The Hacker's Path: Guia Complementar
Este artigo acompanha a Parte 1: Introdução e a Parte 2: Domínio do Flipper. Você aprendeu o ataque. Agora construa sua defesa.
Eu pesquisei os preços das plataformas comerciais de honeypot no mês passado. A Thinkst Canary quer 5.000 dólares por ano para cinco dispositivos. Outros fornecedores cobram por sensor, por mês, com seus dados de ameaças passando pela infraestrutura deles primeiro. Eles veem seus atacantes antes de você.
Isso é absurdo.
Um honeypot é um sistema isca projetado para ser atacado. Você implanta serviços falsos (SSH, SMB, FTP) e observa o que acontece. Os atacantes pensam que estão invadindo um servidor real, mas na verdade estão entregando informações sobre suas ferramentas, técnicas e alvos. É defesa ofensiva.
O conceito é simples. A implementação não deveria custar uma prestação de hipoteca.
Então construímos o HoneyAegis: uma plataforma honeypot auto-hospedada, nativa Docker, com análise de IA local. Um Raspberry Pi 5 roda os sensores. Um velho laptop Alienware roda o cérebro. Tudo fica na sua rede. Sem nuvem. Sem assinaturas. Sem fornecedor vendo seus dados de ameaças antes de você.
Implantação em uma tarde. Tudo seu. Para sempre.
O que é um honeypot?
Antes de construir, vamos esclarecer o que estamos construindo.
Um honeypot é um sistema deliberadamente vulnerável implantado para atrair atacantes. Ele parece real o suficiente para enganar scanners automatizados e hackers curiosos, mas é completamente falso. Sem dados reais, sem usuários reais, sem serviços reais, apenas serviços emulados que registram tudo.
Por que você ia querer um?
- Alerta antecipado: Os atacantes atingem seu honeypot antes dos seus sistemas reais. Você os vê chegando.
- Inteligência de ameaças: Descubra quais ferramentas eles usam, quais credenciais tentam, o que estão buscando.
- Padrões de ataque: Construa um banco de dados de técnicas específicas para a exposição da sua rede.
- Treinamento: Observe ataques reais acontecendo. Melhor que qualquer simulação.
- Testes de penetração: Um alvo seguro para seus próprios exercícios ofensivos.
O que o HoneyAegis emula
Cowrie: Honeypot SSH e Telnet. Grava transcrições completas de sessões, captura credenciais, registra comandos.
Dionaea: Captura malware. Emula SMB, FTP, HTTP e outros serviços. Armazena payloads para análise.
OpenCanary: Honeypot multi-serviço. Emula compartilhamentos Windows, MySQL, SSH e mais. Altamente configurável.
A arquitetura de dois nós
O HoneyAegis usa uma separação deliberada: o sensor fica voltado para a internet, o cérebro fica protegido.
1Internet ──► Roteador (redirecionamento de portas) ──► Pi 5 SENSOR
2 │
3 │ Vector (logs)
4 ▼
5Rede interna ◄──────► Alienware CÉREBRO
6 │
7 ├── PostgreSQL + TimescaleDB
8 ├── FastAPI Backend
9 ├── Ollama (IA local)
10 ├── Next.js Dashboard
11 └── Redis + CeleryPor que separá-los?
O sensor é intencionalmente exposto. Ele vai ser atacado. Esse é o objetivo inteiro. Se algo der catastroficamente errado, se um atacante escapar dos containers do honeypot, o Pi é um dispositivo de 60 dólares sem nada além de iscas. Apague. Reimplante. Trinta minutos.
O cérebro contém tudo que tem valor: seu banco de dados, seu dashboard, sua análise de IA, seus dados históricos de ataques. Ele nunca toca a internet. Fica na sua rede interna, recebendo logs do sensor por um canal seguro.
⚠️ O cérebro nunca deve ficar exposto à internet
Redirecionamento de portas para o cérebro é comprometimento instantâneo. O cérebro tem seu banco PostgreSQL, sua API, seu dashboard. Expô-lo é convidar atacantes para sua infraestrutura real. Apenas o sensor recebe redirecionamento de portas. Apenas portas de honeypot. Nada mais.
Configuração de hardware
Aqui está o que estamos rodando. Esta não é a única configuração válida, é nosso setup ideal usando hardware que já tínhamos.
