Beruflich Dokumente
Kultur Dokumente
LVARO PAZ.
Tarros de miel.
En este post no voy hablar de apicultura, aunque el titulo se acerque mucho a este mundo, voy hacer una pequea introduccin de los Honeypots, y recomendar algn software Honeypots y documentacin para iniciarse en este tema. Los Honeypots como su traduccin al castellano indica son tarros de miel para atraer abe!as", pero en el terreno de la seguridad inform#tica, son servidores $tarros de miel% que emulan tener muchas vulnerabilidades para atraer ataques inform#ticos $abe!as% y registrarlos para su posterior estudio. Los Honeypots se usan sobre todo para estudiar ataques en una red. Los tarros de miel son tambi&n muy usados para la deteccin temprana de ataques. 'ero hay que tener bien claro que un Honeypot no se puede usar como elemento de proteccin contra ataques. Los tarros de miel se deben usar con mucha precaucin en redes empresariales debido a que sus caracter(sticas $atraer atacantes% pueden poner en peligro la red, cuando el Honeypot es tomado por el atacante, puede ser usado para comprometer la seguridad de otros elementos de la red o para atacar otros sistemas fuera de la red, como por e!emplo) envi masivo de spam, ataques de denegacin de servicio... 'ara iniciarse en este tema recomiendo dos Honeypots gratuitos para *indows muy f#ciles de usar) +ultipot y Honeyboot. 'ara los que quieran profundi,ar en el tema, les de!o documentacin muy interesante $en ingles% y una recomendacin el honeypot -epenthes para Linu.. +ultipot para *indows) http)//labs.idefense.com/software/malcode.php0more1multipot Honeybot para *indows) http)//www.atomicsoftwaresolutions.com/honeybot.php -epenthes para Linu.) http)//nepenthes.mwcollect.org/ 2oftware Honeypot de honeypots.net") http)//www.honeypots.net/honeypots/products 3mplia documentacin sobre Honeypots de honeypots.net") http)//www.honeypots.net/honeypots/lin4s 5nfocus) 6efeating Honeypots) 2ystem 5ssues, 'art 7 http)//www.securityfocus.com/infocus/789: 5nfocus) 6efeating Honeypots) 2ystem 5ssues, 'art 9 http)//www.securityfocus.com/infocus/7898
/proc/sys/net/ipvB/conf/all/send1redirects" para enviarlos. =ambi&n se recomienda hacer copias de seguridad ya que modificar estos par#metros puede afectar a la conectividad del sistema. Utilizar sistemas operativos virtuales. La siguiente t&cnica no nos permite ocultar o cambiar completamente nuestro 2;, pero nos va permitir ocultarlo en aspectos concretos de cone.iones. Esta idea est# siendo aplicada en el tema de los honeypots y consiste en hacer creer a los atacantes que hay m#quinas de un 2; espec(fico $el virtual% y ocultar tu 2; real para atraerlos. La herramienta que emplearemos es honeyd, de -iels 'rovos. Cna de sus grandes caracter(sticas es que podemos asignar a cada una de nuestros dispositivos virtuales el 2; que queramos. Esa personalidad tambi&n se especifica con un fichero normal de firmas de 2; de -map, permiti&ndonos convertirnos en el 2; que queramos. Cn e!emplo practico) =enemos un servidor Linu. que queremos que responda como) si fuera 2istema 2olaris si se intenta conectar un *indows con el, que es un *indows 9DDD server 2'9 si se conectan desde un rango de 5p asignado y que es un router si se conectan a determinadas horas desde 79)DDam a F)DDam. En primer lugar instalamos honeyd, y despu&s configuramos el archivo honeyd.conf) El servidor tiene la ip 7G9.7:8.7.7DD. 3rchivo honeyd.conf) 00000 Honeyd >onfiguration <ile 00000
000 000 2tart with default template. 5f you donHt assign specifc 000 behavior to a specific 5' address, Honeyd defaults to the 000 HdefaultH template. Iou must have a template with the name 000 HdefaultH. 000 6efault =emplate create default 0 2et default behavior set default personality J*indows -=B / *inGF / *inG8J set default default tcp action reset set default default udp action reset set default default icmp action open
