The Hacker's Path: Сопутствующее руководство
Эта статья дополняет Часть 1: Введение и Часть 2: Мастерство Flipper. Вы научились атаковать. Теперь стройте защиту.
В прошлом месяце я изучил цены коммерческих honeypot-платформ. Thinkst Canary хочет 5 000 долларов в год за пять устройств. Другие вендоры берут за каждый сенсор, ежемесячно, при этом ваши данные об угрозах сначала проходят через их инфраструктуру. Они видят ваших атакующих раньше вас.
Это безумие.
Honeypot (ловушка) — это система-приманка, созданная для того, чтобы её атаковали. Вы разворачиваете поддельные сервисы (SSH, SMB, FTP) и наблюдаете, что происходит. Атакующие думают, что взламывают настоящий сервер, но на самом деле передают вам разведданные о своих инструментах, техниках и целях. Это наступательная оборона.
Концепция проста. Реализация не должна стоить как ипотека.
Поэтому мы создали HoneyAegis: самостоятельно размещаемую, Docker-нативную honeypot-платформу с локальным ИИ-анализом. Raspberry Pi 5 запускает сенсоры. Старый ноутбук Alienware выполняет роль мозга. Всё остаётся в вашей сети. Никакого облака. Никаких подписок. Ни один вендор не видит ваши данные об угрозах раньше вас.
Развёртывание за один день. Владеете всем навсегда.
Что такое honeypot?
Прежде чем строить, давайте уточним, что мы строим.
Honeypot — это намеренно уязвимая система, развёрнутая для привлечения атакующих. Она выглядит достаточно реалистично, чтобы обмануть автоматические сканеры и любопытных хакеров, но полностью поддельная. Никаких реальных данных, никаких реальных пользователей, никаких реальных сервисов — только эмулированные, которые всё логируют.
Зачем вам это нужно?
- Раннее предупреждение: Атакующие попадают на ваш honeypot до ваших реальных систем. Вы видите их заранее.
- Разведка угроз: Узнайте, какие инструменты они используют, какие учётные данные пробуют, что ищут.
- Паттерны атак: Создайте базу данных техник, специфичных для вашей сети.
- Обучение: Наблюдайте за реальными атаками в реальном времени. Лучше любой симуляции.
- Тесты на проникновение: Безопасная цель для ваших собственных наступательных упражнений.
Что эмулирует HoneyAegis
Cowrie: SSH и Telnet honeypot. Записывает полные стенограммы сессий, захватывает учётные данные, логирует команды.
Dionaea: Захватывает вредоносное ПО. Эмулирует SMB, FTP, HTTP и другие сервисы. Сохраняет полезные нагрузки для анализа.
OpenCanary: Мульти-сервисный honeypot. Эмулирует общие папки Windows, MySQL, SSH и другое. Высоко настраиваемый.
Архитектура двух узлов
HoneyAegis использует намеренное разделение: сенсор смотрит в интернет, мозг остаётся защищённым.
Интернет ──► Роутер (проброс портов) ──► Pi 5 СЕНСОР
│
│ Vector (логи)
▼
Внутренняя сеть ◄──────► Alienware МОЗГ
│
├── PostgreSQL + TimescaleDB
├── FastAPI Backend
├── Ollama (локальный ИИ)
├── Next.js Dashboard
└── Redis + CeleryЗачем разделять?
Сенсор намеренно открыт. Его будут атаковать. В этом весь смысл. Если что-то пойдёт катастрофически не так — если атакующий вырвется из honeypot-контейнеров — Pi это устройство за 60 долларов, на котором нет ничего, кроме приманок. Стираем. Переразвёртываем. Тридцать минут.
Мозг содержит всё ценное: вашу базу данных, дашборд, ИИ-анализ, исторические данные об атаках. Он никогда не касается интернета. Он находится в вашей внутренней сети и получает логи от сенсора по защищённому каналу.
⚠️ Мозг никогда не должен быть доступен из интернета
Проброс портов к мозгу — это мгновенная компрометация. В мозге ваша база PostgreSQL, API, дашборд. Откроете его — пригласите атакующих в свою реальную инфраструктуру. Только сенсор получает проброс портов. Только порты honeypot. Ничего другого.