NÓ 1 — SENSOR (Raspberry Pi 5 4GB)
| Componente | Especificação |
|---|---|
| Função | Sensor honeypot dedicado |
| OS | Raspberry Pi OS (64-bit) |
| CPU | Broadcom BCM2712, quad-core Cortex-A76 @ 2,4 GHz |
| RAM | 4 GB LPDDR4X |
| Armazenamento | microSD ou NVMe via HAT |
| Serviços | Cowrie, Dionaea, OpenCanary, Vector, plugins HoneyAegis |
| Uso de RAM | ~2 a 2,5 GB estimado |
| Rede | Exposto à internet (apenas portas honeypot) |
NÓ 2 — CÉREBRO (Alienware 15 R3)
| Componente | Especificação |
|---|---|
| Função | Backend, análise IA, dashboard, banco de dados |
| OS | Kali GNU/Linux 2025.4 (rolling) |
| CPU | Intel Core i7-7700HQ (4 núcleos / 8 threads @ 2,8 GHz) |
| GPU | NVIDIA GeForce GTX 1070 Mobile — 8 GB VRAM |
| RAM | 16 a 32 GB (mínimo 16 GB recomendado) |
| NIC | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| Serviços | FastAPI, PostgreSQL+TimescaleDB, Redis, Celery, Ollama, Next.js, Traefik |
| Uso de RAM | ~7,2 GB estimado |
| Rede | Apenas interna — NUNCA exposta |
Por que a GTX 1070?
IA local requer aceleração de GPU para ser útil. A GTX 1070 tem 8GB de VRAM, suficiente para rodar Ollama com llama3.1:8b confortavelmente. Isso te dá resumos de ameaças gerados por IA sem enviar dados para OpenAI ou Anthropic. A IA explica o que os atacantes estão fazendo em linguagem clara, inteiramente no seu hardware.
Setup passo a passo: sensor Pi 5
Vamos construir do zero. Começamos com o sensor, o Pi 5 que fica voltado para a internet.
Fase 1: Setup do sensor Raspberry Pi 5
Tempo: 45 minutos
Pré-requisitos: Raspberry Pi 5 (4GB), cartão microSD ou HAT NVMe, fonte de alimentação, cabo Ethernet, outro computador com SSH
1.1 Flash do Raspberry Pi OS
Baixe o Raspberry Pi Imager no seu computador. Insira seu cartão microSD.
1# In Raspberry Pi Imager:
2# 1. Choose Device: Raspberry Pi 5
3# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
4# 3. Choose Storage: Your microSD card
5# 4. Click the gear icon for advanced options:
6# - Set hostname: honeypot-sensor
7# - Enable SSH with password authentication
8# - Set username/password (not pi/raspberry)
9# - Configure WiFi if needed (but use Ethernet)
10# 5. Write the imageInsira o cartão no Pi 5, conecte o Ethernet e ligue-o.
1.2 Configuração inicial
Conecte-se via SSH ao seu Pi:
1# Do seu computador
2ssh [email protected]
3
4# Atualizar tudo
5sudo apt update && sudo apt upgrade -y
6
7# Instalar ferramentas essenciais
8sudo apt install -y git curl vim htop1.3 Definir IP estático
Seu Pi precisa de um IP previsível para o redirecionamento de portas. Substitua os endereços IP pelo esquema da sua rede:
1# Verificar o nome da sua conexão atual
2nmcli con show
3
4# Definir IP estático (ajuste para sua rede)
5sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
6sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
7sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
8sudo nmcli con mod "Wired connection 1" ipv4.method manual
9sudo nmcli con up "Wired connection 1"
10
11# Verificar
12ip addr show eth01.4 Instalar Docker
1# Instalar Docker usando o script de conveniência
2curl -fsSL https://get.docker.com -o get-docker.sh
3sudo sh get-docker.sh
4
5# Adicionar seu usuário ao grupo docker
6sudo usermod -aG docker $USER
7
8# Instalar o plugin Docker Compose
9sudo apt install -y docker-compose-plugin
10
11# Sair e entrar novamente para mudanças de grupo
12exit
13
14# Reconectar via SSH, depois verificar
15docker --version
16docker compose version1.5 Implantar o sensor HoneyAegis
1# Clonar o repositório
2git clone https://github.com/thesecretchief/HoneyAegis.git
3cd HoneyAegis
4
5# Copiar template de ambiente
6cp .env.example .env
7
8# Editar configuração
9nano .envNo arquivo .env, defina estes valores:
1# Configuração do sensor
2HONEYAEGIS_MODE=sensor
3BRAIN_HOST=192.168.1.100 # IP do seu Alienware
4SENSOR_NAME=pi5-sensor-01Implantar a stack do sensor:
1# Iniciar serviços do sensor
2docker compose --profile sensor up -d
3
4# Observar os containers subindo
5docker ps
6# Containers esperados:
7# - honeyaegis-cowrie (honeypot SSH/Telnet)
8# - honeyaegis-dionaea (captura de malware)
9# - honeyaegis-opencanary (multi-serviço)
10# - honeyaegis-vector (envio de logs)
11
12# Verificar logs para confirmar que tudo funciona
13docker compose logs -f
Setup passo a passo: cérebro Alienware
Agora o cérebro, o nó protegido que processa tudo.
