Cowrie est un pot de miel SSH à haute interaction qui permet de se connecter à une machine fictive en utilisant le protocole SSH…

Pour réaliser ce TP, travailler en binôme : la machine A présente le pot de miel, la machine B est sous le contrôle d’un acteur de la menace. À la fin du TP, inverser les rôles et recommencer.

1. Sur la machine A, arrêter tous les services réseau, nettoyer les règles de filtrage.
2. Lister les services à l’écoute (ss -lnutp)
3. Depuis la machine B, scanner le port 2222.

1. Installer cowrie (cf documentation)
   1. Installer les dépendances
   2. Créer un utilisateur cowrie sans mot de passe
   3. Utiliser ce compte pour la suite des opérations
   4. Cloner le dépôt
   5. Dans le dossier, créer un environnement Python
   6. Activer cet environnement
   7. Mettre à jour l’installeur de paquetages Python
   8. Installer les dépendances de l’application
   9. Copier le fichier de configuration par défaut

1. Configurer cowrie :
   1. Parcourir le fichier
   2. Changer le nom d’hôte (celui par défaut peut être un indicateur pour les acteurs de la menace)
   3. Examiner la section [backend_pool]. Que pouvez-vous en déduire ?
   4. Examiner la section [ssh]. Sur quel port le service écoute-t-il ?
   5. Examiner les sections [output_*]. Relever lesquelles sont activées.
2. Démarrer cowrie
3. Vérifier l’ouverture du port

1. Depuis la machine B :
   1. Scanner le port et déterminer la version du service
   2. Se connecter en tant que root
   3. Vérifier l’adresse IP
   4. Lancer nmap
   5. Installer nmap (apt-get)
   6. Lancer nmap
   7. Parcourir le système de fichiers, lancer des commandes…
2. Sur la machine A, dans le répertoire du code, examiner les journaux.
3. Effectuer une critique du dispositif.

1. Rappel : Depuis internet, le port 22 d’une machine virtuelle est accessible depuis l’un des ports à partir de 6200 et le port 1337 depuis l’un des ports à partir de 6500.
2. Mettre en place une règle iptables pour rediriger l’un de ces deux ports vers le pot de miel.

À titre d’exemple, voici le script utilisé sur vdi.unicaen.fr :

#!/bin/bash

echo "Scan ARP du réseau local pour récupérer la correspondance adresse MAC/adresse IP"
iptables -t nat -F PREROUTING
nmap -sn -PR 192.168.144.0/24 -oG -
echo

machines=$(virsh list | grep -e recap -e CentOS | tr -s ' ' | cut -d ' ' -f3)

for dom in $machines
do
  mac=$(virsh dumpxml $dom | grep 'mac address' | cut -d"'" -f2)
  i=$(arp | grep $mac | cut -d' ' -f1 | cut -d. -f4)
  echo "Machine $machine, adresse MAC $mac, adresse IP 192.168.144.$i — Mise en place des redirections vers les ports 22 et 1337"
  iptables -t nat -I PREROUTING -p TCP --dport $((6200+i)) -j DNAT --to-destination 192.168.144.$i:22
  iptables -t nat -I PREROUTING -p TCP --dport $((6500+i)) -j DNAT --to-destination 192.168.144.$i:1337
done
echo

iptables -t nat -nvL PREROUTING

3. Vérifier que le pot de miel est bien accessible depuis internet. Les nombreuses utilisations que cela va occasionner seront utiles pour le TP suivant.