Конфигурация оборудования
Вот что у нас работает. Это не единственная правильная конфигурация — это наш оптимальный сетап на оборудовании, которое у нас уже было.
УЗЕЛ 1 — СЕНСОР (Raspberry Pi 5 4ГБ)
| Компонент | Спецификация |
|---|---|
| Роль | Выделенный honeypot-сенсор |
| ОС | Raspberry Pi OS (64-bit) |
| CPU | Broadcom BCM2712, четыре ядра Cortex-A76 @ 2,4 ГГц |
| RAM | 4 ГБ LPDDR4X |
| Хранилище | microSD или NVMe через HAT |
| Сервисы | Cowrie, Dionaea, OpenCanary, Vector, плагины HoneyAegis |
| Использование RAM | ~2 до 2,5 ГБ (оценочно) |
| Сеть | Открыт в интернет (только порты honeypot) |
УЗЕЛ 2 — МОЗГ (Alienware 15 R3)
| Компонент | Спецификация |
|---|---|
| Роль | Бэкенд, ИИ-анализ, дашборд, база данных |
| ОС | Kali GNU/Linux 2025.4 (rolling) |
| CPU | Intel Core i7-7700HQ (4 ядра / 8 потоков @ 2,8 ГГц) |
| GPU | NVIDIA GeForce GTX 1070 Mobile — 8 ГБ VRAM |
| RAM | 16 до 32 ГБ (минимум 16 ГБ рекомендуется) |
| NIC | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| Сервисы | FastAPI, PostgreSQL+TimescaleDB, Redis, Celery, Ollama, Next.js, Traefik |
| Использование RAM | ~7,2 ГБ (оценочно) |
| Сеть | Только внутренняя — НИКОГДА не открывать |
Почему GTX 1070?
Локальный ИИ требует GPU-ускорения, чтобы быть полезным. У GTX 1070 8 ГБ VRAM — достаточно для комфортной работы Ollama с llama3.1:8b. Это даёт вам ИИ-генерируемые сводки об угрозах без отправки данных в OpenAI или Anthropic. ИИ объясняет, что делают атакующие, понятным языком, полностью на вашем оборудовании.
Пошаговая настройка: сенсор Pi 5
Давайте построим это с нуля. Начнём с сенсора — Pi 5, который смотрит в интернет.
Фаза 1: Настройка сенсора Raspberry Pi 5
Время: 45 минут
Предварительные требования: Raspberry Pi 5 (4ГБ), карта microSD или NVMe HAT, блок питания, Ethernet-кабель, другой компьютер с SSH
1.1 Прошивка Raspberry Pi OS
Скачайте Raspberry Pi Imager на ваш компьютер. Вставьте карту microSD.
# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
# - Set hostname: honeypot-sensor
# - Enable SSH with password authentication
# - Set username/password (not pi/raspberry)
# - Configure WiFi if needed (but use Ethernet)
# 5. Write the imageВставьте карту в Pi 5, подключите Ethernet и включите питание.
1.2 Начальная настройка
Подключитесь к Pi по SSH:
bash# С вашего компьютера
ssh [email protected]
# Обновить всё
sudo apt update && sudo apt upgrade -y
# Установить основные инструменты
sudo apt install -y git curl vim htop1.3 Установка статического IP
Вашему Pi нужен предсказуемый IP для проброса портов. Замените IP-адреса на схему вашей сети:
bash# Проверить имя текущего подключения
nmcli con show
# Установить статический IP (настройте под вашу сеть)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"
# Проверить
ip addr show eth01.4 Установка Docker
bash# Установить Docker с помощью скрипта
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
# Добавить пользователя в группу docker
sudo usermod -aG docker $USER
# Установить плагин Docker Compose
sudo apt install -y docker-compose-plugin
# Выйти и войти снова для применения изменений группы
exit
# Подключиться по SSH снова, затем проверить
docker --version
docker compose version1.5 Развёртывание сенсора HoneyAegis
bash# Клонировать репозиторий
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Скопировать шаблон окружения
cp .env.example .env
# Отредактировать конфигурацию
nano .envВ файле .env установите следующие значения:
bash# Конфигурация сенсора
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100 # IP вашего Alienware
SENSOR_NAME=pi5-sensor-01Развернуть стек сенсора:
bash# Запустить сервисы сенсора
docker compose --profile sensor up -d
# Наблюдать за запуском контейнеров
docker ps
# Ожидаемые контейнеры:
# - honeyaegis-cowrie (SSH/Telnet honeypot)
# - honeyaegis-dionaea (захват вредоносного ПО)
# - honeyaegis-opencanary (мульти-сервис)
# - honeyaegis-vector (отправка логов)
# Проверить логи, чтобы убедиться, что всё работает
docker compose logs -f
Пошаговая настройка: мозг Alienware
Теперь мозг — защищённый узел, который обрабатывает всё.
