Toleo lililotafsiriwa: HoneyAegis: Build Your Own AI-Powered Honeypot Network

The Hacker's Path: Mwongozo wa Ziada

Makala hii inaambatana na Sehemu ya 1: Utangulizi na Sehemu ya 2: Ustadi wa Flipper. Umejifunza mashambulizi. Sasa jenga ulinzi wako.

Mwezi uliopita nilichunguza bei za majukwaa ya kibiashara ya honeypot. Thinkst Canary inataka dola 5,000 kwa mwaka kwa vifaa vitano. Wachuuzi wengine wanatoza kwa kila sensor, kwa mwezi, na data yako ya vitisho inapita kwanza kupitia miundombinu yao. Wanaona washambuliaji wako kabla yako.

Hiyo ni wazimu.

Honeypot ni mfumo wa kudanganya ulioundwa kushambuliwa. Unaweka huduma za bandia (SSH, SMB, FTP) na kuangalia kinachoendelea. Washambuliaji wanafikiri wanaingia kwenye seva halisi, lakini kwa kweli wanakupa ujuzi kuhusu zana zao, mbinu na malengo. Hii ni ulinzi wa mashambulizi.

Dhana ni rahisi. Utekelezaji haupaswi kugharimu mkopo wa nyumba.

Kwa hivyo tulijenga HoneyAegis: jukwaa la honeypot linalohostiiwa mwenyewe, la asili ya Docker, lenye uchambuzi wa AI wa ndani. Raspberry Pi 5 inaendesha sensorer. Kompyuta ya zamani ya Alienware inaendesha ubongo. Kila kitu kinabaki kwenye mtandao wako. Hakuna wingu. Hakuna usajili. Hakuna mchuuzi anayeona data yako ya vitisho kabla yako.

Weka ndani mchana mmoja. Miliki kila kitu milele.

Honeypot ni nini?

Kabla ya kujenga, tufafanue tunachojenga.

Honeypot ni mfumo ulio na udhaifu wa makusudi uliowekwa kuvutia washambuliaji. Unaonekana halisi kiasi cha kudanganya scanners za kiotomatiki na hackers wenye udadisi, lakini ni bandia kabisa. Hakuna data halisi, hakuna watumiaji halisi, hakuna huduma halisi, ni huduma zinazoigwa tu ambazo zinarekoodi kila kitu.

Kwa nini ungependa moja?

• Onyo la mapema: Washambuliaji wanapiga honeypot yako kabla ya mifumo yako halisi. Unawaona wakija.
• Ujuzi wa vitisho: Jifunze zana gani wanatumia, nywila gani wanajaribu, wanatafuta nini.
• Mifumo ya mashambulizi: Jenga hifadhidata ya mbinu mahususi kwa mtandao wako.
• Mafunzo: Angalia mashambulizi halisi yakitokea. Bora kuliko simulesheni yoyote.
• Majaribio ya kupenya: Lengo salama kwa mazoezi yako ya mashambulizi.

HoneyAegis inaigia nini

Cowrie: SSH na Telnet honeypot. Inarekodi maandishi kamili ya vikao, inakamata nywila, inalogi amri.

Dionaea: Inakamata malware. Inaigia SMB, FTP, HTTP na huduma nyingine. Inahifadhi payloads kwa uchambuzi.

OpenCanary: Honeypot ya huduma nyingi. Inaigia Windows shares, MySQL, SSH na zaidi. Inaweza kusanidiwa sana.

Usanifu wa nodi mbili

HoneyAegis inatumia mgawanyiko wa makusudi: sensor inakabiliana na intaneti, ubongo unabaki umelindwa.

Intaneti ──► Router (port forwarding) ──► Pi 5 SENSOR
                                           │
                                           │ Vector (logi)
                                           ▼
Mtandao wa ndani ◄──────► Alienware UBONGO
                              │
                              ├── PostgreSQL + TimescaleDB
                              ├── FastAPI Backend
                              ├── Ollama (AI ya ndani)
                              ├── Next.js Dashboard
                              └── Redis + Celery

Kwa nini kuzitenga?

Sensor imewekwa wazi kwa makusudi. Itashambuliwa. Hiyo ndiyo kusudi zima. Ikiwa kitu kitaenda vibaya sana, ikiwa mshambuliaji atatoroka kutoka kwenye vyombo vya honeypot, Pi ni kifaa cha dola 60 ambacho hakina kitu isipokuwa mitego. Futa. Weka tena. Dakika thelathini.