Fase 2: Setup do cérebro Alienware
Tempo: 30 minutos
Pré-requisitos: Kali Linux instalado, drivers NVIDIA configurados, conectado à mesma rede que o Pi
2.1 Verificar Kali e NVIDIA
1# Verificar versão do Kali
2cat /etc/os-release
3
4# Verificar que o driver NVIDIA está funcionando
5nvidia-smi
6# Você deve ver:
7# - Versão do driver (535+ recomendado)
8# - GTX 1070 com ~8GB VRAM
9# - Versão CUDA2.2 Instalar Docker no Kali
1# Atualizar e instalar Docker
2sudo apt update
3sudo apt install -y docker.io docker-compose-v2
4
5# Habilitar e iniciar Docker
6sudo systemctl enable docker
7sudo systemctl start docker
8
9# Adicionar seu usuário ao grupo docker
10sudo usermod -aG docker $USER
11
12# Sair e entrar novamente, depois verificar
13docker --version
14docker compose version2.3 Instalar o NVIDIA Container Toolkit
Isso permite que containers Docker acessem sua GPU, necessário para o Ollama:
1# Adicionar repositório NVIDIA container toolkit
2distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
3curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
4curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
5 sudo tee /etc/apt/sources.list.d/nvidia-docker.list
6
7# Instalar o toolkit
8sudo apt update
9sudo apt install -y nvidia-container-toolkit
10
11# Configurar Docker para usar o runtime NVIDIA
12sudo nvidia-ctk runtime configure --runtime=docker
13sudo systemctl restart docker
14
15# Testar acesso à GPU em um container
16docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 Implantar o cérebro HoneyAegis
1# Clonar o repositório
2git clone https://github.com/thesecretchief/HoneyAegis.git
3cd HoneyAegis
4
5# Copiar template de ambiente
6cp .env.example .env
7
8# Editar configuração
9nano .envConfigurar o cérebro:
1# Configuração do cérebro
2HONEYAEGIS_MODE=brain
3OLLAMA_GPU=true
4POSTGRES_PASSWORD=your-strong-password-here
5JWT_SECRET=another-strong-secret
6ADMIN_PASSWORD=dashboard-admin-passwordImplantar:
1# Iniciar a stack completa do cérebro
2docker compose --profile brain up -d
3
4# A primeira execução leva alguns minutos
5# Observar o progresso:
6docker compose logs -f
7
8# Quando os containers estiverem rodando, baixar o modelo de IA
9docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
10# Isso baixa ~4,7GB - leva alguns minutos
11
12# Verificar todos os containers
13docker ps
14# Containers esperados:
15# - honeyaegis-fastapi (backend API)
16# - honeyaegis-postgres (banco de dados)
17# - honeyaegis-redis (cache/fila)
18# - honeyaegis-celery (workers em background)
19# - honeyaegis-ollama (IA local)
20# - honeyaegis-nextjs (dashboard)
21# - honeyaegis-traefik (reverse proxy)
Ponto chave
Seu sensor honeypot é intencionalmente exposto. Seu nó cérebro nunca deve ser. Essa separação é o alicerce de toda a arquitetura. Se atacantes escaparem de um container no Pi, não encontram nada de valor. Seus dados, dashboard e análise de IA permanecem seguros na rede interna.
Configuração de rede
É aqui que as pessoas erram. Leia com atenção.
