HoneyAegis: Build Your Own AI-Powered Honeypot Network

The Hacker's Path: מדריך נלווה

מאמר זה משלים את חלק 1: מבוא ואת חלק 2: שליטה ב-Flipper. למדת להתקיף. עכשיו בנה את ההגנה שלך.

בחודש שעבר בדקתי מחירים של פלטפורמות honeypot מסחריות. Thinkst Canary רוצה 5,000 דולר לשנה עבור חמישה מכשירים. ספקים אחרים גובים לכל חיישן, לחודש, כשנתוני האיומים שלך עוברים דרך התשתית שלהם קודם. הם רואים את התוקפים שלך לפניך.

זה מטורף.

honeypot הוא מערכת פיתוי שתוכננה להיות מותקפת. אתה פורס שירותים מזויפים (SSH, SMB, FTP) וצופה מה קורה. התוקפים חושבים שהם פורצים לשרת אמיתי, אבל בפועל הם מוסרים לך מודיעין על הכלים, הטכניקות והמטרות שלהם. זו הגנה התקפית.

הרעיון פשוט. היישום לא אמור לעלות כמו משכנתא.

אז בנינו את HoneyAegis: פלטפורמת honeypot באירוח עצמי, Docker-native, עם ניתוח AI מקומי. Raspberry Pi 5 מריץ את החיישנים. לפטופ Alienware ישן מריץ את המוח. הכל נשאר ברשת שלך. ללא ענן. ללא מנויים. אף ספק לא רואה את נתוני האיומים שלך לפניך.

פריסה אחר הצהריים אחד. הכל שלך. לנצח.

מה זה honeypot?

לפני שבונים, בואו נבהיר מה אנחנו בונים.

honeypot הוא מערכת פגיעה בכוונה שנפרסת כדי למשוך תוקפים. היא נראית מספיק אמיתית כדי לרמות סורקים אוטומטיים והאקרים סקרנים, אבל היא מזויפת לחלוטין. אין נתונים אמיתיים, אין משתמשים אמיתיים, אין שירותים אמיתיים, רק שירותים מדומים שרושמים הכל.

למה שתרצה אחד?

• התראה מוקדמת: תוקפים פוגעים ב-honeypot לפני המערכות האמיתיות שלך. אתה רואה אותם מגיעים.
• מודיעין איומים: למד אילו כלים הם משתמשים, אילו פרטי גישה הם מנסים, מה הם מחפשים.
• דפוסי תקיפה: בנה מסד נתונים של טכניקות ספציפיות לחשיפת הרשת שלך.
• אימון: צפה בתקיפות אמיתיות מתרחשות. טוב מכל סימולציה.
• בדיקות חדירה: מטרה בטוחה לתרגילים ההתקפיים שלך.

מה HoneyAegis מדמה

Cowrie: honeypot ל-SSH ו-Telnet. מקליט תמלילי סשנים מלאים, לוכד פרטי גישה, רושם פקודות.

Dionaea: לוכד תוכנות זדוניות. מדמה SMB, FTP, HTTP ושירותים אחרים. שומר payloads לניתוח.

OpenCanary: honeypot רב-שירותי. מדמה שיתופי Windows, MySQL, SSH ועוד. ניתן להגדרה גבוהה.

ארכיטקטורת שני צמתים

HoneyAegis משתמש בהפרדה מכוונת: החיישן פונה לאינטרנט, המוח נשאר מוגן.

1אינטרנט ──► ראוטר (העברת פורטים) ──► Pi 5 חיישן
2                                           │
3                                           │ Vector (לוגים)
4                                           ▼
5רשת פנימית ◄──────► Alienware מוח
6                              │
7                              ├── PostgreSQL + TimescaleDB
8                              ├── FastAPI Backend
9                              ├── Ollama (AI מקומי)
10                              ├── Next.js Dashboard
11                              └── Redis + Celery

למה להפריד?

החיישן חשוף בכוונה. הוא יותקף. זו כל המטרה. אם משהו ישתבש קטסטרופלית, אם תוקף יברח ממכולות ה-honeypot, ה-Pi הוא מכשיר ב-60 דולר עם כלום עליו מלבד פיתיונות. מחק. פרוס מחדש. שלושים דקות.

