HoneyAegis: создайте собственную сеть-ловушку с поддержкой ИИ

The Hacker's Path: Сопутствующее руководство

Эта статья дополняет Часть 1: Введение и Часть 2: Мастерство Flipper. Вы научились атаковать. Теперь стройте защиту.

В прошлом месяце я изучил цены коммерческих honeypot-платформ. Thinkst Canary хочет 5 000 долларов в год за пять устройств. Другие вендоры берут за каждый сенсор, ежемесячно, при этом ваши данные об угрозах сначала проходят через их инфраструктуру. Они видят ваших атакующих раньше вас.

Это безумие.

Honeypot (ловушка) — это система-приманка, созданная для того, чтобы её атаковали. Вы разворачиваете поддельные сервисы (SSH, SMB, FTP) и наблюдаете, что происходит. Атакующие думают, что взламывают настоящий сервер, но на самом деле передают вам разведданные о своих инструментах, техниках и целях. Это наступательная оборона.

Концепция проста. Реализация не должна стоить как ипотека.

Поэтому мы создали HoneyAegis: самостоятельно размещаемую, Docker-нативную honeypot-платформу с локальным ИИ-анализом. Raspberry Pi 5 запускает сенсоры. Старый ноутбук Alienware выполняет роль мозга. Всё остаётся в вашей сети. Никакого облака. Никаких подписок. Ни один вендор не видит ваши данные об угрозах раньше вас.

Развёртывание за один день. Владеете всем навсегда.

Что такое honeypot?

Прежде чем строить, давайте уточним, что мы строим.

Honeypot — это намеренно уязвимая система, развёрнутая для привлечения атакующих. Она выглядит достаточно реалистично, чтобы обмануть автоматические сканеры и любопытных хакеров, но полностью поддельная. Никаких реальных данных, никаких реальных пользователей, никаких реальных сервисов — только эмулированные, которые всё логируют.

Зачем вам это нужно?

• Раннее предупреждение: Атакующие попадают на ваш honeypot до ваших реальных систем. Вы видите их заранее.
• Разведка угроз: Узнайте, какие инструменты они используют, какие учётные данные пробуют, что ищут.
• Паттерны атак: Создайте базу данных техник, специфичных для вашей сети.
• Обучение: Наблюдайте за реальными атаками в реальном времени. Лучше любой симуляции.
• Тесты на проникновение: Безопасная цель для ваших собственных наступательных упражнений.

Что эмулирует HoneyAegis

Cowrie: SSH и Telnet honeypot. Записывает полные стенограммы сессий, захватывает учётные данные, логирует команды.

Dionaea: Захватывает вредоносное ПО. Эмулирует SMB, FTP, HTTP и другие сервисы. Сохраняет полезные нагрузки для анализа.

OpenCanary: Мульти-сервисный honeypot. Эмулирует общие папки Windows, MySQL, SSH и другое. Высоко настраиваемый.

Архитектура двух узлов

HoneyAegis использует намеренное разделение: сенсор смотрит в интернет, мозг остаётся защищённым.

1Интернет ──► Роутер (проброс портов) ──► Pi 5 СЕНСОР
2                                           │
3                                           │ Vector (логи)
4                                           ▼
5Внутренняя сеть ◄──────► Alienware МОЗГ
6                              │
7                              ├── PostgreSQL + TimescaleDB
8                              ├── FastAPI Backend
9                              ├── Ollama (локальный ИИ)
10                              ├── Next.js Dashboard
11                              └── Redis + Celery

Зачем разделять?

Сенсор намеренно открыт. Его будут атаковать. В этом весь смысл. Если что-то пойдёт катастрофически не так — если атакующий вырвется из honeypot-контейнеров — Pi это устройство за 60 долларов, на котором нет ничего, кроме приманок. Стираем. Переразвёртываем. Тридцать минут.

Мозг содержит всё ценное: вашу базу данных, дашборд, ИИ-анализ, исторические данные об атаках. Он никогда не касается интернета. Он находится в вашей внутренней сети и получает логи от сенсора по защищённому каналу.