⚠️ Regras de redirecionamento de portas
Redirecione APENAS estas portas para o sensor Pi:
| Serviço | Porta externa | Porta interna (Pi) | Protocolo |
|---|---|---|---|
| Honeypot SSH | 22 | 2222 | TCP |
| Honeypot Telnet | 23 | 2223 | TCP |
| Honeypot FTP | 21 | 2121 | TCP |
| Honeypot SMB | 445 | 4450 | TCP |
NUNCA redirecione estas:
- Porta 3000 (Dashboard)
- Porta 8000 (API)
- Porta 5432 (PostgreSQL)
- Porta 6379 (Redis)
- Qualquer porta para o Alienware
Acesse seu roteador e configure o redirecionamento de portas para o IP estático do Pi (192.168.1.50 no nosso exemplo). Os serviços honeypot rodam em portas altas internamente, mas os atacantes os veem em portas padrão externamente.
Acessando o dashboard
De qualquer computador na sua rede interna:
1# Abrir no navegador:
2http://192.168.1.100:3000
3
4# Credenciais padrão (mude imediatamente!):
5# Usuário: admin
6# Senha: (o que você definiu em ADMIN_PASSWORD)O que você vai ver:
- Feed de ataques em tempo real: Stream ao vivo de ataques chegando conforme acontecem
- Mapa GeoIP: Representação visual de onde os ataques se originam
- Gravações de sessões: Transcrições completas de sessões SSH/Telnet, exportáveis como MP4/GIF
- Resumos de IA: Explicações dos padrões de ataque geradas pelo Ollama em linguagem clara
- Estatísticas: Frequência de ataques, credenciais comuns, serviços visados
- Configuração de alertas: Configure notificações por Slack, Discord, email via Apprise
Usando HoneyAegis para testes de penetração
Aqui é onde fica divertido. Seu honeypot é um alvo seguro para praticar técnicas ofensivas.
Exercício: ataque seu próprio honeypot
Do Kali (apontando para o IP interno do Pi):
- Execute nmap contra o Pi para ver serviços expostos
- Tente brute force SSH com Hydra
- Experimente enumeração SMB
- Observe o dashboard se iluminar em tempo real
- Leia a análise da IA sobre seu ataque
1# Escanear seu honeypot
2nmap -sV -p 22,23,445,21 192.168.1.50
3
4# Brute force SSH (Cowrie aceita tudo e registra)
5hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
6
7# Conectar manualmente e explorar
8ssh [email protected] -p 2222
9# Tente senhas comuns - Cowrie as aceita
10
11# Verifique o dashboard - sua sessão aparece instantaneamente
12# Observe a IA explicar o que você fezIntegração com The Hacker's Path:
- Parte 3 (Fundamentos do Kali): Use seu honeypot como alvo de reconhecimento
- Parte 4 (Exploração): Pratique Metasploit contra seu ambiente controlado
- Parte 5 (Auditoria completa): Inclua o deploy do honeypot como componente defensivo
E o Home Assistant no mesmo Pi?
Resposta curta: Não faça isso.
⚠️ Mantenha seu honeypot isolado
Seu sensor honeypot é intencionalmente exposto à internet. Ele vai ser atacado, esse é o objetivo inteiro. Rodar Home Assistant no mesmo dispositivo coloca seus controles de casa inteligente a um escape de container de distância dos atacantes. Se algo der errado, você quer que o raio de explosão se limite a serviços falsos, não às suas fechaduras reais e ao seu termostato. Use um Pi separado para o Home Assistant.
A boa notícia? Essa ~1,5 GB de folga não é desperdiçada. O HoneyAegis tem espaço para crescer.
Usos melhores para a capacidade do seu Pi
Em vez de empilhar serviços não relacionados num dispositivo exposto, use essa folga para capacidades honeypot mais profundas:
Orçamento de RAM do Pi 5 4GB (Sensor dedicado)
| Overhead do sistema | ~500 MB |
|---|---|
| Cowrie (SSH/Telnet) | ~300 MB |
| Dionaea (captura de malware) | ~400 MB |
| OpenCanary (multi-serviço) | ~200 MB |
| Vector (envio de logs) | ~100 MB |
| Total base | ~1,5 GB |
| Disponível para expansão | ~2,5 GB |
Roadmap: chegando ao HoneyAegis
Estamos desenvolvendo ativamente módulos de sensor adicionais para o projeto GitHub HoneyAegis. As adições planejadas incluem:
- Conpot (~200 MB) — Honeypot para sistemas de controle industrial. Emula PLCs e sistemas SCADA.