Ubongo una kila kitu chenye thamani: hifadhidata yako, dashibodi, uchambuzi wa AI, data ya kihistoria ya mashambulizi. Haigusi intaneti kamwe. Inakaa kwenye mtandao wako wa ndani, ikipokea logi kutoka kwa sensor kupitia njia salama.

⚠️ Ubongo haupaswi kamwe kukabiliana na intaneti

Kupeleka port kwenye ubongo ni kuathiriwa papo hapo. Ubongo una hifadhidata yako ya PostgreSQL, API, dashibodi. Kuiweka wazi ni kumwalika mshambuliaji kwenye miundombinu yako halisi. Sensor peke yake ndiyo inayopata port forwarding. Port za honeypot tu. Hakuna kingine.

Usanidi wa vifaa

Hivi ndivyo tunavyoendesha. Hii si usanidi pekee unaofaa, ni mpangilio wetu bora kwa kutumia vifaa tulivyokuwa navyo tayari.

NODI 1 — SENSOR (Raspberry Pi 5 4GB)

NODI 2 — UBONGO (Alienware 15 R3)

Kwa nini GTX 1070?

AI ya ndani inahitaji kuharakishwa na GPU ili iwe na manufaa. GTX 1070 ina 8GB VRAM, inatosha kuendesha Ollama na llama3.1:8b kwa urahisi. Hii inakupa muhtasari wa vitisho unaotolewa na AI bila kutuma data kwa OpenAI au Anthropic. AI inaeleza washambuliaji wanafanya nini kwa lugha rahisi, yote kwenye vifaa vyako.

Mwongozo wa hatua kwa hatua: Sensor ya Pi 5

Tuijenge kutoka mwanzo. Tunaanza na sensor, Pi 5 inayokabiliana na intaneti.

Awamu ya 1: Kuweka sensor ya Raspberry Pi 5

Muda: Dakika 45

Mahitaji ya awali: Raspberry Pi 5 (4GB), kadi ya microSD au NVMe HAT, kifaa cha umeme, kebo ya Ethernet, kompyuta nyingine yenye SSH

1.1 Flash Raspberry Pi OS

Pakua Raspberry Pi Imager kwenye kompyuta yako. Ingiza kadi yako ya microSD.

# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
#    - Set hostname: honeypot-sensor
#    - Enable SSH with password authentication
#    - Set username/password (not pi/raspberry)
#    - Configure WiFi if needed (but use Ethernet)
# 5. Write the image

Ingiza kadi kwenye Pi 5, unganisha Ethernet na uwashe.

1.2 Usanidi wa awali

Unganisha kwa SSH kwenye Pi yako:

bash# Kutoka kwenye kompyuta yako
ssh [email protected]

# Sasisha kila kitu
sudo apt update && sudo apt upgrade -y

# Sakinisha zana muhimu
sudo apt install -y git curl vim htop

1.3 Weka IP thabiti

Pi yako inahitaji IP inayotabirika kwa port forwarding. Badilisha anwani za IP kulingana na mpangilio wa mtandao wako:

bash# Angalia jina la unganisho lako la sasa
nmcli con show

# Weka IP thabiti (rekebisha kwa mtandao wako)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"

# Thibitisha
ip addr show eth0

1.4 Sakinisha Docker

bash# Sakinisha Docker kwa script ya urahisi
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh

# Ongeza mtumiaji wako kwenye kundi la docker
sudo usermod -aG docker $USER

# Sakinisha plugin ya Docker Compose
sudo apt install -y docker-compose-plugin

# Toka na ingia tena kwa mabadiliko ya kundi
exit

# Unganisha tena kwa SSH, kisha thibitisha
docker --version
docker compose version

1.5 Weka sensor ya HoneyAegis

bash# Nakili hifadhi
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis

# Nakili kiolezo cha mazingira
cp .env.example .env

# Hariri usanidi
nano .env

Katika faili ya .env, weka thamani hizi:

bash# Usanidi wa sensor
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100  # IP ya Alienware yako
SENSOR_NAME=pi5-sensor-01

Weka stack ya sensor:

bash# Anza huduma za sensor
docker compose --profile sensor up -d

# Angalia vyombo vikianza
docker ps
# Vyombo vinavyotarajiwa:
# - honeyaegis-cowrie (SSH/Telnet honeypot)
# - honeyaegis-dionaea (kukamata malware)
# - honeyaegis-opencanary (huduma nyingi)
# - honeyaegis-vector (kusafirisha logi)

# Angalia logi kuhakikisha kila kitu kinafanya kazi
docker compose logs -f

Mwongozo wa hatua kwa hatua: Ubongo wa Alienware

Sasa ubongo, nodi iliyolindwa inayosindika kila kitu.