⚠️ Мозг никогда не должен быть доступен из интернета

Проброс портов к мозгу — это мгновенная компрометация. В мозге ваша база PostgreSQL, API, дашборд. Откроете его — пригласите атакующих в свою реальную инфраструктуру. Только сенсор получает проброс портов. Только порты honeypot. Ничего другого.

Конфигурация оборудования

Вот что у нас работает. Это не единственная правильная конфигурация — это наш оптимальный сетап на оборудовании, которое у нас уже было.

УЗЕЛ 1 — СЕНСОР (Raspberry Pi 5 4ГБ)

УЗЕЛ 2 — МОЗГ (Alienware 15 R3)

Почему GTX 1070?

Локальный ИИ требует GPU-ускорения, чтобы быть полезным. У GTX 1070 8 ГБ VRAM — достаточно для комфортной работы Ollama с llama3.1:8b. Это даёт вам ИИ-генерируемые сводки об угрозах без отправки данных в OpenAI или Anthropic. ИИ объясняет, что делают атакующие, понятным языком, полностью на вашем оборудовании.

Пошаговая настройка: сенсор Pi 5

Давайте построим это с нуля. Начнём с сенсора — Pi 5, который смотрит в интернет.

Фаза 1: Настройка сенсора Raspberry Pi 5

Время: 45 минут

Предварительные требования: Raspberry Pi 5 (4ГБ), карта microSD или NVMe HAT, блок питания, Ethernet-кабель, другой компьютер с SSH

1.1 Прошивка Raspberry Pi OS

Скачайте Raspberry Pi Imager на ваш компьютер. Вставьте карту microSD.

1# In Raspberry Pi Imager:
2# 1. Choose Device: Raspberry Pi 5
3# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
4# 3. Choose Storage: Your microSD card
5# 4. Click the gear icon for advanced options:
6#    - Set hostname: honeypot-sensor
7#    - Enable SSH with password authentication
8#    - Set username/password (not pi/raspberry)
9#    - Configure WiFi if needed (but use Ethernet)
10# 5. Write the image

Вставьте карту в Pi 5, подключите Ethernet и включите питание.

1.2 Начальная настройка

Подключитесь к Pi по SSH:

1# С вашего компьютера
2ssh [email protected]
3
4# Обновить всё
5sudo apt update && sudo apt upgrade -y
6
7# Установить основные инструменты
8sudo apt install -y git curl vim htop

1.3 Установка статического IP

Вашему Pi нужен предсказуемый IP для проброса портов. Замените IP-адреса на схему вашей сети:

1# Проверить имя текущего подключения
2nmcli con show
3
4# Установить статический IP (настройте под вашу сеть)
5sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
6sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
7sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
8sudo nmcli con mod "Wired connection 1" ipv4.method manual
9sudo nmcli con up "Wired connection 1"
10
11# Проверить
12ip addr show eth0

1.4 Установка Docker

1# Установить Docker с помощью скрипта
2curl -fsSL https://get.docker.com -o get-docker.sh
3sudo sh get-docker.sh
4
5# Добавить пользователя в группу docker
6sudo usermod -aG docker $USER
7
8# Установить плагин Docker Compose
9sudo apt install -y docker-compose-plugin
10
11# Выйти и войти снова для применения изменений группы
12exit
13
14# Подключиться по SSH снова, затем проверить
15docker --version
16docker compose version

1.5 Развёртывание сенсора HoneyAegis

1# Клонировать репозиторий
2git clone https://github.com/thesecretchief/HoneyAegis.git
3cd HoneyAegis
4
5# Скопировать шаблон окружения
6cp .env.example .env
7
8# Отредактировать конфигурацию
9nano .env

В файле .env установите следующие значения:

1# Конфигурация сенсора
2HONEYAEGIS_MODE=sensor
3BRAIN_HOST=192.168.1.100  # IP вашего Alienware
4SENSOR_NAME=pi5-sensor-01

Развернуть стек сенсора:

1# Запустить сервисы сенсора
2docker compose --profile sensor up -d
3
4# Наблюдать за запуском контейнеров
5docker ps
6# Ожидаемые контейнеры:
7# - honeyaegis-cowrie (SSH/Telnet honeypot)
8# - honeyaegis-dionaea (захват вредоносного ПО)
9# - honeyaegis-opencanary (мульти-сервис)
10# - honeyaegis-vector (отправка логов)
11
12# Проверить логи, чтобы убедиться, что всё работает
13docker compose logs -f

Пошаговая настройка: мозг Alienware

Теперь мозг — защищённый узел, который обрабатывает всё.

Фаза 2: Настройка мозга Alienware

Время: 30 минут

Предварительные требования: Установлен Kali Linux, настроены драйверы NVIDIA, подключён к той же сети, что и Pi

2.1 Проверка Kali и NVIDIA

1# Проверить версию Kali
2cat /etc/os-release
3
4# Проверить работу драйвера NVIDIA
5nvidia-smi
6# Вы должны увидеть:
7# - Версию драйвера (рекомендуется 535+)
8# - GTX 1070 с ~8ГБ VRAM
9# - Версию CUDA

2.2 Установка Docker на Kali

1# Обновить и установить Docker
2sudo apt update
3sudo apt install -y docker.io docker-compose-v2
4
5# Включить и запустить Docker
6sudo systemctl enable docker
7sudo systemctl start docker
8
9# Добавить пользователя в группу docker
10sudo usermod -aG docker $USER
11
12# Выйти и войти снова, затем проверить
13docker --version
14docker compose version

2.3 Установка NVIDIA Container Toolkit

Это позволяет Docker-контейнерам получать доступ к GPU — необходимо для Ollama:

1# Добавить репозиторий NVIDIA container toolkit
2distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
3curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
4curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
5  sudo tee /etc/apt/sources.list.d/nvidia-docker.list
6
7# Установить тулкит
8sudo apt update
9sudo apt install -y nvidia-container-toolkit
10
11# Настроить Docker для использования NVIDIA runtime
12sudo nvidia-ctk runtime configure --runtime=docker
13sudo systemctl restart docker
14
15# Проверить доступ к GPU в контейнере
16docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi

2.4 Развёртывание мозга HoneyAegis

1# Клонировать репозиторий
2git clone https://github.com/thesecretchief/HoneyAegis.git
3cd HoneyAegis
4
5# Скопировать шаблон окружения
6cp .env.example .env
7
8# Отредактировать конфигурацию
9nano .env

Настроить мозг:

1# Конфигурация мозга
2HONEYAEGIS_MODE=brain
3OLLAMA_GPU=true
4POSTGRES_PASSWORD=your-strong-password-here
5JWT_SECRET=another-strong-secret
6ADMIN_PASSWORD=dashboard-admin-password

Развернуть:

1# Запустить полный стек мозга
2docker compose --profile brain up -d
3
4# Первый запуск занимает несколько минут
5# Наблюдать за прогрессом:
6docker compose logs -f
7
8# Когда контейнеры запустятся, скачать модель ИИ
9docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
10# Скачивание ~4,7ГБ — занимает несколько минут
11
12# Проверить все контейнеры
13docker ps
14# Ожидаемые контейнеры:
15# - honeyaegis-fastapi (API бэкенд)
16# - honeyaegis-postgres (база данных)
17# - honeyaegis-redis (кэш/очередь)
18# - honeyaegis-celery (фоновые воркеры)
19# - honeyaegis-ollama (локальный ИИ)
20# - honeyaegis-nextjs (дашборд)
21# - honeyaegis-traefik (обратный прокси)

Настройка сети

Вот где люди ошибаются. Читайте внимательно.