0 3dd specific services add default tcp port 7KG open add default tcp port 7KL open add default udp port 7KL open add default udp port 7KF open 000 *e now have the rest of our templates and honeypot behavior 000 000 'ort Mehavior 000 =>' $default is ;pen% 000 N ;pen) Aespond with 2yn/3c4, establish connection 000 N Mloc4) 6rop pac4et and do not reply 000 N Aeset) Aespond with A2= 000 N =arpit) 2tic4y connection 000 000 C6' $default is >losed% 000 N ;pen) -o response 000 N Mloc4) 6rop pac4et and do not reply 000 N Aeset) Aespond with 5>+' port error message 000 000 5>+' $default is ;pen% 000 N ;pen) Aeply to 5>+' pac4ets 000 N Mloc4) 6rop pac4et and do not reply 000 000 =arpit =emplate 000 5nsecure and open +ac bo. designed to tarpit worms/autorooters 000 2olaris 2pam Aelay create relay set relay personality J2olaris 9.: N 9.LJ set relay default tcp action reset set relay default udp action reset add relay tcp port 9F Jperl scripts/uni./general/smtp.plJ add relay tcp port 777Jperl scripts/uni./general/rpc/bportmapd NNproto tcp NNhost scripts/uni./general/rpc/hosts/solarisN9.L NNsrcip Oipsrc NNdstip Oipdst NNsrcport Osrcport NNdstport Odport NNlogfile /var/log/honeyd NNlogallJ add relay tcp port 8D8D Jperl scripts/uni./general/pro.y.plJ add relay udp port 777Jperl scripts/uni./general/rpc/bportmapd NNproto udp NNhost scripts/uni./general/rpc/hosts/solarisN9.L NNsrcip Oipsrc NNdstip Oipdst NNsrcport Osrcport NNdstport Odport NNlogfile /var/log/honeyd NNlogallJ bind 7G9.7:8.7.79D relay 000 2tandard *indows 9DDD computer
create win94 set win94 personality J*indows 9DDD server 2'9J set win94 default tcp action reset set win94 default udp action reset set win94 default icmp action bloc4 set win94 uptime KF:L set win94 droprate in 7K add win94 tcp port 97 Jsh scripts/winK9/win94/msftp.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 9F Jsh scripts/winK9/win94/e.changeNsmtp.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 8D Jsh scripts/winK9/win94/iis.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 77D Jsh scripts/winK9/win94/e.changeNpopK.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port 7BK Jsh scripts/winK9/win94/e.changeNimap.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port K8G Jsh scripts/winK9/win94/ldap.sh Oipsrc Osport Oipdst OdportJ add win94 tcp port FGD7 Jsh scripts/winK9/win94/vnc.sh Oipsrc Osport Oipdst OdportJ add win94 udp port 7:7 Jperl scripts/uni./general/snmp/fa4eNsnmp.pl public private NNconfigPscripts/uni./generalJ 0 =his will redirect incomming windowsNfilesharing bac4 to the source add win94 udp port 7KL pro.y Oipsrc)7KL add win94 udp port 7K8 pro.y Oipsrc)7K8 add win94 udp port BBF pro.y Oipsrc)BBF add win94 tcp port 7KL pro.y Oipsrc)7KL add win94 tcp port 7K8 pro.y Oipsrc)7K8 add win94 tcp port 7KG pro.y Oipsrc)7KG add win94 tcp port BBF pro.y Oipsrc)BBF bind 7G9.7:8.7.7KD win94
000 >isco router create router set router personality J>isco 5;2 79.7$F%N79.9$7%J set router default tcp action reset set router default udp action reset set router uid K9L:L gid K9L:L set router uptime 7K9L:FD add router tcp port 9K Jperl scripts/router/cisco/routerNtelnet.plJ add router tcp port 8D open add router udp port 7:7 Jperl scripts/uni./general/snmp/fa4eNsnmp.pl public private NNconfigPscripts/uni./generalJ bind 7G9.7:8.7.9FB router 000 000 *e now have our dynamic template, which creates different 000 virtual honeypots based on the attac4er, including ;2. Honeyd 000 has passive fingerprinting capabilities built into it. Iou
000 can see which ;2 types it can passively fingerprint in the 000 file pf.os. 000 000 -;=E) Iou can ma4e the dynamic template your default template 000 with Hdynamic defaultH. 3lso, the dynamic template must 000 go after all the other templates it is using, as such 000 the dynamic template should go last. 000 000 6ynamic honeypot dynamic magichost add magichost use relay if source os P JwindowsJ add magichost use win94 if source ip P 7G9.7:8.7.D/98 add magichost use router if time between 79)DDam N F)DDam bind 7G9.7:8.7.7DD routerone E.isten mas configuracin y documentacin en la pagina web del proyecto honeyd.
