HoneyAegis: Build Your Own AI-Powered Honeypot Network

The Hacker's Path: Guida complementare

Questo articolo si accompagna a Parte 1: Introduzione e Parte 2: Padronanza del Flipper. Hai imparato l'attacco. Ora costruisci la tua difesa.

Il mese scorso ho controllato i prezzi delle piattaforme honeypot commerciali. Thinkst Canary chiede 5.000 dollari all'anno per cinque dispositivi. Altri fornitori fatturano per sensore, al mese, con i tuoi dati sulle minacce che passano prima dalla loro infrastruttura. Vedono i tuoi attaccanti prima di te.

È assurdo.

Un honeypot è un sistema esca progettato per essere attaccato. Distribuisci servizi falsi (SSH, SMB, FTP) e osservi cosa succede. Gli attaccanti pensano di introdursi in un vero server, ma in realtà ti stanno consegnando intelligence sui loro strumenti, tecniche e obiettivi. È difesa offensiva.

Il concetto è semplice. L'implementazione non dovrebbe costare quanto un mutuo.

Quindi abbiamo costruito HoneyAegis: una piattaforma honeypot self-hosted, nativa Docker, con analisi IA locale. Un Raspberry Pi 5 fa girare i sensori. Un vecchio portatile Alienware fa girare il cervello. Tutto resta nella tua rete. Nessun cloud. Nessun abbonamento. Nessun fornitore che vede i tuoi dati sulle minacce prima di te.

Deploy in un pomeriggio. Tutto tuo. Per sempre.

Cos'è un honeypot?

Prima di costruire, chiariamo cosa stiamo costruendo.

Un honeypot è un sistema deliberatamente vulnerabile distribuito per attirare gli attaccanti. Sembra abbastanza reale da ingannare scanner automatizzati e hacker curiosi, ma è completamente falso. Nessun dato reale, nessun utente reale, nessun servizio reale, solo servizi emulati che registrano tutto.

Perché vorresti averne uno?

• Allarme precoce: Gli attaccanti colpiscono il tuo honeypot prima dei tuoi sistemi reali. Li vedi arrivare.
• Threat intelligence: Scopri quali strumenti usano, quali credenziali provano, cosa cercano.
• Pattern di attacco: Costruisci un database di tecniche specifiche per l'esposizione della tua rete.
• Formazione: Osserva attacchi reali svolgersi. Meglio di qualsiasi simulazione.
• Penetration testing: Un bersaglio sicuro per i tuoi esercizi offensivi.

Cosa emula HoneyAegis

Cowrie: Honeypot SSH e Telnet. Registra trascrizioni complete delle sessioni, cattura credenziali, registra comandi.

Dionaea: Cattura malware. Emula SMB, FTP, HTTP e altri servizi. Archivia payload per l'analisi.

OpenCanary: Honeypot multi-servizio. Emula condivisioni Windows, MySQL, SSH e altro. Altamente configurabile.

L'architettura a due nodi

HoneyAegis usa una separazione deliberata: il sensore è esposto a internet, il cervello resta protetto.

Internet ──► Router (port forwarding) ──► Pi 5 SENSORE
                                           │
                                           │ Vector (log)
                                           ▼
Rete interna ◄──────► Alienware CERVELLO
                              │
                              ├── PostgreSQL + TimescaleDB
                              ├── FastAPI Backend
                              ├── Ollama (IA locale)
                              ├── Next.js Dashboard
                              └── Redis + Celery

Perché separarli?

Il sensore è intenzionalmente esposto. Verrà attaccato. Questo è esattamente il punto. Se qualcosa va catastroficamente storto, se un attaccante evade dai container honeypot, il Pi è un dispositivo da 60 dollari con niente sopra se non esche. Cancella. Ridistribuisci. Trenta minuti.

Il cervello contiene tutto ciò che ha valore: il tuo database, la tua dashboard, la tua analisi IA, i tuoi dati storici sugli attacchi. Non tocca mai internet. Sta sulla tua rete interna, ricevendo log dal sensore attraverso un canale sicuro.

⚠️ Il cervello non deve mai essere esposto a internet

Il port forwarding verso il cervello è compromissione istantanea. Il cervello ha il tuo database PostgreSQL, la tua API, la tua dashboard. Esporlo significa invitare gli attaccanti nella tua vera infrastruttura. Solo il sensore riceve port forwarding. Solo le porte honeypot. Nient'altro.

Configurazione hardware

Ecco cosa facciamo girare. Questa non è l'unica configurazione valida, è il nostro setup ottimale usando hardware che avevamo già.

