The Hacker's Path: Guia Complementar
Este artigo acompanha a Parte 1: Introdução e a Parte 2: Domínio do Flipper. Você aprendeu o ataque. Agora construa sua defesa.
Eu pesquisei os preços das plataformas comerciais de honeypot no mês passado. A Thinkst Canary quer 5.000 dólares por ano para cinco dispositivos. Outros fornecedores cobram por sensor, por mês, com seus dados de ameaças passando pela infraestrutura deles primeiro. Eles veem seus atacantes antes de você.
Isso é absurdo.
Um honeypot é um sistema isca projetado para ser atacado. Você implanta serviços falsos (SSH, SMB, FTP) e observa o que acontece. Os atacantes pensam que estão invadindo um servidor real, mas na verdade estão entregando informações sobre suas ferramentas, técnicas e alvos. É defesa ofensiva.
O conceito é simples. A implementação não deveria custar uma prestação de hipoteca.
Então construímos o HoneyAegis: uma plataforma honeypot auto-hospedada, nativa Docker, com análise de IA local. Um Raspberry Pi 5 roda os sensores. Um velho laptop Alienware roda o cérebro. Tudo fica na sua rede. Sem nuvem. Sem assinaturas. Sem fornecedor vendo seus dados de ameaças antes de você.
Implantação em uma tarde. Tudo seu. Para sempre.
O que é um honeypot?
Antes de construir, vamos esclarecer o que estamos construindo.
Um honeypot é um sistema deliberadamente vulnerável implantado para atrair atacantes. Ele parece real o suficiente para enganar scanners automatizados e hackers curiosos, mas é completamente falso. Sem dados reais, sem usuários reais, sem serviços reais, apenas serviços emulados que registram tudo.
Por que você ia querer um?
- Alerta antecipado: Os atacantes atingem seu honeypot antes dos seus sistemas reais. Você os vê chegando.
- Inteligência de ameaças: Descubra quais ferramentas eles usam, quais credenciais tentam, o que estão buscando.
- Padrões de ataque: Construa um banco de dados de técnicas específicas para a exposição da sua rede.
- Treinamento: Observe ataques reais acontecendo. Melhor que qualquer simulação.
- Testes de penetração: Um alvo seguro para seus próprios exercícios ofensivos.
O que o HoneyAegis emula
Cowrie: Honeypot SSH e Telnet. Grava transcrições completas de sessões, captura credenciais, registra comandos.
Dionaea: Captura malware. Emula SMB, FTP, HTTP e outros serviços. Armazena payloads para análise.
OpenCanary: Honeypot multi-serviço. Emula compartilhamentos Windows, MySQL, SSH e mais. Altamente configurável.
A arquitetura de dois nós
O HoneyAegis usa uma separação deliberada: o sensor fica voltado para a internet, o cérebro fica protegido.
Internet ──► Roteador (redirecionamento de portas) ──► Pi 5 SENSOR
│
│ Vector (logs)
▼
Rede interna ◄──────► Alienware CÉREBRO
│
├── PostgreSQL + TimescaleDB
├── FastAPI Backend
├── Ollama (IA local)
├── Next.js Dashboard
└── Redis + CeleryPor que separá-los?
O sensor é intencionalmente exposto. Ele vai ser atacado. Esse é o objetivo inteiro. Se algo der catastroficamente errado, se um atacante escapar dos containers do honeypot, o Pi é um dispositivo de 60 dólares sem nada além de iscas. Apague. Reimplante. Trinta minutos.
O cérebro contém tudo que tem valor: seu banco de dados, seu dashboard, sua análise de IA, seus dados históricos de ataques. Ele nunca toca a internet. Fica na sua rede interna, recebendo logs do sensor por um canal seguro.
⚠️ O cérebro nunca deve ficar exposto à internet
Redirecionamento de portas para o cérebro é comprometimento instantâneo. O cérebro tem seu banco PostgreSQL, sua API, seu dashboard. Expô-lo é convidar atacantes para sua infraestrutura real. Apenas o sensor recebe redirecionamento de portas. Apenas portas de honeypot. Nada mais.