Awamu ya 2: Kuweka ubongo wa Alienware

Muda: Dakika 30

Mahitaji ya awali: Kali Linux imesanikishwa, NVIDIA drivers zimesanidiwa, imeunganishwa kwenye mtandao uleule na Pi

2.1 Thibitisha Kali na NVIDIA

bash# Angalia toleo la Kali
cat /etc/os-release

# Thibitisha NVIDIA driver inafanya kazi
nvidia-smi
# Unapaswa kuona:
# - Toleo la driver (535+ inapendekezwa)
# - GTX 1070 na ~8GB VRAM
# - Toleo la CUDA

2.2 Sakinisha Docker kwenye Kali

bash# Sasisha na sakinisha Docker
sudo apt update
sudo apt install -y docker.io docker-compose-v2

# Wezesha na anza Docker
sudo systemctl enable docker
sudo systemctl start docker

# Ongeza mtumiaji kwenye kundi la docker
sudo usermod -aG docker $USER

# Toka na ingia tena, kisha thibitisha
docker --version
docker compose version

2.3 Sakinisha NVIDIA Container Toolkit

Hii inaruhusu vyombo vya Docker kufikia GPU yako, inahitajika kwa Ollama:

bash# Ongeza hifadhi ya NVIDIA container toolkit
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
  sudo tee /etc/apt/sources.list.d/nvidia-docker.list

# Sakinisha toolkit
sudo apt update
sudo apt install -y nvidia-container-toolkit

# Sanidi Docker kutumia NVIDIA runtime
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker

# Jaribu ufikiaji wa GPU katika chombo
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi

2.4 Weka ubongo wa HoneyAegis

bash# Nakili hifadhi
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis

# Nakili kiolezo cha mazingira
cp .env.example .env

# Hariri usanidi
nano .env

Sanidi ubongo:

bash# Usanidi wa ubongo
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-password

Weka:

bash# Anza stack kamili ya ubongo
docker compose --profile brain up -d

# Uanzishaji wa kwanza huchukua dakika chache
# Angalia maendeleo:
docker compose logs -f

# Vyombo vikishaanza, pakua modeli ya AI
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# Kupakua ~4.7GB - inachukua dakika chache

# Thibitisha vyombo vyote
docker ps
# Vyombo vinavyotarajiwa:
# - honeyaegis-fastapi (API backend)
# - honeyaegis-postgres (hifadhidata)
# - honeyaegis-redis (cache/foleni)
# - honeyaegis-celery (wafanyakazi wa nyuma)
# - honeyaegis-ollama (AI ya ndani)
# - honeyaegis-nextjs (dashibodi)
# - honeyaegis-traefik (reverse proxy)

Usanidi wa mtandao

Hapa ndipo watu wanapokosea. Soma kwa makini.

⚠️ Kanuni za port forwarding

Peleka port hizi TU kwenye sensor ya Pi:

KAMWE usipeleke hizi:

• Port 3000 (Dashibodi)
• Port 8000 (API)
• Port 5432 (PostgreSQL)
• Port 6379 (Redis)
• Port yoyote kwenda Alienware

Ingia kwenye router yako na usanidi port forwarding kwenye IP thabiti ya Pi (192.168.1.50 katika mfano wetu). Huduma za honeypot zinaendesha kwenye port za juu ndani, lakini washambuliaji wanaziona kwenye port za kawaida nje.

