Instalasi T-Pot Honeypot Framework

Beberapa hari ini saya sedang menguji coba T-Pot sebuah Honeypot Framework, yang dimana terdapat banyak paket pada bidang keamanan yang menggunakan ELK Stack dan Kibana sebagai visualisasi. Bisa dibilang T-Pot ini adalah paket komplit dimana semua tool keamana digabungkan menjadi 1. Dan divisualisasikan secara ciamik, sehingga kita sebagai pengguna menjadi lebih mudah dalam melihat dan menganalisa sebuah log.

Apa saja sih tool yang ada pada T-Pot, dilangsir dari situs github milik pengembang T-Pot, berikut adalah list fitur dari T-Port

T-Pot 20.06 runs on Debian (Stable), is based heavily on

docker, docker-compose

and includes dockerized versions of the following honeypots

• adbhoney,
• ciscoasa,
• citrixhoneypot,
• conpot,
• cowrie,
• dicompot,
• dionaea,
• elasticpot,
• glutton,
• heralding,
• honeypy,
• honeysap,
• honeytrap,
• ipphoney,
• mailoney,
• medpot,
• rdpy,
• snare,
• tanner

Furthermore T-Pot includes the following tools

• Cockpit for a lightweight, webui for docker, os, real-time performance monitoring and web terminal.
• Cyberchef a web app for encryption, encoding, compression and data analysis.
• ELK stack to beautifully visualize all the events captured by T-Pot.
• Elasticsearch Head a web front end for browsing and interacting with an Elastic Search cluster.
• Fatt a pyshark based script for extracting network metadata and fingerprints from pcap files and live network traffic.
• Spiderfoot a open source intelligence automation tool.
• Suricata a Network Security Monitoring engine.

sumber: https://github.com/telekom-security/tpotce

Untuk dapat menggunakan T-Pot, berikut adalah System Requirements, yang dibutuhkan T-Pot untuk dapat berjalan baik pada sebuah server production

System Requirements

Depending on the installation type, whether installing on real hardware or in a virtual machine, make sure the designated system meets the following requirements:

• 8 GB RAM (less RAM is possible but might introduce swapping / instabilities)
• 128 GB SSD (smaller is possible but limits the capacity of storing events)
• Network via DHCP
• A working, non-proxied, internet connection

Sumber: https://github.com/telekom-security/tpotce#requirements

Setelah menyiapkan server, lanjut kelangkah instalasi. Untuk proses instalasi nya cukup mudah, karena untuk proses instalasi nya menggunakan skrip, sehingga memudah dalam proses instalasinya. Ok langsung saja, berikut adalah cara instalasinya:

Proses Instalasi

Update dan install aplikasi git

# apt-get -y update && apt-get -y install git

Clone projek git T-Pot nya.

# git clone https://github.com/telekom-security/tpotce

Masuk kedalam directory T-Pot nya.

# cd tpotce/

Copy file konfigurasi T-Pot, ini bebas mau copy kemana. Disni saya copy ke directory /root

# cp iso/installer/tpot.conf.dist /root/tpot.conf

Buka file config T-Pot nya.

# nano /root/tpot.conf

Isi username dan password nya. Untuk type T-Pot nya saya disini menggunakan Standard.

myCONF_TPOT_FLAVOR='STANDARD'

myCONF_WEB_USER='webuser' 

myCONF_WEB_PW='w3b$ecret'

Tambahan untuk pemilihan type T-Pot sendiri ada beberapa type. Untuk detailnya dapat melihat pada tautan berikut ini.
Install T-Pot nya dengan perintah berikut, pastikan file confignya sesuai dengan file config yang telah diubah sebelumnya.

- ./install.sh --conf=/root/tpot.conf

Tunggu hingga proses instalasi selesai, lalu reboot server.

Catatan: Proses instalasi T-Pot ini akan mengubah port setandar dari ssh, jadi jika sebelumnya menggunakan ssh port 22, maka untuk ssh kembali menggunakan port 64295. Karena untuk port 22 nya digunakan untuk port Honeypot.

Pengujian

Untuk ujicoba akses https://ip.address:64297, untuk username dan password nya sesuai dengan file konfig sebelumnya. Berikut adalah contoh tampilan dari dashboard T-Pot.

Terimakasih telah membaca.