Configuração de hardware
Aqui está o que estamos rodando. Esta não é a única configuração válida, é nosso setup ideal usando hardware que já tínhamos.
NÓ 1 — SENSOR (Raspberry Pi 5 4GB)
| Componente | Especificação |
|---|---|
| Função | Sensor honeypot dedicado |
| OS | Raspberry Pi OS (64-bit) |
| CPU | Broadcom BCM2712, quad-core Cortex-A76 @ 2,4 GHz |
| RAM | 4 GB LPDDR4X |
| Armazenamento | microSD ou NVMe via HAT |
| Serviços | Cowrie, Dionaea, OpenCanary, Vector, plugins HoneyAegis |
| Uso de RAM | ~2 a 2,5 GB estimado |
| Rede | Exposto à internet (apenas portas honeypot) |
NÓ 2 — CÉREBRO (Alienware 15 R3)
| Componente | Especificação |
|---|---|
| Função | Backend, análise IA, dashboard, banco de dados |
| OS | Kali GNU/Linux 2025.4 (rolling) |
| CPU | Intel Core i7-7700HQ (4 núcleos / 8 threads @ 2,8 GHz) |
| GPU | NVIDIA GeForce GTX 1070 Mobile — 8 GB VRAM |
| RAM | 16 a 32 GB (mínimo 16 GB recomendado) |
| NIC | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| Serviços | FastAPI, PostgreSQL+TimescaleDB, Redis, Celery, Ollama, Next.js, Traefik |
| Uso de RAM | ~7,2 GB estimado |
| Rede | Apenas interna — NUNCA exposta |
Por que a GTX 1070?
IA local requer aceleração de GPU para ser útil. A GTX 1070 tem 8GB de VRAM, suficiente para rodar Ollama com llama3.1:8b confortavelmente. Isso te dá resumos de ameaças gerados por IA sem enviar dados para OpenAI ou Anthropic. A IA explica o que os atacantes estão fazendo em linguagem clara, inteiramente no seu hardware.
Setup passo a passo: sensor Pi 5
Vamos construir do zero. Começamos com o sensor, o Pi 5 que fica voltado para a internet.
Fase 1: Setup do sensor Raspberry Pi 5
Tempo: 45 minutos
Pré-requisitos: Raspberry Pi 5 (4GB), cartão microSD ou HAT NVMe, fonte de alimentação, cabo Ethernet, outro computador com SSH
1.1 Flash do Raspberry Pi OS
Baixe o Raspberry Pi Imager no seu computador. Insira seu cartão microSD.
# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
# - Set hostname: honeypot-sensor
# - Enable SSH with password authentication
# - Set username/password (not pi/raspberry)
# - Configure WiFi if needed (but use Ethernet)
# 5. Write the imageInsira o cartão no Pi 5, conecte o Ethernet e ligue-o.
1.2 Configuração inicial
Conecte-se via SSH ao seu Pi:
bash# Do seu computador
ssh [email protected]
# Atualizar tudo
sudo apt update && sudo apt upgrade -y
# Instalar ferramentas essenciais
sudo apt install -y git curl vim htop1.3 Definir IP estático
Seu Pi precisa de um IP previsível para o redirecionamento de portas. Substitua os endereços IP pelo esquema da sua rede:
bash# Verificar o nome da sua conexão atual
nmcli con show
# Definir IP estático (ajuste para sua rede)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"
# Verificar
ip addr show eth01.4 Instalar Docker
bash# Instalar Docker usando o script de conveniência
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
# Adicionar seu usuário ao grupo docker
sudo usermod -aG docker $USER
# Instalar o plugin Docker Compose
sudo apt install -y docker-compose-plugin
# Sair e entrar novamente para mudanças de grupo
exit
# Reconectar via SSH, depois verificar
docker --version
docker compose version1.5 Implantar o sensor HoneyAegis
bash# Clonar o repositório
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Copiar template de ambiente
cp .env.example .env
# Editar configuração
nano .envNo arquivo .env, defina estes valores:
bash# Configuração do sensor
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100 # IP do seu Alienware
SENSOR_NAME=pi5-sensor-01Implantar a stack do sensor:
bash# Iniciar serviços do sensor
docker compose --profile sensor up -d
# Observar os containers subindo
docker ps
# Containers esperados:
# - honeyaegis-cowrie (honeypot SSH/Telnet)
# - honeyaegis-dionaea (captura de malware)
# - honeyaegis-opencanary (multi-serviço)
# - honeyaegis-vector (envio de logs)
# Verificar logs para confirmar que tudo funciona
docker compose logs -f
Setup passo a passo: cérebro Alienware
Agora o cérebro, o nó protegido que processa tudo.