Фаза 2: Настройка мозга Alienware
Время: 30 минут
Предварительные требования: Установлен Kali Linux, настроены драйверы NVIDIA, подключён к той же сети, что и Pi
2.1 Проверка Kali и NVIDIA
bash# Проверить версию Kali
cat /etc/os-release
# Проверить работу драйвера NVIDIA
nvidia-smi
# Вы должны увидеть:
# - Версию драйвера (рекомендуется 535+)
# - GTX 1070 с ~8ГБ VRAM
# - Версию CUDA2.2 Установка Docker на Kali
bash# Обновить и установить Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2
# Включить и запустить Docker
sudo systemctl enable docker
sudo systemctl start docker
# Добавить пользователя в группу docker
sudo usermod -aG docker $USER
# Выйти и войти снова, затем проверить
docker --version
docker compose version2.3 Установка NVIDIA Container Toolkit
Это позволяет Docker-контейнерам получать доступ к GPU — необходимо для Ollama:
bash# Добавить репозиторий NVIDIA container toolkit
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
sudo tee /etc/apt/sources.list.d/nvidia-docker.list
# Установить тулкит
sudo apt update
sudo apt install -y nvidia-container-toolkit
# Настроить Docker для использования NVIDIA runtime
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker
# Проверить доступ к GPU в контейнере
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 Развёртывание мозга HoneyAegis
bash# Клонировать репозиторий
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# Скопировать шаблон окружения
cp .env.example .env
# Отредактировать конфигурацию
nano .envНастроить мозг:
bash# Конфигурация мозга
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-passwordРазвернуть:
bash# Запустить полный стек мозга
docker compose --profile brain up -d
# Первый запуск занимает несколько минут
# Наблюдать за прогрессом:
docker compose logs -f
# Когда контейнеры запустятся, скачать модель ИИ
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# Скачивание ~4,7ГБ — занимает несколько минут
# Проверить все контейнеры
docker ps
# Ожидаемые контейнеры:
# - honeyaegis-fastapi (API бэкенд)
# - honeyaegis-postgres (база данных)
# - honeyaegis-redis (кэш/очередь)
# - honeyaegis-celery (фоновые воркеры)
# - honeyaegis-ollama (локальный ИИ)
# - honeyaegis-nextjs (дашборд)
# - honeyaegis-traefik (обратный прокси)
Ключевой вывод
Ваш honeypot-сенсор намеренно открыт. Ваш узел-мозг не должен быть открыт никогда. Это разделение — фундамент всей архитектуры. Если атакующие вырвутся из контейнера на Pi, они не найдут ничего ценного. Ваши данные, дашборд и ИИ-анализ остаются в безопасности во внутренней сети.
Настройка сети
Вот где люди ошибаются. Читайте внимательно.
⚠️ Правила проброса портов
Пробрасывайте ТОЛЬКО эти порты на Pi-сенсор:
| Сервис | Внешний порт | Внутренний порт (Pi) | Протокол |
|---|---|---|---|
| SSH Honeypot | 22 | 2222 | TCP |
| Telnet Honeypot | 23 | 2223 | TCP |
| FTP Honeypot | 21 | 2121 | TCP |
| SMB Honeypot | 445 | 4450 | TCP |
НИКОГДА не пробрасывайте эти:
- Порт 3000 (Дашборд)
- Порт 8000 (API)
- Порт 5432 (PostgreSQL)
- Порт 6379 (Redis)
- Любой порт к Alienware
Зайдите в настройки роутера и настройте проброс портов на статический IP Pi (192.168.1.50 в нашем примере). Honeypot-сервисы работают на высоких портах внутри, но атакующие видят их на стандартных портах снаружи.
