Verfügung. Hier sind die URLs für den Zugriff des Webusers und des Admins zu sehen. Die Anmeldung an der Konsole oder per SSH erfolgt zunächst mit dem Standardnutzer tsec und dem Kennwort, das während der Installation angegeben wurde.

Nach der Anmeldung erfolgt die Prüfung der einzelnen Honeypot-Container durch Eingabe des Befehls dps.sh. Der Befehl zeigt die laufenden Honeypots und deren verwendete Ports. Wichtig ist daher noch, dass in der Firewall oder dem Router die entsprechenden Ports zum Honeypot weitergeleitet werden, damit dieser die Angriffe messen kann. Die Liste der Ports ist auf der GitHub-Seite aufgeführt und umfasst auch die Honypots, die diesen Port benötigen.

Über die Adresse mit der Kennzeichnung Web sind die verschiedenen Werkzeuge von T-Pot zu erreichen, zum Beispiel die Attack Map, das Cockpit, Cyberchef, Elasticvue, Kibana oder Spiderfoot. Diese Werkzeuge stehen zur Verfügung, um Hackerangriffe mit T-Pot zu identifizieren. Die Anmeldung erfolgt mit dem Webbenutzer, der im Rahmen der Installation angelegt wurde.

Das Cockpit stellt die Weboberfläche zur Verwaltung der Umgebung zur Verfügung. Über Cyberchef können Sie Daten analysieren und sich mit Elastic Stack alle aufgezeichneten Ereignisse visualisieren lassen. Für das Durchsuchen ist Elasticvue verantwortlich.

T-Pot ist in der Lage PCAP-Dateien zu extrahieren und zu analysieren. Dazu kommt das Tool Fatt zum Einsatz. Die Attack Map zeigt auf einer animierten Weltkarte die aktuellen Angriffe in visualisierter Form. An dieser Stelle ist es auch möglich zu scrollen und teilweise sogar die Städte in Erfahrung zu bringen, aus denen die Angriffe stammen.

CyberChef ist eine vielseitige Open-Source-Webanwendung, entwickelt von der britischen GCHQ (Government Communications Headquarters), um komplexe Codierungs-, Verschlüsselungs-, Konvertierungs- und Datenanalyseaufgaben durchzuführen. Die Plattform bietet eine Schnittstelle, die es ermöglicht, verschiedene Operationen wie Datenformatkonvertierungen, Verschlüsselungs- und Entschlüsselungsprozesse, sowie Hashing-Funktionen durchzuziehen. CyberChef wird häufig in der Computer-Forensik eingesetzt. das Tool ist besonders nützlich für die schnelle Analyse und Transformation von Daten ohne die Notwendigkeit, separate Tools oder Skripte zu verwenden.

Sobald die Ports an der Firewall oder dem Router zu T-Pot umgeleitet werden, füllen sich die Angriffe, die über die Attack Map zu sehen sind. Das SecurityMeter zeigt aktuell laufende Angriffe, die über das Telekom-Netz registriert werden. Diese können Sie mit den Angriffen vergleichen, die auf der Attack Map zu sehen sind und von den Honeypots der T-Pot-Installation erkannt wurden.

Über Details ist im SecurityMeter zu sehen welche Menge an Angriffen stattgefunden hat. Hier ist es möglich nach angegriffenen Ports und nach URLs zu suchen, gefiltert nach Tag, Woche und Monat. Details zu den Angriffen und den involvierten IP-Adressen sind wiederum auf der Attack Map zu sehen. Hier sind Angriffe und deren IP-Adresse in Echtzeit zu erkennen.

T-Pot verwalten

Nach der Anmeldung mit dem Admin-Benutzer am Cockpit stehen auf der linken Seite die Menüpunkte zur Verfügung, mit denen die Umgebung verwaltet wird. Die Anmeldung kann an dieser Stelle auch mit dem Benutzer tsec erfolgen sowie dem Kennwort, das bei der Installation eingegeben wurde. Der Admin-Bereich ist wiederum auch direkt über die URL und den Port zu erreichen, der in der Konsole angezeigt wird.

Auf der Seite ist die Auslastung des Systems zu sehen. Hier können Sie das System auch neu starten. Bei Protokolle zeigt das System die letzten Aktionen an. Mit dem Menüpunkt Speicher sind das Dashboard und die aktuellen Schreib- und Lesevorgänge erreichbar. Hier ist zu sehen, ob und wie aktuell Angriffe auf die Honeypots erfolgen. An dieser Stelle spielen die Informationen unter Netzwerk eine Rolle, da die Oberfläche an dieser Stelle die Netzwerkschnittstellen und IP-Adressen der Honeypots sowie deren Auslastung zeigt. Auch das ist ein wichtiger Faktor bei der Angriffsanalyse. Über Konto lassen sich weitere Benutzerkonten anlegen, mit denen verschiedene Anwender mit dem System arbeiten können. Standardmäßig wird mit dem Benutzerkonto tsec gearbeitet.

Der Menüpunkt Dienste zeigt die gestarteten Systemdienste auf dem Server sowie deren Status. Im oberen Bereich ist es dazu möglich, zwischen Sockets, Diensten und Zielen umzuschalten, um zu erkennen, ob die einzelnen Honeypot-Container problemlos laufen oder ob es Probleme mit dem System gibt. Aktualisieren lässt sich das System über den Bereich Software Updates. Mit Terminal können Admins direkt im Dashboard mit dem Terminal arbeiten, um das System zu verwalten. Auch hier zeigt dps.sh an, ob die einzelnen Container funktionieren.