Fase 2: Setup do cérebro Alienware
Tempo: 30 minutos
Pré-requisitos: Kali Linux instalado, drivers NVIDIA configurados, conectado à mesma rede que o Pi
2.1 Verificar Kali e NVIDIA
bash# Verificar versão do Kali
cat /etc/os-release
# Verificar que o driver NVIDIA está funcionando
nvidia-smi
# Você deve ver:
# - Versão do driver (535+ recomendado)
# - GTX 1070 com ~8GB VRAM
# - Versão CUDA2.2 Instalar Docker no Kali
bash# Atualizar e instalar Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2
# Habilitar e iniciar Docker
sudo systemctl enable docker
sudo systemctl start docker
# Adicionar seu usuário ao grupo docker
sudo usermod -aG docker $USER
# Sair e entrar novamente, depois verificar
docker --version
docker compose version2.3 Instalar o NVIDIA Container Toolkit
Isso permite que containers Docker acessem sua GPU, necessário para o Ollama:
bash# Adicionar repositório NVIDIA container toolkit
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
sudo tee /etc/apt/sources.list.d/nvidia-docker.list
# Instalar o toolkit
sudo apt update
sudo apt install -y nvidia-container-toolkit
# Configurar Docker para usar o runtime NVIDIA
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker
# Testar acesso à GPU em um container
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 Implantar o cérebro HoneyAegis
bash# Clonar o repositório
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Copiar template de ambiente
cp .env.example .env
# Editar configuração
nano .envConfigurar o cérebro:
bash# Configuração do cérebro
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-passwordImplantar:
bash# Iniciar a stack completa do cérebro
docker compose --profile brain up -d
# A primeira execução leva alguns minutos
# Observar o progresso:
docker compose logs -f
# Quando os containers estiverem rodando, baixar o modelo de IA
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# Isso baixa ~4,7GB - leva alguns minutos
# Verificar todos os containers
docker ps
# Containers esperados:
# - honeyaegis-fastapi (backend API)
# - honeyaegis-postgres (banco de dados)
# - honeyaegis-redis (cache/fila)
# - honeyaegis-celery (workers em background)
# - honeyaegis-ollama (IA local)
# - honeyaegis-nextjs (dashboard)
# - honeyaegis-traefik (reverse proxy)
Ponto chave
Seu sensor honeypot é intencionalmente exposto. Seu nó cérebro nunca deve ser. Essa separação é o alicerce de toda a arquitetura. Se atacantes escaparem de um container no Pi, não encontram nada de valor. Seus dados, dashboard e análise de IA permanecem seguros na rede interna.
Configuração de rede
É aqui que as pessoas erram. Leia com atenção.
⚠️ Regras de redirecionamento de portas
Redirecione APENAS estas portas para o sensor Pi:
| Serviço | Porta externa | Porta interna (Pi) | Protocolo |
|---|---|---|---|
| Honeypot SSH | 22 | 2222 | TCP |
| Honeypot Telnet | 23 | 2223 | TCP |
| Honeypot FTP | 21 | 2121 | TCP |
| Honeypot SMB | 445 | 4450 | TCP |
NUNCA redirecione estas:
- Porta 3000 (Dashboard)
- Porta 8000 (API)
- Porta 5432 (PostgreSQL)
- Porta 6379 (Redis)
- Qualquer porta para o Alienware
Acesse seu roteador e configure o redirecionamento de portas para o IP estático do Pi (192.168.1.50 no nosso exemplo). Os serviços honeypot rodam em portas altas internamente, mas os atacantes os veem em portas padrão externamente.
