Bezpečnost v komunikacích

Analýza útoků na honeypot Cowrie

Zadání

Instalace a konfigurace vybraných Honeypotů za účelem monitoringu bezpečnostních hrozeb.

a) Instalace a konfigurace vybraných Honeypot, monitoring zaslaných útoků v laboratorních podmínkách.
b) Implementace útočného stroje a simulace útočníka.

Řešení

Pro řešení byl vybrán honeypot Cowrie hlavně z důvodu malé HW náročnosti, takže jako VPS host mohl být použit Always free tier na Google Cloud Platform (instance f1-micro v US regionu) s parametry:

Port 22 na tomto serveru byl dostupný z celého interneru:

Name Type Description Targets Filters Protocols / ports Action
default-allow-ssh Ingress Allow SSH from anywhere Apply to all IP ranges: 0.0.0.0/0 tcp:22 Allow

Útočník v laboratorních podmínkách nebyl simulován, místo toho byla analýza provedena nad reálnými daty z reálných útoků.
Pro analýzu dat z honeypotu Cowrie byl použit Cowrie-Analyzer, nástroj na parsování .json logů napsaný v Pythonu.
Ruční analýza nebyla vhodná z důvodu množství nasbíraných dat - za měsíc provozu honeypotu jsme nasbírali ~750MB dat.
Pro zobrazení dat bylo použito Google Data Studio.