⚠️ Правила проброса портов

Пробрасывайте ТОЛЬКО эти порты на Pi-сенсор:

НИКОГДА не пробрасывайте эти:

• Порт 3000 (Дашборд)
• Порт 8000 (API)
• Порт 5432 (PostgreSQL)
• Порт 6379 (Redis)
• Любой порт к Alienware

Зайдите в настройки роутера и настройте проброс портов на статический IP Pi (192.168.1.50 в нашем примере). Honeypot-сервисы работают на высоких портах внутри, но атакующие видят их на стандартных портах снаружи.

Доступ к дашборду

С любого компьютера во внутренней сети:

1# Открыть в браузере:
2http://192.168.1.100:3000
3
4# Стандартные учётные данные (немедленно измените!):
5# Имя пользователя: admin
6# Пароль: (что вы указали в ADMIN_PASSWORD)

Что вы увидите:

• Лента атак в реальном времени: Живой поток входящих атак по мере их поступления
• Карта GeoIP: Визуальное представление откуда приходят атаки
• Записи сессий: Полные стенограммы SSH/Telnet-сессий, экспортируемые как MP4/GIF
• ИИ-сводки: Объяснения паттернов атак, сгенерированные Ollama понятным языком
• Статистика: Частота атак, популярные учётные данные, целевые сервисы
• Настройка оповещений: Настройте уведомления через Slack, Discord, email через Apprise

Использование HoneyAegis для тестов на проникновение

Вот тут становится интересно. Ваш honeypot — это безопасная цель для отработки наступательных техник.

Упражнение: атакуйте свой собственный honeypot

С Kali (нацеливаясь на внутренний IP Pi):

1. Запустите nmap против Pi, чтобы увидеть открытые сервисы
2. Попробуйте SSH brute force с Hydra
3. Попробуйте SMB-перечисление
4. Наблюдайте, как дашборд загорается в реальном времени
5. Прочитайте ИИ-анализ вашей атаки

1# Просканировать ваш honeypot
2nmap -sV -p 22,23,445,21 192.168.1.50
3
4# Brute force SSH (Cowrie принимает всё и логирует)
5hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
6
7# Подключиться вручную и осмотреться
8ssh [email protected] -p 2222
9# Попробуйте распространённые пароли - Cowrie их примет
10
11# Проверьте дашборд - ваша сессия появится мгновенно
12# Посмотрите, как ИИ объясняет то, что вы сделали

Интеграция с The Hacker's Path:

• Часть 3 (Основы Kali): Используйте honeypot как цель для разведки
• Часть 4 (Эксплуатация): Практикуйте Metasploit против контролируемой среды
• Часть 5 (Полный аудит): Включите развёртывание honeypot как защитный компонент

А Home Assistant на том же Pi?

Короткий ответ: Не делайте этого.

⚠️ Держите honeypot изолированным

Ваш honeypot-сенсор намеренно открыт в интернет. Его будут атаковать — в этом весь смысл. Запуск Home Assistant на том же устройстве ставит ваше управление умным домом на расстоянии одного побега из контейнера от атакующих. Если что-то пойдёт не так, вы хотите, чтобы радиус поражения ограничивался поддельными сервисами, а не вашими настоящими замками и термостатом. Используйте отдельный Pi для Home Assistant.

Хорошая новость? Эти ~1,5 ГБ запаса не пропадают зря. У HoneyAegis есть место для роста.

Лучшее применение для ёмкости вашего Pi

Вместо того чтобы напихивать несвязанные сервисы на открытое устройство, используйте запас для более глубоких honeypot-возможностей:

Бюджет RAM Pi 5 4ГБ (Выделенный сенсор)

Дорожная карта: будет добавлено в HoneyAegis

Мы активно разрабатываем дополнительные модули сенсоров для проекта HoneyAegis на GitHub. Запланированные дополнения включают:

• Conpot (~200 МБ) — Honeypot промышленных систем управления. Эмулирует ПЛК и SCADA-системы.
• Mailoney (~100 МБ) — SMTP honeypot. Ловит спам-ботов и сборщиков учётных данных.
• Elasticpot (~150 МБ) — Elasticsearch honeypot. Ловит ботов, сканирующих открытые кластеры.
• ADBHoney (~100 МБ) — Android Debug Bridge honeypot. Обнаруживает атакующих, нацеленных на мобильные устройства.
• Honey-токены — Поддельные AWS-учётные данные и API-ключи, которые вызывают тревогу при использовании.