Доступ к дашборду
С любого компьютера во внутренней сети:
bash# Открыть в браузере:
http://192.168.1.100:3000
# Стандартные учётные данные (немедленно измените!):
# Имя пользователя: admin
# Пароль: (что вы указали в ADMIN_PASSWORD)Что вы увидите:
- Лента атак в реальном времени: Живой поток входящих атак по мере их поступления
- Карта GeoIP: Визуальное представление откуда приходят атаки
- Записи сессий: Полные стенограммы SSH/Telnet-сессий, экспортируемые как MP4/GIF
- ИИ-сводки: Объяснения паттернов атак, сгенерированные Ollama понятным языком
- Статистика: Частота атак, популярные учётные данные, целевые сервисы
- Настройка оповещений: Настройте уведомления через Slack, Discord, email через Apprise
Использование HoneyAegis для тестов на проникновение
Вот тут становится интересно. Ваш honeypot — это безопасная цель для отработки наступательных техник.
Упражнение: атакуйте свой собственный honeypot
С Kali (нацеливаясь на внутренний IP Pi):
- Запустите nmap против Pi, чтобы увидеть открытые сервисы
- Попробуйте SSH brute force с Hydra
- Попробуйте SMB-перечисление
- Наблюдайте, как дашборд загорается в реальном времени
- Прочитайте ИИ-анализ вашей атаки
bash# Просканировать ваш honeypot
nmap -sV -p 22,23,445,21 192.168.1.50
# Brute force SSH (Cowrie принимает всё и логирует)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
# Подключиться вручную и осмотреться
ssh [email protected] -p 2222
# Попробуйте распространённые пароли - Cowrie их примет
# Проверьте дашборд - ваша сессия появится мгновенно
# Посмотрите, как ИИ объясняет то, что вы сделалиИнтеграция с The Hacker's Path:
- Часть 3 (Основы Kali): Используйте honeypot как цель для разведки
- Часть 4 (Эксплуатация): Практикуйте Metasploit против контролируемой среды
- Часть 5 (Полный аудит): Включите развёртывание honeypot как защитный компонент
А Home Assistant на том же Pi?
Короткий ответ: Не делайте этого.
⚠️ Держите honeypot изолированным
Ваш honeypot-сенсор намеренно открыт в интернет. Его будут атаковать — в этом весь смысл. Запуск Home Assistant на том же устройстве ставит ваше управление умным домом на расстоянии одного побега из контейнера от атакующих. Если что-то пойдёт не так, вы хотите, чтобы радиус поражения ограничивался поддельными сервисами, а не вашими настоящими замками и термостатом. Используйте отдельный Pi для Home Assistant.
Хорошая новость? Эти ~1,5 ГБ запаса не пропадают зря. У HoneyAegis есть место для роста.
Лучшее применение для ёмкости вашего Pi
Вместо того чтобы напихивать несвязанные сервисы на открытое устройство, используйте запас для более глубоких honeypot-возможностей:
Бюджет RAM Pi 5 4ГБ (Выделенный сенсор)
| Системные расходы | ~500 МБ |
|---|---|
| Cowrie (SSH/Telnet) | ~300 МБ |
| Dionaea (захват вредоносного ПО) | ~400 МБ |
| OpenCanary (мульти-сервис) | ~200 МБ |
| Vector (отправка логов) | ~100 МБ |
| Базовый итог | ~1,5 ГБ |
| Доступно для расширения | ~2,5 ГБ |
Дорожная карта: будет добавлено в HoneyAegis
Мы активно разрабатываем дополнительные модули сенсоров для проекта HoneyAegis на GitHub. Запланированные дополнения включают:
- Conpot (~200 МБ) — Honeypot промышленных систем управления. Эмулирует ПЛК и SCADA-системы.
