Beberapa hari ini saya sedang menguji coba T-Pot sebuah Honeypot Framework, yang dimana terdapat banyak paket pada bidang keamanan yang menggunakan ELK Stack dan Kibana sebagai visualisasi. Bisa dibilang T-Pot ini adalah paket komplit dimana semua tool keamana digabungkan menjadi 1. Dan divisualisasikan secara ciamik, sehingga kita sebagai pengguna menjadi lebih mudah dalam melihat dan menganalisa sebuah log.
Apa saja sih tool yang ada pada T-Pot, dilangsir dari situs github milik pengembang T-Pot, berikut adalah list fitur dari T-Port
T-Pot 20.06 runs on Debian (Stable), is based heavily on
and includes dockerized versions of the following honeypots
- adbhoney,
- ciscoasa,
- citrixhoneypot,
- conpot,
- cowrie,
- dicompot,
- dionaea,
- elasticpot,
- glutton,
- heralding,
- honeypy,
- honeysap,
- honeytrap,
- ipphoney,
- mailoney,
- medpot,
- rdpy,
- snare,
- tanner
Furthermore T-Pot includes the following tools
- Cockpit for a lightweight, webui for docker, os, real-time performance monitoring and web terminal.
- Cyberchef a web app for encryption, encoding, compression and data analysis.
- ELK stack to beautifully visualize all the events captured by T-Pot.
- Elasticsearch Head a web front end for browsing and interacting with an Elastic Search cluster.
- Fatt a pyshark based script for extracting network metadata and fingerprints from pcap files and live network traffic.
- Spiderfoot a open source intelligence automation tool.
- Suricata a Network Security Monitoring engine.
sumber: https://github.com/telekom-security/tpotce
Untuk dapat menggunakan T-Pot, berikut adalah System Requirements, yang dibutuhkan T-Pot untuk dapat berjalan baik pada sebuah server production
System Requirements
Depending on the installation type, whether installing on real hardware or in a virtual machine, make sure the designated system meets the following requirements:
- 8 GB RAM (less RAM is possible but might introduce swapping / instabilities)
- 128 GB SSD (smaller is possible but limits the capacity of storing events)
- Network via DHCP
- A working, non-proxied, internet connection
Sumber: https://github.com/telekom-security/tpotce#requirements
Setelah menyiapkan server, lanjut kelangkah instalasi. Untuk proses instalasi nya cukup mudah, karena untuk proses instalasi nya menggunakan skrip, sehingga memudah dalam proses instalasinya. Ok langsung saja, berikut adalah cara instalasinya:
Proses Instalasi
Update dan install aplikasi git
# apt-get -y update && apt-get -y install git
Clone projek git T-Pot nya.
# git clone https://github.com/telekom-security/tpotce
Masuk kedalam directory T-Pot nya.
# cd tpotce/
Copy file konfigurasi T-Pot, ini bebas mau copy kemana. Disni saya copy ke directory /root
# cp iso/installer/tpot.conf.dist /root/tpot.conf
Buka file config T-Pot nya.
# nano /root/tpot.conf
Isi username dan password nya. Untuk type T-Pot nya saya disini menggunakan Standard.
myCONF_TPOT_FLAVOR='STANDARD' myCONF_WEB_USER='webuser' myCONF_WEB_PW='w3b$ecret'
Tambahan untuk pemilihan type T-Pot sendiri ada beberapa type. Untuk detailnya dapat melihat pada tautan berikut ini.
Install T-Pot nya dengan perintah berikut, pastikan file confignya sesuai dengan file config yang telah diubah sebelumnya.
- ./install.sh --conf=/root/tpot.conf
Tunggu hingga proses instalasi selesai, lalu reboot server.
Catatan: Proses instalasi T-Pot ini akan mengubah port setandar dari ssh, jadi jika sebelumnya menggunakan ssh port 22, maka untuk ssh kembali menggunakan port 64295. Karena untuk port 22 nya digunakan untuk port Honeypot.
Pengujian
Untuk ujicoba akses https://ip.address:64297, untuk username dan password nya sesuai dengan file konfig sebelumnya. Berikut adalah contoh tampilan dari dashboard T-Pot.
Terimakasih telah membaca.
Ini cara installnya di debian dengan virtual machine seperti virtual box dan vmware? bukan di cloud kan? bagaimana cara running t-potnya? pas ipaddress ga bsa
Saya ujicoba di cloud langsung, namun bisa juga diinstall di virtualbox atau VMware, sebelumnya saya pernah coba di virtualbox. Untuk akses dari pc host, pastikan antara host dengan vm saling terhubung, lalu bisa dipanggil dengan ip address vm nya.
Misal saya install di debian server, cara akses https://ip.address:64297 di windows bagaimana yah? biar dapat di akses diwindows
Bisa menggunakan ip address milik vm nya, pastika bisa saling terhubung antara host dengan vm.