Acessando o dashboard
De qualquer computador na sua rede interna:
bash# Abrir no navegador:
http://192.168.1.100:3000
# Credenciais padrão (mude imediatamente!):
# Usuário: admin
# Senha: (o que você definiu em ADMIN_PASSWORD)O que você vai ver:
- Feed de ataques em tempo real: Stream ao vivo de ataques chegando conforme acontecem
- Mapa GeoIP: Representação visual de onde os ataques se originam
- Gravações de sessões: Transcrições completas de sessões SSH/Telnet, exportáveis como MP4/GIF
- Resumos de IA: Explicações dos padrões de ataque geradas pelo Ollama em linguagem clara
- Estatísticas: Frequência de ataques, credenciais comuns, serviços visados
- Configuração de alertas: Configure notificações por Slack, Discord, email via Apprise
Usando HoneyAegis para testes de penetração
Aqui é onde fica divertido. Seu honeypot é um alvo seguro para praticar técnicas ofensivas.
Exercício: ataque seu próprio honeypot
Do Kali (apontando para o IP interno do Pi):
- Execute nmap contra o Pi para ver serviços expostos
- Tente brute force SSH com Hydra
- Experimente enumeração SMB
- Observe o dashboard se iluminar em tempo real
- Leia a análise da IA sobre seu ataque
bash# Escanear seu honeypot
nmap -sV -p 22,23,445,21 192.168.1.50
# Brute force SSH (Cowrie aceita tudo e registra)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
# Conectar manualmente e explorar
ssh [email protected] -p 2222
# Tente senhas comuns - Cowrie as aceita
# Verifique o dashboard - sua sessão aparece instantaneamente
# Observe a IA explicar o que você fezIntegração com The Hacker's Path:
- Parte 3 (Fundamentos do Kali): Use seu honeypot como alvo de reconhecimento
- Parte 4 (Exploração): Pratique Metasploit contra seu ambiente controlado
- Parte 5 (Auditoria completa): Inclua o deploy do honeypot como componente defensivo
E o Home Assistant no mesmo Pi?
Resposta curta: Não faça isso.
⚠️ Mantenha seu honeypot isolado
Seu sensor honeypot é intencionalmente exposto à internet. Ele vai ser atacado, esse é o objetivo inteiro. Rodar Home Assistant no mesmo dispositivo coloca seus controles de casa inteligente a um escape de container de distância dos atacantes. Se algo der errado, você quer que o raio de explosão se limite a serviços falsos, não às suas fechaduras reais e ao seu termostato. Use um Pi separado para o Home Assistant.
A boa notícia? Essa ~1,5 GB de folga não é desperdiçada. O HoneyAegis tem espaço para crescer.
Usos melhores para a capacidade do seu Pi
Em vez de empilhar serviços não relacionados num dispositivo exposto, use essa folga para capacidades honeypot mais profundas:
Orçamento de RAM do Pi 5 4GB (Sensor dedicado)
| Overhead do sistema | ~500 MB |
|---|---|
| Cowrie (SSH/Telnet) | ~300 MB |
| Dionaea (captura de malware) | ~400 MB |
| OpenCanary (multi-serviço) | ~200 MB |
| Vector (envio de logs) | ~100 MB |
| Total base | ~1,5 GB |
| Disponível para expansão | ~2,5 GB |
Roadmap: chegando ao HoneyAegis
Estamos desenvolvendo ativamente módulos de sensor adicionais para o projeto GitHub HoneyAegis. As adições planejadas incluem:
- Conpot (~200 MB) — Honeypot para sistemas de controle industrial. Emula PLCs e sistemas SCADA.
- Mailoney (~100 MB) — Honeypot SMTP. Captura bots de spam e coletores de credenciais.
