Redirecionando as portas:

# cd $KIPPODIR

Redirecionando a porta 22 para a porta do honeypot e liberando o acesso:

Obs.: substitua [seu IP] pelo seu.

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -A FORWARD -p tcp --dport 22 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp --dport 22 -d [seu IP] -j DNAT --to-destination [seu IP]:2222
# iptables -t nat -A POSTROUTING -p tcp -d [seu IP] -j MASQUERADE
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Obs.: se você usa ADSL, não esqueça que é necessário fazer também o redirecionamento de portas no seu roteador ou modem.

Se a sua rede tiver uma configuração diferente, aqui tem vários exemplos de regras de redirecionamento:

• MakingKippoReachable « code.google.com

Iniciando o Kippo

Se quiser deixar o Kippo em background, execute assim:

./start.sh

Se quiser iniciar e ficar olhando o que um possível atacante digitar no shell, execute assim:

twistd -y kippo.tac -n

Verifique se está rodando, com:

Ver o PID do processo:

ps ax | grep kippo | grep -v grep

Ver a porta que está escutando:

netstat -ntaplv

O username default é root e o password default é 123456.

Experimente conectar e dar alguns comandos:

ssh root@localhost -p 2222

Observação: quando você der um exit, ele vai fingir que vai desconectar, mas não vai. Isso, às vezes, pega alguns comandos que o atacante iria passar no próprio computador.

Considerações finais

Para assistir ao log do que foi feito no seu falso shell:

cd $KIPPODIR/utils
$ ./playlog.py ../log/tty/20130414-192040-4451.log  #Nome de arquivo de log localizado no diretório /log/tty

Dá para saber se eu estou conectado a um serviço SSH legítimo ou a um honeypot?

Basicamente, sim. Como o Kippo é um honeypot de média interatividade, ele apenas emula um servidor SSH. A sequência de troca de chaves não é a mesma de um SSHD real, de forma que já existem até extensões do metasploit que detectam se o serviço é um honeypot.

Veja: Kippo is being detected by Metasploit - BruteForce Lab's Blog

Existem vários sites na internet com vídeos de crackers pegos no honeypot Kippo. Esse aqui, particularmente, é bem engraçado:

• http://www.iwatchedyourhack.org

E nunca é demais lembrar: o seu computador se tornará um alvo para crackers, e provavelmente será atacado por diversos bots também se você deixar a porta 22 aberta.

Você estará praticamente fazendo piada com essas pessoas. Nunca execute um honeypot em um servidor real em produção. Recomendo o uso de máquina virtual, firewall bem configurado e só prossiga se você tiver certeza do que está fazendo, afinal, o Kippo é um software como qualquer outro e pode conter bugs, de forma que não é impossível um atacante sair do seu sandbox e acessar o sistema operacional real.

Referências

• http://code.google.com/p/kippo
• http://code.google.com/p/kippo/w/list
• Honeypot (computing) - wikipedia.org
• Kippo: honeypot SSH
• Instalação do Kippo ssh honeypot | ZWAME Portal
• Kippo is being detected by Metasploit - BruteForce Lab's Blog
• http://www.iwatchedyourhack.org