NODO 1 — SENSORE (Raspberry Pi 5 4GB)

NODO 2 — CERVELLO (Alienware 15 R3)

Perché la GTX 1070?

L'IA locale richiede accelerazione GPU per essere utile. La GTX 1070 ha 8GB di VRAM, abbastanza per far girare Ollama con llama3.1:8b comodamente. Questo ti dà riassunti delle minacce generati dall'IA senza inviare dati a OpenAI o Anthropic. L'IA spiega cosa stanno facendo gli attaccanti in linguaggio chiaro, interamente sul tuo hardware.

Setup passo-passo: sensore Pi 5

Costruiamo da zero. Iniziamo con il sensore, il Pi 5 che affronta internet.

Fase 1: Setup del sensore Raspberry Pi 5

Tempo: 45 minuti

Prerequisiti: Raspberry Pi 5 (4GB), scheda microSD o HAT NVMe, alimentatore, cavo Ethernet, un altro computer con SSH

1.1 Flash di Raspberry Pi OS

Scarica Raspberry Pi Imager sul tuo computer. Inserisci la tua scheda microSD.

# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
#    - Set hostname: honeypot-sensor
#    - Enable SSH with password authentication
#    - Set username/password (not pi/raspberry)
#    - Configure WiFi if needed (but use Ethernet)
# 5. Write the image

Inserisci la scheda nel Pi 5, collega l'Ethernet e accendilo.

1.2 Configurazione iniziale

Collegati in SSH al tuo Pi:

bash# Dal tuo computer
ssh [email protected]

# Aggiornare tutto
sudo apt update && sudo apt upgrade -y

# Installare gli strumenti essenziali
sudo apt install -y git curl vim htop

1.3 Impostare un IP statico

Il tuo Pi ha bisogno di un IP prevedibile per il port forwarding. Sostituisci gli indirizzi IP con lo schema della tua rete:

bash# Controlla il nome della tua connessione attuale
nmcli con show

# Imposta IP statico (adatta alla tua rete)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"

# Verifica
ip addr show eth0

1.4 Installare Docker

bash# Installare Docker con lo script di convenienza
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh

# Aggiungere il tuo utente al gruppo docker
sudo usermod -aG docker $USER

# Installare il plugin Docker Compose
sudo apt install -y docker-compose-plugin

# Disconnettersi e riconnettersi per le modifiche ai gruppi
exit

# Riconnettersi in SSH, poi verificare
docker --version
docker compose version

1.5 Distribuire il sensore HoneyAegis

bash# Clonare il repository
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis

# Copiare il template dell'ambiente
cp .env.example .env

# Modificare la configurazione
nano .env

Nel file .env, imposta questi valori:

bash# Configurazione sensore
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100  # L'IP del tuo Alienware
SENSOR_NAME=pi5-sensor-01

Distribuire lo stack sensore:

bash# Avviare i servizi sensore
docker compose --profile sensor up -d

# Osservare i container avviarsi
docker ps
# Container attesi:
# - honeyaegis-cowrie (honeypot SSH/Telnet)
# - honeyaegis-dionaea (cattura malware)
# - honeyaegis-opencanary (multi-servizio)
# - honeyaegis-vector (invio log)

# Controllare i log per verificare che tutto funzioni
docker compose logs -f

Setup passo-passo: cervello Alienware

Ora il cervello, il nodo protetto che elabora tutto.

Fase 2: Setup del cervello Alienware

Tempo: 30 minuti

Prerequisiti: Kali Linux installato, driver NVIDIA configurati, connesso alla stessa rete del Pi

2.1 Verificare Kali e NVIDIA

bash# Controllare la versione di Kali
cat /etc/os-release

# Verificare che il driver NVIDIA funzioni
nvidia-smi
# Dovresti vedere:
# - Versione driver (535+ raccomandato)
# - GTX 1070 con ~8GB VRAM
# - Versione CUDA

2.2 Installare Docker su Kali

bash# Aggiornare e installare Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2

# Abilitare e avviare Docker
sudo systemctl enable docker
sudo systemctl start docker

# Aggiungere il tuo utente al gruppo docker
sudo usermod -aG docker $USER

# Disconnettersi e riconnettersi, poi verificare
docker --version
docker compose version

2.3 Installare il NVIDIA Container Toolkit

Questo permette ai container Docker di accedere alla tua GPU, necessario per Ollama:

bash# Aggiungere il repository NVIDIA container toolkit
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
  sudo tee /etc/apt/sources.list.d/nvidia-docker.list

# Installare il toolkit
sudo apt update
sudo apt install -y nvidia-container-toolkit

# Configurare Docker per usare il runtime NVIDIA
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker

# Testare l'accesso GPU in un container
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi

2.4 Distribuire il cervello HoneyAegis

bash# Clonare il repository
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis

# Copiare il template dell'ambiente
cp .env.example .env

# Modificare la configurazione
nano .env

Configurare il cervello:

bash# Configurazione cervello
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-password

Distribuire:

bash# Avviare lo stack cervello completo
docker compose --profile brain up -d

# Il primo avvio richiede qualche minuto
# Osservare il progresso:
docker compose logs -f

# Una volta avviati i container, scaricare il modello IA
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# Download di ~4,7GB - richiede qualche minuto

# Verificare tutti i container
docker ps
# Container attesi:
# - honeyaegis-fastapi (backend API)
# - honeyaegis-postgres (database)
# - honeyaegis-redis (cache/coda)
# - honeyaegis-celery (worker in background)
# - honeyaegis-ollama (IA locale)
# - honeyaegis-nextjs (dashboard)
# - honeyaegis-traefik (reverse proxy)

Configurazione di rete

Qui è dove la gente sbaglia. Leggi attentamente.

⚠️ Regole di port forwarding

Inoltra SOLO queste porte al sensore Pi:

Non inoltrare MAI queste:

• Porta 3000 (Dashboard)
• Porta 8000 (API)
• Porta 5432 (PostgreSQL)
• Porta 6379 (Redis)
• Qualsiasi porta verso l'Alienware

Accedi al tuo router e configura il port forwarding verso l'IP statico del Pi (192.168.1.50 nel nostro esempio). I servizi honeypot girano su porte alte internamente, ma gli attaccanti li vedono su porte standard esternamente.

Accedere alla dashboard

Da qualsiasi computer nella tua rete interna:

bash# Aprire nel browser:
http://192.168.1.100:3000

# Credenziali predefinite (cambia immediatamente!):
# Username: admin
# Password: (quello che hai impostato in ADMIN_PASSWORD)

Cosa vedrai:

• Feed attacchi in tempo reale: Stream live degli attacchi in arrivo mentre accadono
• Mappa GeoIP: Rappresentazione visiva dell'origine degli attacchi
• Registrazioni sessioni: Trascrizioni complete delle sessioni SSH/Telnet, esportabili come MP4/GIF
• Riassunti IA: Spiegazioni dei pattern di attacco generate da Ollama in linguaggio semplice
• Statistiche: Frequenza degli attacchi, credenziali comuni, servizi presi di mira
• Configurazione allarmi: Imposta notifiche Slack, Discord, email tramite Apprise

Usare HoneyAegis per il penetration testing

Qui diventa divertente. Il tuo honeypot è un bersaglio sicuro per esercitarsi con tecniche offensive.

Esercizio: attacca il tuo honeypot

Da Kali (puntando all'IP interno del Pi):

1. Esegui nmap contro il Pi per vedere i servizi esposti
2. Prova brute force SSH con Hydra
3. Tenta l'enumerazione SMB
4. Guarda la dashboard illuminarsi in tempo reale
5. Leggi l'analisi IA del tuo attacco

bash# Scansiona il tuo honeypot
nmap -sV -p 22,23,445,21 192.168.1.50

# Brute force SSH (Cowrie accetta tutto e lo registra)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222

# Connettiti manualmente ed esplora
ssh [email protected] -p 2222
# Prova password comuni - Cowrie le accetta

# Controlla la dashboard - la tua sessione appare istantaneamente
# Guarda l'IA spiegare cosa hai fatto

Integrazione con The Hacker's Path:

• Parte 3 (Fondamenti Kali): Usa il tuo honeypot come bersaglio di ricognizione
• Parte 4 (Exploitation): Pratica Metasploit contro il tuo ambiente controllato
• Parte 5 (Audit completo): Includi il deploy dell'honeypot come componente difensiva

E Home Assistant sullo stesso Pi?

Risposta breve: Non farlo.

⚠️ Mantieni il tuo honeypot isolato

Il tuo sensore honeypot è intenzionalmente esposto a internet. Verrà attaccato, questo è esattamente il punto. Far girare Home Assistant sullo stesso dispositivo mette i tuoi controlli domotici a un'evasione di container di distanza dagli attaccanti. Se qualcosa va storto, vuoi che il raggio d'esplosione sia limitato a servizi falsi, non alle tue vere serrature e al tuo termostato. Usa un Pi separato per Home Assistant.

La buona notizia? Quei ~1,5 GB di margine non sono sprecati. HoneyAegis ha spazio per crescere.