- Mailoney (~100 MB) — Honeypot SMTP. Captura bots de spam e coletores de credenciais.
- Elasticpot (~150 MB) — Honeypot Elasticsearch. Captura bots escaneando clusters expostos.
- ADBHoney (~100 MB) — Honeypot Android Debug Bridge. Detecta atacantes visando dispositivos móveis.
- Honey tokens — Credenciais AWS falsas e chaves API que disparam alertas quando usadas.
A arquitetura é feita para isso. O HoneyAegis usa uma estrutura Docker Compose modular: cada novo honeypot entra como um container com o Vector enviando seus logs para o cérebro. Dê uma estrela no repo para acompanhar o desenvolvimento, ou contribua com seus próprios módulos.
O princípio: Mantenha seu sensor honeypot fazendo uma coisa bem feita: ser um alvo atraente e isolado que alimenta seu cérebro com inteligência. Rode o Home Assistant em um dispositivo separado, onde ele pertence.
Leitura relacionada: Operação Smart Home cobre instalações dedicadas de Home Assistant, e Seu WiFi pode ver você se movendo explica WiFi sensing em hardware dedicado.
Solução de problemas e manutenção
1# Ver logs (ambos os nós)
2docker compose logs -f
3docker compose logs -f service-name
4
5# Reiniciar um serviço
6docker compose restart cowrie
7
8# Verificar uso de recursos dos containers
9docker stats
10
11# Backup do banco de dados (no cérebro)
12docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
13
14# Atualizar HoneyAegis
15git pull
16docker compose pull
17docker compose up -d
18
19# Limpar dados antigos de ataque (cuidado!)
20docker exec honeyaegis-postgres psql -U honeyaegis -c \
21 "DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"Problemas comuns:
- Conflitos de porta: Outro serviço usando as portas honeypot. Verifique com
netstat -tlnp - Incompatibilidade de driver NVIDIA: A versão do container toolkit deve corresponder ao driver. Reinstale o toolkit após atualizações do driver.
- Vector não envia logs: Verifique
docker compose logs vector. Geralmente um problema de rede/firewall entre os nós. - Ollama lento: Verifique acesso à GPU com
docker exec honeyaegis-ollama nvidia-smi
O que vem a seguir
Você agora tem uma rede honeypot em produção gerando inteligência de ameaças real. Veja como evoluí-la:
- Deixe rodar por uma semana. Você vai se surpreender com a rapidez com que os ataques aparecem, geralmente em poucas horas.
- Ajuste a aderência do honeypot. Configure o Cowrie para emular um sistema de arquivos mais realista, mantendo os atacantes engajados por mais tempo.
- Adicione honey tokens. Implante credenciais falsas que disparam alertas instantâneos quando usadas.
- Integre feeds de ameaças. Conecte-se ao MISP ou AbuseIPDB para contexto enriquecido sobre atacantes.
- Expanda sua frota de sensores. Implante sensores Pi adicionais em diferentes pontos de saída da rede.
Plataformas comerciais cobram 5.000 dólares por ano para mostrar o que está atacando sua rede. Você acabou de construir a mesma capacidade pelo custo de um Pi e um pouco de eletricidade. Os atacantes vêm quer você esteja olhando ou não. Agora você está olhando.
Checklist de deployment
☐ Pi 5: IP estático atribuído, Docker instalado, stack de sensor rodando
☐ Alienware: Toolkit NVIDIA instalado, Docker rodando, stack do cérebro implantada
☐ Ollama: Modelo llama3.1:8b baixado, aceleração GPU verificada
☐ Rede: Redirecionamento de portas configurado (apenas portas honeypot!)
☐ Isolamento do cérebro: Verificado que o cérebro NÃO tem exposição à internet
☐ Dashboard: Acessível pelo IP interno, senha de admin alterada
☐ Vector: Logs fluindo do sensor para o cérebro
☐ Primeiro ataque: Teste atacando seu próprio honeypot
☐ Análise IA: Verificado que Ollama gera resumos de ameaças
The Hacker's Path
Este guia acompanha a série de segurança.
Parte 1: Introdução Parte 2: Domínio do Flipper Guia HoneyAegis ✓ Parte 3: Fundamentos do Kali Parte 4: Exploração