המוח מכיל הכל בעל ערך: מסד הנתונים, הדשבורד, ניתוח AI, נתוני תקיפה היסטוריים. הוא לעולם לא נוגע באינטרנט. הוא יושב ברשת הפנימית שלך, מקבל לוגים מהחיישן דרך ערוץ מאובטח.

⚠️ המוח לעולם לא אמור לפנות לאינטרנט

העברת פורטים למוח זה פריצה מיידית. למוח יש את מסד PostgreSQL, ה-API, הדשבורד. לחשוף אותו זה להזמין תוקפים לתשתית האמיתית שלך. רק החיישן מקבל העברת פורטים. רק פורטים של honeypot. שום דבר אחר.

תצורת חומרה

הנה מה שאנחנו מריצים. זו לא התצורה היחידה התקפה, אלא ההגדרה האופטימלית שלנו עם חומרה שכבר היתה לנו.

צומת 1 — חיישן (Raspberry Pi 5 4GB)

צומת 2 — מוח (Alienware 15 R3)

למה GTX 1070?

AI מקומי צריך האצת GPU כדי להיות שימושי. ל-GTX 1070 יש 8GB VRAM, מספיק להריץ Ollama עם llama3.1:8b בנוחות. זה נותן לך סיכומי איומים שנוצרו ב-AI בלי לשלוח נתונים ל-OpenAI או Anthropic. ה-AI מסביר מה התוקפים עושים בשפה ברורה, לגמרי על החומרה שלך.

הגדרה צעד אחר צעד: חיישן Pi 5

בואו נבנה מאפס. מתחילים עם החיישן, ה-Pi 5 שפונה לאינטרנט.

שלב 1: הגדרת חיישן Raspberry Pi 5

זמן: 45 דקות

דרישות מוקדמות: Raspberry Pi 5 (4GB), כרטיס microSD או NVMe HAT, ספק כוח, כבל Ethernet, מחשב אחר עם SSH

1.1 צריבת Raspberry Pi OS

הורד את Raspberry Pi Imager למחשב שלך. הכנס את כרטיס ה-microSD.

1# In Raspberry Pi Imager:
2# 1. Choose Device: Raspberry Pi 5
3# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
4# 3. Choose Storage: Your microSD card
5# 4. Click the gear icon for advanced options:
6#    - Set hostname: honeypot-sensor
7#    - Enable SSH with password authentication
8#    - Set username/password (not pi/raspberry)
9#    - Configure WiFi if needed (but use Ethernet)
10# 5. Write the image

הכנס את הכרטיס ל-Pi 5, חבר Ethernet והדלק.

1.2 הגדרה ראשונית

התחבר ב-SSH ל-Pi:

1# מהמחשב שלך
2ssh [email protected]
3
4# עדכן הכל
5sudo apt update && sudo apt upgrade -y
6
7# התקן כלים חיוניים
8sudo apt install -y git curl vim htop

1.3 הגדר IP קבוע

ה-Pi צריך IP צפוי להעברת פורטים. החלף את כתובות ה-IP בהתאם לרשת שלך:

1# בדוק את שם החיבור הנוכחי
2nmcli con show
3
4# הגדר IP קבוע (התאם לרשת שלך)
5sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
6sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
7sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
8sudo nmcli con mod "Wired connection 1" ipv4.method manual
9sudo nmcli con up "Wired connection 1"
10
11# אמת
12ip addr show eth0

1.4 התקן Docker

1# התקן Docker עם סקריפט הנוחות
2curl -fsSL https://get.docker.com -o get-docker.sh
3sudo sh get-docker.sh
4
5# הוסף את המשתמש לקבוצת docker
6sudo usermod -aG docker $USER
7
8# התקן תוסף Docker Compose
9sudo apt install -y docker-compose-plugin
10
11# התנתק והתחבר מחדש לשינויי קבוצה
12exit
13
14# התחבר שוב ב-SSH, אז אמת
15docker --version
16docker compose version

1.5 פרוס חיישן HoneyAegis

1# שכפל את המאגר
2git clone https://github.com/thesecretchief/HoneyAegis.git
3cd HoneyAegis
4
5# העתק תבנית סביבה
6cp .env.example .env
7
8# ערוך הגדרות
9nano .env

בקובץ .env, הגדר ערכים אלה:

1# הגדרת חיישן
2HONEYAEGIS_MODE=sensor
3BRAIN_HOST=192.168.1.100  # ה-IP של ה-Alienware שלך
4SENSOR_NAME=pi5-sensor-01