- Elasticpot (~150 MB) — Honeypot Elasticsearch. Captura bots escaneando clusters expostos.
- ADBHoney (~100 MB) — Honeypot Android Debug Bridge. Detecta atacantes visando dispositivos móveis.
- Honey tokens — Credenciais AWS falsas e chaves API que disparam alertas quando usadas.
A arquitetura é feita para isso. O HoneyAegis usa uma estrutura Docker Compose modular: cada novo honeypot entra como um container com o Vector enviando seus logs para o cérebro. Dê uma estrela no repo para acompanhar o desenvolvimento, ou contribua com seus próprios módulos.
O princípio: Mantenha seu sensor honeypot fazendo uma coisa bem feita: ser um alvo atraente e isolado que alimenta seu cérebro com inteligência. Rode o Home Assistant em um dispositivo separado, onde ele pertence.
Leitura relacionada: Operação Smart Home cobre instalações dedicadas de Home Assistant, e Seu WiFi pode ver você se movendo explica WiFi sensing em hardware dedicado.
Solução de problemas e manutenção
bash# Ver logs (ambos os nós)
docker compose logs -f
docker compose logs -f service-name
# Reiniciar um serviço
docker compose restart cowrie
# Verificar uso de recursos dos containers
docker stats
# Backup do banco de dados (no cérebro)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
# Atualizar HoneyAegis
git pull
docker compose pull
docker compose up -d
# Limpar dados antigos de ataque (cuidado!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
"DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"Problemas comuns:
- Conflitos de porta: Outro serviço usando as portas honeypot. Verifique com
netstat -tlnp - Incompatibilidade de driver NVIDIA: A versão do container toolkit deve corresponder ao driver. Reinstale o toolkit após atualizações do driver.
- Vector não envia logs: Verifique
docker compose logs vector. Geralmente um problema de rede/firewall entre os nós. - Ollama lento: Verifique acesso à GPU com
docker exec honeyaegis-ollama nvidia-smi
O que vem a seguir
Você agora tem uma rede honeypot em produção gerando inteligência de ameaças real. Veja como evoluí-la:
- Deixe rodar por uma semana. Você vai se surpreender com a rapidez com que os ataques aparecem, geralmente em poucas horas.
- Ajuste a aderência do honeypot. Configure o Cowrie para emular um sistema de arquivos mais realista, mantendo os atacantes engajados por mais tempo.
- Adicione honey tokens. Implante credenciais falsas que disparam alertas instantâneos quando usadas.
- Integre feeds de ameaças. Conecte-se ao MISP ou AbuseIPDB para contexto enriquecido sobre atacantes.
- Expanda sua frota de sensores. Implante sensores Pi adicionais em diferentes pontos de saída da rede.
Plataformas comerciais cobram 5.000 dólares por ano para mostrar o que está atacando sua rede. Você acabou de construir a mesma capacidade pelo custo de um Pi e um pouco de eletricidade. Os atacantes vêm quer você esteja olhando ou não. Agora você está olhando.
Checklist de deployment
☐ Pi 5: IP estático atribuído, Docker instalado, stack de sensor rodando
☐ Alienware: Toolkit NVIDIA instalado, Docker rodando, stack do cérebro implantada
☐ Ollama: Modelo llama3.1:8b baixado, aceleração GPU verificada
☐ Rede: Redirecionamento de portas configurado (apenas portas honeypot!)
☐ Isolamento do cérebro: Verificado que o cérebro NÃO tem exposição à internet
☐ Dashboard: Acessível pelo IP interno, senha de admin alterada
☐ Vector: Logs fluindo do sensor para o cérebro
☐ Primeiro ataque: Teste atacando seu próprio honeypot
☐ Análise IA: Verificado que Ollama gera resumos de ameaças
The Hacker's Path
Este guia acompanha a série de segurança.
Parte 1: Introdução Parte 2: Domínio do Flipper Guia HoneyAegis ✓ Parte 3: Fundamentos do Kali Parte 4: Exploração