- Mailoney (~100 МБ) — SMTP honeypot. Ловит спам-ботов и сборщиков учётных данных.
- Elasticpot (~150 МБ) — Elasticsearch honeypot. Ловит ботов, сканирующих открытые кластеры.
- ADBHoney (~100 МБ) — Android Debug Bridge honeypot. Обнаруживает атакующих, нацеленных на мобильные устройства.
- Honey-токены — Поддельные AWS-учётные данные и API-ключи, которые вызывают тревогу при использовании.
Архитектура создана для этого. HoneyAegis использует модульную структуру Docker Compose — каждый новый honeypot добавляется как контейнер, а Vector отправляет его логи в мозг. Поставьте звезду репозиторию, чтобы следить за разработкой, или создавайте свои модули.
Принцип: Пусть ваш honeypot-сенсор делает одну вещь хорошо — быть привлекательной, изолированной целью, которая поставляет разведданные в мозг. Запускайте Home Assistant на отдельном устройстве, где ему и место.
Дополнительное чтение: Операция «Умный дом» описывает выделенные установки Home Assistant, а Ваш WiFi может видеть, как вы двигаетесь объясняет WiFi-зондирование на отдельном оборудовании.
Устранение неполадок и обслуживание
bash# Просмотр логов (оба узла)
docker compose logs -f
docker compose logs -f service-name
# Перезапуск сервиса
docker compose restart cowrie
# Проверка потребления ресурсов контейнерами
docker stats
# Резервное копирование базы данных (на мозге)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
# Обновление HoneyAegis
git pull
docker compose pull
docker compose up -d
# Очистка старых данных об атаках (осторожно!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
"DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"Частые проблемы:
- Конфликты портов: Другой сервис занимает порты honeypot. Проверьте с помощью
netstat -tlnp - Несовместимость драйвера NVIDIA: Версия container toolkit должна соответствовать драйверу. Переустановите toolkit после обновления драйвера.
- Vector не отправляет логи: Проверьте
docker compose logs vector. Обычно проблема сети/файрвола между узлами. - Ollama медленный: Проверьте доступ к GPU с помощью
docker exec honeyaegis-ollama nvidia-smi
Что дальше
Теперь у вас есть работающая honeypot-сеть, генерирующая реальную разведку об угрозах. Вот как её развивать:
- Дайте поработать неделю. Вы удивитесь, как быстро появляются атаки — обычно в течение нескольких часов.
- Настройте «прилипчивость» honeypot. Сконфигурируйте Cowrie для эмуляции более реалистичной файловой системы, удерживая атакующих дольше.
- Добавьте honey-токены. Разместите поддельные учётные данные, которые вызывают мгновенную тревогу при использовании.
- Интегрируйте фиды угроз. Подключитесь к MISP или AbuseIPDB для обогащённого контекста об атакующих.
- Расширьте флот сенсоров. Разверните дополнительные Pi-сенсоры в разных точках выхода сети.
Коммерческие платформы берут 5 000 долларов в год, чтобы показать вам, что атакует вашу сеть. Вы только что построили ту же возможность за стоимость Pi и немного электричества. Атакующие приходят, следите вы или нет. Теперь вы следите.
Чек-лист развёртывания
☐ Pi 5: Статический IP назначен, Docker установлен, стек сенсора запущен
☐ Alienware: NVIDIA toolkit установлен, Docker работает, стек мозга развёрнут
☐ Ollama: Модель llama3.1:8b скачана, GPU-ускорение проверено
☐ Сеть: Проброс портов настроен (только порты honeypot!)
☐ Изоляция мозга: Подтверждено, что мозг НЕ имеет доступа в интернет
☐ Дашборд: Доступен по внутреннему IP, пароль администратора изменён
☐ Vector: Логи передаются от сенсора к мозгу
☐ Первая атака: Тест атакой собственного honeypot
☐ ИИ-анализ: Подтверждено, что Ollama генерирует сводки об угрозах
The Hacker's Path
Это руководство дополняет серию по безопасности.
Часть 1: Введение Часть 2: Мастерство Flipper Руководство HoneyAegis ✓ Часть 3: Основы Kali Часть 4: Эксплуатация