פרוס את ערימת החיישן:

1# הפעל שירותי חיישן
2docker compose --profile sensor up -d
3
4# צפה במכולות עולות
5docker ps
6# מכולות צפויות:
7# - honeyaegis-cowrie (honeypot SSH/Telnet)
8# - honeyaegis-dionaea (לכידת תוכנות זדוניות)
9# - honeyaegis-opencanary (רב-שירותי)
10# - honeyaegis-vector (שליחת לוגים)
11
12# בדוק לוגים לוודא שהכל עובד
13docker compose logs -f

הגדרה צעד אחר צעד: מוח Alienware

עכשיו המוח, הצומת המוגנת שמעבדת הכל.

שלב 2: הגדרת מוח Alienware

זמן: 30 דקות

דרישות מוקדמות: Kali Linux מותקן, דרייברי NVIDIA מוגדרים, מחובר לאותה רשת כמו ה-Pi

2.1 אמת Kali ו-NVIDIA

1# בדוק גרסת Kali
2cat /etc/os-release
3
4# אמת שדרייבר NVIDIA עובד
5nvidia-smi
6# אתה אמור לראות:
7# - גרסת דרייבר (535+ מומלץ)
8# - GTX 1070 עם ~8GB VRAM
9# - גרסת CUDA

2.2 התקן Docker על Kali

1# עדכן והתקן Docker
2sudo apt update
3sudo apt install -y docker.io docker-compose-v2
4
5# הפעל Docker
6sudo systemctl enable docker
7sudo systemctl start docker
8
9# הוסף משתמש לקבוצת docker
10sudo usermod -aG docker $USER
11
12# התנתק והתחבר מחדש, אז אמת
13docker --version
14docker compose version

2.3 התקן NVIDIA Container Toolkit

זה מאפשר למכולות Docker לגשת ל-GPU, נדרש עבור Ollama:

1# הוסף מאגר NVIDIA container toolkit
2distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
3curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
4curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
5  sudo tee /etc/apt/sources.list.d/nvidia-docker.list
6
7# התקן toolkit
8sudo apt update
9sudo apt install -y nvidia-container-toolkit
10
11# הגדר Docker להשתמש ב-NVIDIA runtime
12sudo nvidia-ctk runtime configure --runtime=docker
13sudo systemctl restart docker
14
15# בדוק גישה ל-GPU במכולה
16docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi

2.4 פרוס מוח HoneyAegis

1# שכפל מאגר
2git clone https://github.com/thesecretchief/HoneyAegis.git
3cd HoneyAegis
4
5# העתק תבנית סביבה
6cp .env.example .env
7
8# ערוך הגדרות
9nano .env

הגדר את המוח:

1# הגדרת מוח
2HONEYAEGIS_MODE=brain
3OLLAMA_GPU=true
4POSTGRES_PASSWORD=your-strong-password-here
5JWT_SECRET=another-strong-secret
6ADMIN_PASSWORD=dashboard-admin-password

פרוס:

1# הפעל ערימת מוח מלאה
2docker compose --profile brain up -d
3
4# ההפעלה הראשונה לוקחת כמה דקות
5# עקוב אחרי ההתקדמות:
6docker compose logs -f
7
8# אחרי שהמכולות עלו, הורד מודל AI
9docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
10# מוריד ~4.7GB - לוקח כמה דקות
11
12# אמת את כל המכולות
13docker ps
14# מכולות צפויות:
15# - honeyaegis-fastapi (API backend)
16# - honeyaegis-postgres (מסד נתונים)
17# - honeyaegis-redis (מטמון/תור)
18# - honeyaegis-celery (עובדי רקע)
19# - honeyaegis-ollama (AI מקומי)
20# - honeyaegis-nextjs (דשבורד)
21# - honeyaegis-traefik (פרוקסי הפוך)

הגדרת רשת

כאן אנשים טועים. קרא בעיון.

⚠️ כללי העברת פורטים

העבר רק את הפורטים האלה לחיישן Pi:

לעולם אל תעביר את אלה:

• פורט 3000 (דשבורד)
• פורט 8000 (API)
• פורט 5432 (PostgreSQL)
• פורט 6379 (Redis)
• שום פורט ל-Alienware

היכנס לראוטר והגדר העברת פורטים ל-IP הקבוע של ה-Pi (192.168.1.50 בדוגמה שלנו). שירותי ה-honeypot רצים על פורטים גבוהים פנימית, אבל תוקפים רואים אותם על פורטים סטנדרטיים חיצונית.