Kufikia dashibodi

Kutoka kwenye kompyuta yoyote kwenye mtandao wako wa ndani:

bash# Fungua kwenye kivinjari:
http://192.168.1.100:3000

# Nywila za chaguo-msingi (badilisha mara moja!):
# Jina la mtumiaji: admin
# Nywila: (ulichoweka katika ADMIN_PASSWORD)

Utakachokiona:

• Mtiririko wa mashambulizi wa wakati halisi: Mtiririko wa moja kwa moja wa mashambulizi yanayoingia
• Ramani ya GeoIP: Uwakilishi wa kuona mahali mashambulizi yanapotoka
• Rekodi za vikao: Maandishi kamili ya vikao vya SSH/Telnet, yanayoweza kuhamishwa kama MP4/GIF
• Muhtasari wa AI: Maelezo ya mifumo ya mashambulizi yanayotolewa na Ollama kwa lugha rahisi
• Takwimu: Marudio ya mashambulizi, nywila za kawaida, huduma zinazolengwa
• Usanidi wa tahadhari: Sanidi arifa za Slack, Discord, barua pepe kupitia Apprise

Kutumia HoneyAegis kwa majaribio ya kupenya

Hapa ndipo inakuwa ya kufurahisha. Honeypot yako ni lengo salama la kufanya mazoezi ya mbinu za mashambulizi.

Zoezi: Shambulia honeypot yako mwenyewe

Kutoka Kali (ukilenga IP ya ndani ya Pi):

1. Endesha nmap dhidi ya Pi kuona huduma zilizofunuliwa
2. Jaribu SSH brute force na Hydra
3. Jaribu SMB enumeration
4. Angalia dashibodi ikiangaza kwa wakati halisi
5. Soma uchambuzi wa AI wa shambulio lako

bash# Changanua honeypot yako
nmap -sV -p 22,23,445,21 192.168.1.50

# SSH brute force (Cowrie inakubali kila kitu na kulirekodi)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222

# Unganisha kwa mikono na chunguza
ssh [email protected] -p 2222
# Jaribu nywila za kawaida - Cowrie inazikubali

# Angalia dashibodi - kikao chako kinaonekana papo hapo
# Angalia AI ikieleza ulichofanya

Muunganisho na The Hacker's Path:

• Sehemu ya 3 (Misingi ya Kali): Tumia honeypot yako kama lengo la upelelezi
• Sehemu ya 4 (Unyonyaji): Fanya mazoezi ya Metasploit dhidi ya mazingira yako yaliyodhibitiwa
• Sehemu ya 5 (Ukaguzi kamili): Jumuisha uwekaji wa honeypot kama sehemu ya ulinzi

Vipi kuhusu Home Assistant kwenye Pi hiyo hiyo?

Jibu fupi: Usifanye hivyo.

⚠️ Weka honeypot yako peke yake

Sensor yako ya honeypot imefunuliwa kwa makusudi kwenye intaneti. Itashambuliwa, hiyo ndiyo kusudi zima. Kuendesha Home Assistant kwenye kifaa hicho hicho kunaweka udhibiti wa nyumba yako ya akili umbali wa kutoroka kwa chombo kimoja tu kutoka kwa washambuliaji. Ikiwa kitu kitaenda vibaya, unataka eneo la mlipuko liwe kwenye huduma za bandia, si kufuli zako halisi na thermostat. Tumia Pi tofauti kwa Home Assistant.

Habari njema? ~1.5 GB hiyo ya nafasi haiendi bure. HoneyAegis ina nafasi ya kukua.

Matumizi bora ya uwezo wa Pi yako

Badala ya kukusanya huduma zisizohusiana kwenye kifaa kilichofunuliwa, tumia nafasi hiyo kwa uwezo wa kina zaidi wa honeypot:

Bajeti ya RAM ya Pi 5 4GB (Sensor iliyojitolea)

Ramani ya baadaye: Inakuja kwa HoneyAegis

Tunatengeneza kwa bidii moduli za ziada za sensor kwa mradi wa HoneyAegis GitHub. Nyongeza zilizopangwa ni pamoja na:

• Conpot (~200 MB) — Honeypot ya mifumo ya udhibiti wa viwanda. Inaigia PLC na mifumo ya SCADA.
• Mailoney (~100 MB) — SMTP honeypot. Inakamata spam bots na wakusanyaji wa nywila.
• Elasticpot (~150 MB) — Elasticsearch honeypot. Inakamata bots zinazochunguza clusters zilizofunuliwa.
• ADBHoney (~100 MB) — Android Debug Bridge honeypot. Inagundua washambuliaji wanaolenga simu za mkononi.
• Honey tokens — Nywila za bandia za AWS na funguo za API zinazosababisha tahadhari zinapotumika.