+odificar los valores =>'/5' en ambos sistemas operativos puede tener problemas de conectividad y no funcionar algunos servicios, si se quiere reali,ar esta t&cnica se necesita probar que los servicios que se ofrecen funcionan al hacer las modifcaciones, adem#s no garanti,a que no sean detectados. Csar honeyd dentro de sus limitaciones es la me!or opcin y camufla perfectamente el sistema. +#s informacin y descarga de honeyd) http)//www.honeyd.org/
Este honeypot no solo nos puede servir de estudio de ataques que puede sufrir una red industrial, aplicando las cualidades de Honeyd nos permite utili,arlo como t&cnica de camufla!e ante ataques de <ingerprinting. Ia que entre las opciones de Honeyd es posible configurar que solo responda a un rango de 5' determinado o que responda en una fran!a horaria concreta. +#s informacin y descarga de 2>363 Honey-et 'ro!ect) http)//scadahoneynet.sourceforge.net/ E!emplo de simulacin de un 'L>) http)//scadahoneynet.sourceforge.net/plc.html +odulo py2erial escrito en python de simulacin de A2N9K9/B8F) http)//pyserial.sourceforge.net/
3dicionalmente incluye scripts y utilidades preNconfigurados, tiles para anali,ar, visuali,ar y procesar los datos capturados como) ?ippoNUraph, HoneydNSi, y muchos m#s. 'or ltimo, muchos otros tiles de seguridad, inform#tica forense y herramientas relacionados con el malware tambi&n est#n presentes en la distribucin.
>aracter(sticas) 6istribuido en un solo archivo ;S3, listo para ser importado. L3+' completo instalado $3pache 9 y +y2VL F%, adem#s de herramientas como php+y3dmin. ?ippo 22H honeypot, adem#s ?ippo NUraph, ?ippo9+y2VL y otros scripts tiles. 6ionaea honeypot malware, adem#s 6ionaea<A y otros scripts. Honeypot de malware 3mn y scripts. Honeypot ?o!oney 22H y scripts. Honeypot web Ulastopf, !unto con *ordpot *ord'ress honeypot. Honeyd, adem#s Honeyd9+y2VL, HoneydNSi, y otras secuencias de comandos tiles. LaMrea honeypot, Honeypot =iny, emulador 552 y 5-et2im. Honeyclient =hug para el an#lisis de los ataques de lado cliente, !unto con el colector de malware mwcrawler. Cn paquete completo de seguridad, herramientas forenses y herramientas antiNmalware para la monitori,acin de la red, cdigo shell malicioso y an#lisis de '6<, como ntop, pDf, Ether3pe, nmap, 6<<, *ireshar4, >lam3S, ettercap, 3utomater, C'T, pdft4, <lasm, pdfN parser, 'yew y de.9!ar. 'lugins de <irefo. preinstalados, adem#s de software adicional til, como U'arted, =erminator, 3dminer, SI+ y Tpdf. Cna ve, descargado el archivo, simplemente hay que importar la maquina virtual $el software sugerido para su uso) ;racle S+ SirtualMo.%. =ambi&n es posible utili,a Honey6rive en productos de S+ware $Estaciones de traba!o, E2Ti , etc% siguiendo esta instrucciones) >onfiguracin Honey6rive en S+ware". +#s informacin y descarga Honey6rive) http)//sourceforge.net/pro!ects/honeydrive/