גישה לדשבורד

מכל מחשב ברשת הפנימית:

1# פתח בדפדפן:
2http://192.168.1.100:3000
3
4# פרטי גישה ברירת מחדל (שנה מיד!):
5# שם משתמש: admin
6# סיסמה: (מה שהגדרת ב-ADMIN_PASSWORD)

מה תראה:

• פיד תקיפות בזמן אמת: שידור חי של תקיפות נכנסות ברגע שהן קורות
• מפת GeoIP: ייצוג חזותי של מקור התקיפות
• הקלטות סשנים: תמלילים מלאים של סשני SSH/Telnet, ניתנים לייצוא כ-MP4/GIF
• סיכומי AI: הסברים של דפוסי תקיפה שנוצרו ב-Ollama בשפה ברורה
• סטטיסטיקות: תדירות תקיפות, פרטי גישה נפוצים, שירותים מותקפים
• הגדרת התראות: הגדר התראות Slack, Discord, מייל דרך Apprise

שימוש ב-HoneyAegis לבדיקות חדירה

כאן זה נהיה כיף. ה-honeypot שלך הוא מטרה בטוחה לתרגול טכניקות התקפיות.

תרגיל: תקוף את ה-honeypot שלך

מ-Kali (מכוון ל-IP הפנימי של Pi):

1. הרץ nmap נגד ה-Pi כדי לראות שירותים חשופים
2. נסה SSH brute force עם Hydra
3. נסה SMB enumeration
4. צפה בדשבורד מתלהט בזמן אמת
5. קרא את ניתוח ה-AI של התקיפה שלך

1# סרוק את ה-honeypot שלך
2nmap -sV -p 22,23,445,21 192.168.1.50
3
4# SSH brute force (Cowrie מקבל הכל ורושם)
5hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
6
7# התחבר ידנית וחקור
8ssh [email protected] -p 2222
9# נסה סיסמאות נפוצות - Cowrie מקבל אותן
10
11# בדוק את הדשבורד - הסשן שלך מופיע מיד
12# צפה ב-AI מסביר מה עשית

אינטגרציה עם The Hacker's Path:

• חלק 3 (יסודות Kali): השתמש ב-honeypot כמטרת סיור
• חלק 4 (ניצול): תרגל Metasploit בסביבה המבוקרת שלך
• חלק 5 (ביקורת מלאה): כלול פריסת honeypot כרכיב הגנתי

מה עם Home Assistant על אותו Pi?

תשובה קצרה: אל תעשה את זה.

⚠️ שמור על ה-honeypot מבודד

חיישן ה-honeypot שלך חשוף בכוונה לאינטרנט. הוא יותקף, זו כל המטרה. להריץ Home Assistant על אותו מכשיר שם את שליטת הבית החכם שלך במרחק בריחת מכולה אחת מתוקפים. אם משהו ישתבש, אתה רוצה שרדיוס הפיצוץ יהיה מוגבל לשירותים מזויפים, לא למנעולים האמיתיים ולתרמוסטט. השתמש ב-Pi נפרד ל-Home Assistant.

החדשות הטובות? אותם ~1.5 GB של מקום לא הולכים לאיבוד. ל-HoneyAegis יש מקום לצמוח.

שימושים טובים יותר לקיבולת ה-Pi

במקום לדחוס שירותים לא קשורים על מכשיר חשוף, השתמש במקום לחלל ליכולות honeypot עמוקות יותר:

תקציב RAM של Pi 5 4GB (חיישן ייעודי)

מפת דרכים: מגיע ל-HoneyAegis

אנחנו מפתחים באופן פעיל מודולי חיישן נוספים לפרויקט HoneyAegis ב-GitHub. תוספות מתוכננות כוללות:

• Conpot (~200 MB) — honeypot למערכות בקרה תעשייתיות. מדמה PLC ומערכות SCADA.
• Mailoney (~100 MB) — SMTP honeypot. לוכד בוטים של ספאם ואוספי פרטי גישה.
• Elasticpot (~150 MB) — Elasticsearch honeypot. לוכד בוטים שסורקים אשכולות חשופים.
• ADBHoney (~100 MB) — Android Debug Bridge honeypot. מזהה תוקפים שמכוונים למכשירים ניידים.
• Honey tokens — פרטי AWS מזויפים ומפתחות API שמפעילים התראות כשמשתמשים בהם.