Usanifu umejengwa kwa hili. HoneyAegis inatumia muundo wa Docker Compose unaoweza kupanuliwa, kila honeypot mpya inaingia kama chombo na Vector ikituma logi zake kwenye ubongo. Weka nyota kwenye repo kufuatilia maendeleo, au changia moduli zako mwenyewe.

Kanuni: Acha sensor yako ya honeypot ifanye kitu kimoja vizuri: kuwa lengo la kuvutia, lililotengwa ambalo linapeleka ujuzi kwenye ubongo wako. Endesha Home Assistant kwenye kifaa tofauti ambapo inastahili kuwa.

Usomaji unaohusiana: Operesheni Smart Home inashughulikia mipangilio ya Home Assistant iliyojitolea, na WiFi yako inaweza kukuona ukisogea inaelezea WiFi sensing kwenye vifaa vyake.

Utatuzi wa matatizo na matengenezo

bash# Angalia logi (nodi zote mbili)
docker compose logs -f
docker compose logs -f service-name

# Anzisha tena huduma
docker compose restart cowrie

# Angalia matumizi ya rasilimali za vyombo
docker stats

# Hifadhi nakala ya hifadhidata (kwenye ubongo)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql

# Sasisha HoneyAegis
git pull
docker compose pull
docker compose up -d

# Futa data ya zamani ya mashambulizi (tahadhari!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
  "DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"

Matatizo ya kawaida:

• Migogoro ya port: Huduma nyingine inatumia port za honeypot. Angalia na netstat -tlnp
• Kutofanana kwa NVIDIA driver: Toleo la container toolkit lazima lilingane na driver. Sakinisha tena toolkit baada ya kusasisha driver.
• Vector haitumi logi: Angalia docker compose logs vector. Kawaida ni tatizo la mtandao/firewall kati ya nodi.
• Ollama polepole: Thibitisha ufikiaji wa GPU na docker exec honeyaegis-ollama nvidia-smi

Kinachofuata

Sasa una mtandao wa honeypot wa uzalishaji unaozalisha ujuzi halisi wa vitisho. Hivi ndivyo unavyoiendeleza:

• Acha iendeshe kwa wiki moja. Utashangaa jinsi mashambulizi yanavyoonekana haraka, kawaida ndani ya masaa.
• Rekebisha "ugumu" wa honeypot. Sanidi Cowrie kuigia mfumo wa faili wa kweli zaidi, ukiwashikilia washambuliaji kwa muda mrefu.
• Ongeza honey tokens. Weka nywila za bandia zinazosababisha tahadhari papo hapo zinapotumika.
• Unganisha mtiririko wa vitisho. Unganisha na MISP au AbuseIPDB kwa muktadha wa kina wa washambuliaji.
• Panua meli yako ya sensor. Weka sensor za ziada za Pi kwenye sehemu tofauti za kutoka za mtandao.

Majukwaa ya kibiashara yanatoza dola 5,000 kwa mwaka kukuonyesha kinachoshambulia mtandao wako. Umejenga uwezo huo huo kwa gharama ya Pi na umeme kidogo. Washambuliaji wanakuja iwe unawaangalia au la. Sasa unawaangalia.

Orodha ya ukaguzi wa kuweka

☐ Pi 5: IP thabiti imetolewa, Docker imesanikishwa, sensor stack inaendesha

☐ Alienware: NVIDIA toolkit imesanikishwa, Docker inaendesha, brain stack imewekwa

☐ Ollama: Modeli ya llama3.1:8b imepakuliwa, kuharakishwa kwa GPU kumethibitishwa

☐ Mtandao: Port forwarding imesanidiwa (port za honeypot tu!)

☐ Kutengwa kwa ubongo: Kuthibitishwa kuwa ubongo HAUNA ufikiaji wa intaneti

☐ Dashibodi: Inapatikana kwenye IP ya ndani, nywila ya admin imebadilishwa

☐ Vector: Logi zinatiririka kutoka sensor hadi ubongo

☐ Shambulio la kwanza: Jaribio kwa kushambulia honeypot yako mwenyewe

☐ Uchambuzi wa AI: Kuthibitishwa kuwa Ollama inazalisha muhtasari wa vitisho

The Hacker's Path

Mwongozo huu unaambatana na mfululizo wa usalama.

Sehemu ya 1: Utangulizi Sehemu ya 2: Ustadi wa Flipper Mwongozo wa HoneyAegis ✓ Sehemu ya 3: Misingi ya Kali Sehemu ya 4: Unyonyaji