Usi migliori per la capacità del tuo Pi

Invece di stipare servizi non correlati su un dispositivo esposto, usa quel margine per capacità honeypot più profonde:

Budget RAM Pi 5 4GB (Sensore dedicato)

Roadmap: in arrivo per HoneyAegis

Stiamo attivamente sviluppando moduli sensore aggiuntivi per il progetto GitHub HoneyAegis. Le aggiunte pianificate includono:

• Conpot (~200 MB) — Honeypot per sistemi di controllo industriale. Emula PLC e sistemi SCADA.
• Mailoney (~100 MB) — Honeypot SMTP. Cattura bot spam e raccoglitori di credenziali.
• Elasticpot (~150 MB) — Honeypot Elasticsearch. Cattura bot che scansionano cluster esposti.
• ADBHoney (~100 MB) — Honeypot Android Debug Bridge. Rileva attaccanti che prendono di mira i dispositivi mobili.
• Honey token — Credenziali AWS false e chiavi API che attivano allarmi quando vengono utilizzate.

L'architettura è costruita per questo. HoneyAegis usa una struttura Docker Compose modulare: ogni nuovo honeypot si inserisce come container con Vector che invia i suoi log al cervello. Metti una stella al repo per seguire lo sviluppo, o contribuisci con i tuoi moduli.

Il principio: Mantieni il tuo sensore honeypot concentrato su una sola cosa e falla bene: essere un bersaglio attraente e isolato che alimenta il tuo cervello con intelligence. Fai girare Home Assistant su un dispositivo separato, dove gli spetta.

Letture correlate: Operazione Smart Home copre le installazioni dedicate di Home Assistant, e Il tuo WiFi può vederti muovere spiega il WiFi sensing su hardware dedicato.

Risoluzione problemi e manutenzione

bash# Vedere i log (entrambi i nodi)
docker compose logs -f
docker compose logs -f service-name

# Riavviare un servizio
docker compose restart cowrie

# Controllare l'uso risorse dei container
docker stats

# Backup del database (sul cervello)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql

# Aggiornare HoneyAegis
git pull
docker compose pull
docker compose up -d

# Cancellare vecchi dati di attacco (attenzione!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
  "DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"

Problemi comuni:

• Conflitti di porte: Un altro servizio usa le porte honeypot. Controlla con netstat -tlnp
• Incompatibilità driver NVIDIA: La versione del container toolkit deve corrispondere al driver. Reinstalla il toolkit dopo gli aggiornamenti del driver.
• Vector non invia i log: Controlla docker compose logs vector. Di solito un problema di rete/firewall tra i nodi.
• Ollama lento: Verifica l'accesso GPU con docker exec honeyaegis-ollama nvidia-smi

E adesso

Hai ora una rete honeypot in produzione che genera vera threat intelligence. Ecco come farla evolvere:

• Lasciala girare per una settimana. Resterai sorpreso dalla velocità con cui appaiono gli attacchi, di solito entro poche ore.
• Regola l'aderenza dell'honeypot. Configura Cowrie per emulare un filesystem più realistico, mantenendo gli attaccanti impegnati più a lungo.
• Aggiungi honey token. Distribuisci credenziali false che attivano allarmi istantanei quando vengono utilizzate.
• Integra feed di minacce. Collegati a MISP o AbuseIPDB per un contesto arricchito sugli attaccanti.
• Espandi la tua flotta di sensori. Distribuisci ulteriori sensori Pi in diversi punti di uscita della rete.

Le piattaforme commerciali chiedono 5.000 dollari all'anno per mostrarti cosa sta attaccando la tua rete. Tu hai appena costruito la stessa capacità per il costo di un Pi e un po' di elettricità. Gli attaccanti arrivano che tu li guardi o no. Adesso stai guardando.

Checklist di deployment

☐ Pi 5: IP statico assegnato, Docker installato, stack sensore in esecuzione

☐ Alienware: Toolkit NVIDIA installato, Docker in esecuzione, stack cervello distribuito

☐ Ollama: Modello llama3.1:8b scaricato, accelerazione GPU verificata

☐ Rete: Port forwarding configurato (solo porte honeypot!)

☐ Isolamento cervello: Verificato che il cervello NON ha esposizione internet

☐ Dashboard: Accessibile all'IP interno, password admin cambiata

☐ Vector: Log che fluiscono dal sensore al cervello

☐ Primo attacco: Test attaccando il proprio honeypot

☐ Analisi IA: Verificato che Ollama genera riassunti delle minacce

The Hacker's Path

Questa guida accompagna la serie sicurezza.

Parte 1: Introduzione Parte 2: Padronanza del Flipper Guida HoneyAegis ✓ Parte 3: Fondamenti Kali Parte 4: Exploitation