הארכיטקטורה בנויה לזה. HoneyAegis משתמש במבנה Docker Compose מודולרי, כל honeypot חדש נכנס כמכולה כש-Vector שולח את הלוגים שלו למוח. שים כוכב למאגר כדי לעקוב אחרי הפיתוח, או תרום מודולים משלך.

העיקרון: תן לחיישן ה-honeypot שלך לעשות דבר אחד טוב: להיות מטרה אטרקטיבית ומבודדת שמזינה את המוח במודיעין. הרץ Home Assistant על מכשיר נפרד, שם הוא שייך.

קריאה קשורה: מבצע בית חכם מכסה התקנות Home Assistant ייעודיות, וה-WiFi שלך יכול לראות אותך זז מסביר חישת WiFi על חומרה ייעודית.

פתרון בעיות ותחזוקה

1# צפה בלוגים (שתי הצמתים)
2docker compose logs -f
3docker compose logs -f service-name
4
5# הפעל מחדש שירות
6docker compose restart cowrie
7
8# בדוק שימוש במשאבי מכולות
9docker stats
10
11# גיבוי מסד נתונים (על המוח)
12docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
13
14# עדכן HoneyAegis
15git pull
16docker compose pull
17docker compose up -d
18
19# מחק נתוני תקיפה ישנים (זהירות!)
20docker exec honeyaegis-postgres psql -U honeyaegis -c \
21  "DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"

בעיות נפוצות:

• התנגשות פורטים: שירות אחר משתמש בפורטים של honeypot. בדוק עם netstat -tlnp
• אי-התאמת דרייבר NVIDIA: גרסת container toolkit חייבת להתאים לדרייבר. התקן מחדש toolkit אחרי עדכוני דרייבר.
• Vector לא שולח לוגים: בדוק docker compose logs vector. בדרך כלל בעיית רשת/חומת אש בין הצמתים.
• Ollama איטי: אמת גישה ל-GPU עם docker exec honeyaegis-ollama nvidia-smi

מה הלאה

עכשיו יש לך רשת honeypot בייצור שמייצרת מודיעין איומים אמיתי. כך תפתח אותה:

• תן לזה לרוץ שבוע. תופתע כמה מהר מופיעות תקיפות, בדרך כלל תוך שעות.
• כוונן את "דביקות" ה-honeypot. הגדר את Cowrie לדמות מערכת קבצים ריאליסטית יותר, ושמור תוקפים מעורבים יותר זמן.
• הוסף honey tokens. פרוס פרטי גישה מזויפים שמפעילים התראות מיידיות כשמשתמשים בהם.
• שלב פידי איומים. התחבר ל-MISP או AbuseIPDB להקשר מועשר על תוקפים.
• הרחב את צי החיישנים. פרוס חיישני Pi נוספים בנקודות יציאה שונות ברשת.

פלטפורמות מסחריות גובות 5,000 דולר לשנה כדי להראות לך מה תוקף את הרשת שלך. הרגע בנית את אותה יכולת בעלות Pi וקצת חשמל. התוקפים באים בין אם אתה צופה ובין אם לא. עכשיו אתה צופה.

רשימת בדיקה לפריסה

☐ Pi 5: IP קבוע הוקצה, Docker מותקן, ערימת חיישן רצה

☐ Alienware: NVIDIA toolkit מותקן, Docker רץ, ערימת מוח נפרסה

☐ Ollama: מודל llama3.1:8b הורד, האצת GPU אומתה

☐ רשת: העברת פורטים הוגדרה (פורטים של honeypot בלבד!)

☐ בידוד מוח: אומת שלמוח אין חשיפה לאינטרנט

☐ דשבורד: נגיש ב-IP הפנימי, סיסמת מנהל שונתה

☐ Vector: לוגים זורמים מחיישן למוח

☐ תקיפה ראשונה: נבדק על ידי תקיפת ה-honeypot

☐ ניתוח AI: אומת ש-Ollama מייצר סיכומי איומים

The Hacker's Path

מדריך זה מלווה את סדרת האבטחה.

חלק 1: מבוא חלק 2: שליטה ב-Flipper מדריך HoneyAegis ✓ חלק 3: יסודות Kali חלק 4: ניצול