Tarpit - Die Teergrube für Sniffer

Kategorie: Datenschutz
Zugriffe: 4112
Rating:
( 2 Ratings )

cdJeder sollte wissen dass Port 22 nichts im öffentlichen Netz verloren hat. Wenn man schon ssh von draußen will... auch quark, das geht gar nicht! Macht sowas besser per VPN.

Weil es aber immer noch Viele machen, bin ich mit denen solidarisch und erstelle einen Container mit Tarpit. Dazu mache ich den Pot 22 auf meiner Firewall auf und leite den Port an meinen Tarpit weiter.

Die Technik dahin ist relativ simpel. Es wird nun versucht eine ssh Verbindung von außen aufzubauen, in dem Handshake ist technisch jedoch nicht vereinbart, wie lange es dauern darf bis das Passwort abgefragt wird, oder wie groß der Banner ist. In diesem Raum halten wir denjenigen gefangen bis zum Santnimmerleinstag.

 Anschließend könnten wir mit Graylog Auswertungen machen, automatische Blockregeln für die Firewall erstellen etc. etc. oder wir halten die Angreifer einfach gefangen.
 

Also los gehts

 

Als erstes wird ein Container in Proxmox erstellt, konfuguriert und der SSH Zugang für uns freigeschaltet. Wer dies noch nie gemacht hat, für den gibt es ein Haufen Anleitungen im Internet, ich möchte hier nicht bei den Basics beginnen. Nicht vergessen die Netzwerkeinstellungen zu vergeben und den Container einmal neustarten.

 Ein

sudo apt update && sudo apt full-upgrade && sudo apt autoremove -y

hinterhergeschickt und unser Container ist auf dem aktuellen Stand.

 

Auf zum Tarpit

apt install python3-pip  -y
pip3 install ssh-tarpit
ssh-tarpit -a IP-DES-TARPIT -p 2222 -i 6 &** /pfad/zum/log/tarpit.log
Das war jetzt für den einmaligen Start. Damit ist dauerhaft läuft folgendes:
cd /home
touch tarpit.sh
chmod -rwx /home/tarpit.sh
nano tarpit
Folgendes in die Datei:
 
/usr/local/bin/ssh-tarpit -a IP-VOM-CLIENT -p 2222 -i 6 -f /home/tarpit.log
 
Strg+X und ein Y dann Enter
 
Damit es auch nach jedem (Neu)-Start ausgeführt wird:

cd /etc/systemd/system

touch tarpit.service

nano tarpit.service

das eintragen:

[Unit]

Description=Tarpit

[Service]

Type=simple
ExecStart=/bin/bash /home/tarpit.sh

[Install]

WantedBy=multi-user.target

Alias=tarpit.Service

Strg+X drücken, y und Enter für speichern und der Service ist vorhanden

sudo chmod 644 /etc/systemd/system/tarpit.service

sudo systemctl enable beliebiger-name.service
systemctl start tarpit.service
systemctl status tarpit.service

Nach einem Neustart können wir

ps ax | grep tarpit

ausführen. Da muss etwas stehen wie

.... /usr/local/bin/ssh-tarpit -a 1 IP-des-TARPIT -p 2222 -i 6 -f /home/tarpit.log

und ein

cat /home/tarpit.log

liefert keine leere  Antwort. Das ist dann das Logfile das wir für weitere Zwecke nutzen können

Jetzt nur noch die Portweiterleitung in der Firewall. Für Fritzbox müsst ihr schauen, für die OPNSense gibt es das hier. 
 

 

 

Bild 1: Flickr - Travis - Attribution-NonCommercial 2.0 Generic