Difference between revisions of "Beeswarm"

From HackerNet
Jump to: navigation, search
m
 
Line 1: Line 1:
[[Category:Guider]]
 
 
Beeswarm är ett IDS-projekt som ger enkel konfiguration, driftsättning och hantering av honeypots. Med honeypots kan man upptäcka om man har [http://www.imdb.com/title/tt0113243/ Hackers] i sitt nätverk.<br/>
 
Beeswarm är ett IDS-projekt som ger enkel konfiguration, driftsättning och hantering av honeypots. Med honeypots kan man upptäcka om man har [http://www.imdb.com/title/tt0113243/ Hackers] i sitt nätverk.<br/>
 
Projektets hemsida: http://www.beeswarm-ids.org/
 
Projektets hemsida: http://www.beeswarm-ids.org/
Line 18: Line 17:
 
  sudo easy_install -U setuptools
 
  sudo easy_install -U setuptools
 
  sudo pip install beeswarm
 
  sudo pip install beeswarm
På server:
+
'''På server:'''
 
  mkdir server_workdir && cd server_workdir
 
  mkdir server_workdir && cd server_workdir
 
  beeswarm --server --customize
 
  beeswarm --server --customize
Line 24: Line 23:
 
  https://10.1.2.3:5000
 
  https://10.1.2.3:5000
 
  +Drone -> 2 minuter på dig att registrera drone
 
  +Drone -> 2 minuter på dig att registrera drone
På honeypot:
+
'''På honeypot:'''
 
  sudo su -
 
  sudo su -
 
  mkdir /root/drone_workdir && cd /root/drone_workdir
 
  mkdir /root/drone_workdir && cd /root/drone_workdir
Line 49: Line 48:
  
 
==NTP==
 
==NTP==
Tidssynk är mycket viktigt och om klockorna går fel slutar det att funka. Detta kan hända med till och med när NTP är installerat, om man kör default-inställningar. Så trimma dem.
+
Tidssynk är mycket viktigt och om klockorna går fel slutar det att funka. Detta kan hända till och med när NTP är installerat, om man kör default-inställningar. Så trimma dem.
 
  sudo nano /etc/ntp.conf  
 
  sudo nano /etc/ntp.conf  
 
  server 0.ubuntu.pool.ntp.org minpoll 6 maxpoll 6
 
  server 0.ubuntu.pool.ntp.org minpoll 6 maxpoll 6
 
''6 betyder var 64 sekund''
 
''6 betyder var 64 sekund''
 +
 +
[[Category:Guider]]

Latest revision as of 21:07, 23 July 2015

Beeswarm är ett IDS-projekt som ger enkel konfiguration, driftsättning och hantering av honeypots. Med honeypots kan man upptäcka om man har Hackers i sitt nätverk.
Projektets hemsida: http://www.beeswarm-ids.org/

Beeswarm overview.png

  • Server: Managerar och tar in rapporter från honeypots och klienter.
  • Honeypot: Lyssnar på olika tjänster t.ex. SSH, SMTP, FTP, HTTP
  • Klient: Försöker logga in på honeypotsen med fake-credentials, om någon annan försöker logga in med samma credentials vet man att trafik har avlyssnats.

Installation

Ubuntu

sudo apt-get install libffi-dev build-essential python-dev python-pip libssl-dev libxml2-dev libxslt1-dev ntp
sudo pip install pydes --allow-external pydes --allow-unverified pydes
sudo pip install beeswarm

OBS om följande händer: "The required version of setuptools (>=6.0.1) is not available, and can't be installed while this script is running. Please install a more recent version first, using 'easy_install -U setuptools'"
Kör:

sudo easy_install -U setuptools
sudo pip install beeswarm

På server:

mkdir server_workdir && cd server_workdir
beeswarm --server --customize

Svara på frågorna samt kopiera lösenordet, webgui next.

https://10.1.2.3:5000
+Drone -> 2 minuter på dig att registrera drone

På honeypot:

sudo su -
mkdir /root/drone_workdir && cd /root/drone_workdir
beeswarm --config https://10.1.2.3:5000/ws/drone/add/f12345

På honeypoten måste beeswarm köras som root för att kunna binda portar.
Resten görs i webguit

Autostart

sudo touch /root/beeswarm.sh && sudo chmod 700 /root/beeswarm.sh && sudo nano /root/beeswarm.sh

Server

#!/bin/sh
su - user1 -c "/usr/local/bin/beeswarm --server --workdir /home/user1/server_workdir"

Honeypot

#!/bin/sh
/usr/local/bin/beeswarm --workdir /root/drone_workdir

Klient

#!/bin/sh
su - user1 -c "/usr/local/bin/beeswarm --workdir /home/user1/drone_workdir"

Lägg in följande i rc.local

/root/beeswarm.sh > /dev/null 2>&1 &

Uppgradering

sudo pip install --upgrade beeswarm --allow-external pydes --allow-unverified pydes

NTP

Tidssynk är mycket viktigt och om klockorna går fel slutar det att funka. Detta kan hända till och med när NTP är installerat, om man kör default-inställningar. Så trimma dem.

sudo nano /etc/ntp.conf 
server 0.ubuntu.pool.ntp.org minpoll 6 maxpoll 6

6 betyder var 64 sekund