Serbuntu

Honeypots (tarros de miel)

La seguridad siempre ha sido un punto alto en los sistemas *nix, eso no quiere decir que en equipos con UNIX, linux o sus variantes no sufran ataques, no solamente los sufren, si no que algunas veces tienen éxito debido a vulnerabilidades existentes, malas configuraciones o ataques internos.
Como he nombrado, honeypots (tarros de miel) no es mas que un sistema virtual que parece real, la intención  es atraer a los atacantes simulando ser sistemas débiles o con fallos de seguridad no del todo evidentes, pero si lo suficiente para atraerlos y ser un reto para sus habilidades de intrusión.
Los fines de este software pueden ser de dos tipos: “para investigación” en el cual se recolecta información sobre los movimientos de los intrusos y/o “para producción” para proteger a los verdaderos servidores y desviar la atención de los atacantes.

La ventaja de los honeypots es que no requieren de gran hardware y solamente registran datos cuando son accedidos (esto para el administrador del sistema es todo un alivio, ya que a veces se hace interminable y tedioso leer todos los registros de cada servicio). La desventaja es que solo podemos ver con los honeypots, ya que las actividades a las que estamos registrando son sobre este sistema y nada podemos hacer sobre sistemas vecinos.
En fin, dependiendo de la configuración podemos llegar a tener tres tipos de usos:
1) detectar ataques.
2) prevenir ataques.
3) responder a los ataques.
Vamos al grano y a los que a todos nos interesa, la instalación y configuración de honeypots en nuestro sistema (en mi caso, hablare de como hacerlo para ubuntu/kubuntu).
La prueba que vamos a realizar ahora es para la interfaz lookback (127.0.0.1) pero puedes hacerlo para la interfaz que más te convenga. Procedemos a instalar:

sudo apt-get install honeyd honeyd-common rrdtool (este último en ubuntu no hace falta instalarlo)

una vez instalado, debemos editar el archivo honeyd.conf la configuración por defecto para esta prueba la podemos copiar desde la web oficial, ya que debemos de modificar todo el archivo, yo os recomiendo lo siguiente para no escribir toda la configuración linea a linea, abrir kwrite como superusuario, y abrimos el archivo que se encuentra en el directorio /etc/honeypot/honeyd.conf borramos todo su contenido, y pegamos lo que sacamos de la url oficial quedándonos algo asi:

o desde la consola de la siguiente forma: sudo nano /etc/honeypot/honeyd.conf
de cualquier forma, guardamos el archivo y estamos listo para “hacer correr la miel” en nuestro sistema. 
Si os fijáis un poco en dicho archivo, veremos que existen unos apartados llamados “create”, esto no es mas que el supuesto router que el atacante se va a encontrar, el sistema operativo corriendo (en este caso  FreeBSD 2.2.1-STABLE) y que tenemos unos de los principales puertos abiertos (80, 23, 22 entre otros), cabe mencionar aquí que todo es configurable incluso, hasta se puede crear multiples s.o para diferentes ip’s. En la linea 26, justo entre el puerto 80 y el 22 agregamos esta linea para hacer una prueba con el puerto telnet, añadimos lo siguiente (add default tcp port 23 “perl /usr/share/honeyd/scripts/router-telnet.pl”) y lo guardamos.

Bien, ahora vamos a ejecutar el demonio con la red 10.0.0.0/8 en la interfaz lo

sudo route -n -add -net 10.0.0.0/8 lo (lookback) como veis en la imagen, dicha red (10.0.0.0/8) está definida en el archivo /etc/default/honeyd en el apartadado NETWORK.

y luego ejecutaremos sudo honeyd -d -p /etc/honeypot/nmap.prints -f /etc/honeypot/honeyd.conf -i lo 10.0.0.0/8
donde -d es por que no quiero que corra como demonio de fondo asi veo los mensajes en consola, -p y -f solamente dicen que use esos archivos para las huellas y la configuración. La imagen siguiente corresponde al comando mostrado recientemente:

una vez ejecutado el comando, deberemos de ver en nuestra consola algo asi:

para comprobar que todo esta corriendo a la perfección, podemos hacer un ping a nuestro supuesto sistema

Si has llegado hasta aquí, es que has configurado todo a la perfección, ahora vamos a hacer una prueba, por ejemplo, haremos un telnet al puerto 23, muy fácil:

telnet 10.3.0.10 23 y veremos que el scripts telnet simula ser el real a un telnet verdadero

otra prueba haciendo un escaneo de puertos con nmap

esto nos indica que Honeypots esta corriendo perfectamente en nuestro sistema, en la siguiente imagen veréis como después de haber intentado acceder por telnet, comienza a registrar y generar los logs

Con Ctrl + C paramos el demonio…
Nota: los diferentes scripts están configurados para escribir los resultados dentro del directorio /var/log/, quizás necesiten permisos de escritura si no lo estamos corriendo al demonio honeyd como root. Para dar permiso de escritura al directorio ejecutamos, sudo chmod 777 /var/log/ pero yo os recomiendo ejecutarlo como root antes de tocar permisos a estas carpetas.

Podemos configurar honeyd para ejecutar otros servicios como ssh, servidor web como apache o IIS, la instalación de honeyd instala muchos scripts en el directorio /usr/share/honeyd/scripts, alli podremos ver cual se ajusta a lo que queramos hacer y podremos editarlos para conseguir un comportamiento diferente. Incluso hay scripts para simular ataques de virus conocidos u otros sistemas operativos como he nombrado antes en el archivo de configuración principal.

Como expliqué durante todo el artículo, las pruebas realizadas están hechas en la interfaz lo (127.0.0.0), podéis modificar los archivos (/etc/honeypot/honeyd.conf y /etc/default/honeyd) y adaptarlo a vuestra tarjeta de red/red local LAN.

Honeyd, también disponible para Windows…

http://serbuntu.sytes.net está protegido bajo licencia Creative Commons Reconocimiento 3.0 España License

Esta entrada fue publicada el día Viernes, Abril 17th, 2009 a las 22:16 y se archiva en Linux, Noticias, Otros, Redes, Seguridad, Ubuntu, Windows. Puedes seguir esta entrada a través de RSS 2.0 feed y además dejar un comentario o enlazar a uno de tus post.