Архитектура создана для этого. HoneyAegis использует модульную структуру Docker Compose — каждый новый honeypot добавляется как контейнер, а Vector отправляет его логи в мозг. Поставьте звезду репозиторию, чтобы следить за разработкой, или создавайте свои модули.

Принцип: Пусть ваш honeypot-сенсор делает одну вещь хорошо — быть привлекательной, изолированной целью, которая поставляет разведданные в мозг. Запускайте Home Assistant на отдельном устройстве, где ему и место.

Дополнительное чтение: Операция «Умный дом» описывает выделенные установки Home Assistant, а Ваш WiFi может видеть, как вы двигаетесь объясняет WiFi-зондирование на отдельном оборудовании.

Устранение неполадок и обслуживание

1# Просмотр логов (оба узла)
2docker compose logs -f
3docker compose logs -f service-name
4
5# Перезапуск сервиса
6docker compose restart cowrie
7
8# Проверка потребления ресурсов контейнерами
9docker stats
10
11# Резервное копирование базы данных (на мозге)
12docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
13
14# Обновление HoneyAegis
15git pull
16docker compose pull
17docker compose up -d
18
19# Очистка старых данных об атаках (осторожно!)
20docker exec honeyaegis-postgres psql -U honeyaegis -c \
21  "DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"

Частые проблемы:

• Конфликты портов: Другой сервис занимает порты honeypot. Проверьте с помощью netstat -tlnp
• Несовместимость драйвера NVIDIA: Версия container toolkit должна соответствовать драйверу. Переустановите toolkit после обновления драйвера.
• Vector не отправляет логи: Проверьте docker compose logs vector. Обычно проблема сети/файрвола между узлами.
• Ollama медленный: Проверьте доступ к GPU с помощью docker exec honeyaegis-ollama nvidia-smi

Что дальше

Теперь у вас есть работающая honeypot-сеть, генерирующая реальную разведку об угрозах. Вот как её развивать:

• Дайте поработать неделю. Вы удивитесь, как быстро появляются атаки — обычно в течение нескольких часов.
• Настройте «прилипчивость» honeypot. Сконфигурируйте Cowrie для эмуляции более реалистичной файловой системы, удерживая атакующих дольше.
• Добавьте honey-токены. Разместите поддельные учётные данные, которые вызывают мгновенную тревогу при использовании.
• Интегрируйте фиды угроз. Подключитесь к MISP или AbuseIPDB для обогащённого контекста об атакующих.
• Расширьте флот сенсоров. Разверните дополнительные Pi-сенсоры в разных точках выхода сети.

Коммерческие платформы берут 5 000 долларов в год, чтобы показать вам, что атакует вашу сеть. Вы только что построили ту же возможность за стоимость Pi и немного электричества. Атакующие приходят, следите вы или нет. Теперь вы следите.

Чек-лист развёртывания

☐ Pi 5: Статический IP назначен, Docker установлен, стек сенсора запущен

☐ Alienware: NVIDIA toolkit установлен, Docker работает, стек мозга развёрнут

☐ Ollama: Модель llama3.1:8b скачана, GPU-ускорение проверено

☐ Сеть: Проброс портов настроен (только порты honeypot!)

☐ Изоляция мозга: Подтверждено, что мозг НЕ имеет доступа в интернет

☐ Дашборд: Доступен по внутреннему IP, пароль администратора изменён

☐ Vector: Логи передаются от сенсора к мозгу

☐ Первая атака: Тест атакой собственного honeypot

☐ ИИ-анализ: Подтверждено, что Ollama генерирует сводки об угрозах

The Hacker's Path

Это руководство дополняет серию по безопасности.

Часть 1: Введение Часть 2: Мастерство Flipper Руководство HoneyAegis ✓ Часть 3: Основы Kali Часть 4: Эксплуатация