T-Pot インストール
いよいよ T-Pot のインストールです。その前にとりあえず update と upgrade をしておきます。また、Debian 9 Strech には git が入っていないので git を入れます。
sudo apt upgrade -y
sudo apt update -y
sudo apt install git -y
git から T-Pot をダウンロード & インストールします。
git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
sudo ./install.sh --type=user
少し画面が進むと、以下の画面になります。これは「22番ポートが開いてて、ハニーポットのサービスとかぶるかもしれないけどいいですか?」と聞いています。気にせず Y を押します。
T-Pot のインストールタイプを選択します。選択するタイプによってインストールするアプリケーションが異なります。ここでは、Standard を選択します。
ハニーポットの画面を確認する際のユーザーを作成します。インスタンスを作ったときのユーザーとは別のユーザー名にしてください。
パスワードは2回入力します。
インストールが始まります。ここは少し時間がかかるので、お茶でも飲んでひと休みしましょう。
インストールが正常に完了すると、SSH 接続が強制終了します。T-Pot のインストールによってSSH のポートは 22 番から 64295 番に変更されています。TeraTerm で接続する際は、64295 番に変更して接続してください。
ポート開放
ハニーポットを運用するからには、たくさん攻撃が来てもらいたいものです。ですので、現在ポートは 22 番しか開けていませんが T-Pot 管理画面以外のポート(0-64000)をすべて開放します。
64001-65535 は、T-Pot の攻撃状況を確認する画面(Kibana:ポート 64297)やシステムの状態を確認する画面(Cokpit:ポート 64294)など、さまざまなサービスが稼働しているポートです。このレンジは、自分が契約しているISPのIPレンジにするなど、信頼できる接続元からのみ許可するのが良いでしょう。
T-Pot 起動
T-Pot のアドレスは、以下になります。こちらをブラウザのアドレスバーに貼り付けてください。
https://パブリックIPアドレス:64297
接続すると、以下の警告が表示されますが、気にせず「詳細設定」「xxx.xxx.xxx.xxx にアクセスする(安全ではありません)」を押します。
アカウントを入力するフォームが表示されます。T-Pot インストール時に作成したユーザー情報を入力します。
正常にログインできると、様々なハニーポットの検知状況が見られるダッシュボードの詰め合わせセットの画面が表示されます。手始めに、T-Pot を押してみてください。
ハニーポットが攻撃を検知しているのが見られると思います。攻撃が来ていない場合は、ポートの開放状況を確認してみてください。
これで、T-Pot のインストールは完了です。ハニーポットで観察ができるようになりましたので、いろいろ分析してみてください!