SEGURIDAD PERIMETRAL

Laboratorio 04
HONEYPOT

Tecsup

HONEYPOT LINUX
OBJETIVOS
Crear una plataforma virtual de Servidores.
Personalizar servicios trampa.
EQUIPOS
1 Computadora con las mquinas virtuales: Honey PCC y Backtrack.
PROCEDIMIENTO
PARTE 1
Activaremos e instalaremos el HONEYPOT. Los programas a utilizar se
encuentran en la mquina virtual en el directorio /honeypot
MQUINA VIRTUAL PREPARADA HONEYPOT
1. (HP) Se ha preparado una Mquina Virtual con CENTOS SERVER:
Descomprima Linux Honey PCC.rar
Active la Mquina virtual.
En la Mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
La Mquina virtual est configurada con los siguientes datos:
IP: 192.168.81.112
GW: 192.168.81.2
DNS: 192.168.81.2
Login: root
Password: tecsup
INSTALACION DE SOFTWARE (NO REALIZARLO, Saltar al punto 7)
Nota: Para instalar el HONEY se necesita diversas libreras. En la
mquina virtual ya estn instaladas estas libreras y el software
HONEYPOT. Los pasos del 2 al 6 indican como debe instalarse el
HoneyPot.
2. (HP) Libreras a instalar: libdnet-1.10-2.el4.kb.i386.rpm , libdnetdevel-1.10-2.el4.kb.i386.rpm, libevent-1.1a-2.el4.kb.i386.rpm,
libevent-devel-1.1a-2.el4.kb.i386.rpm

Instale aplicando el comando: # rpm ivh

<librera>

Programa: arpd-0.2-4.el4.rf.i386.rpm
Funcin: Permitir mapear los broadcast.
Instalar el programa: # rpm ivh arpd-0.2-4.el4.rf.i386.rpm
3. (HP) Instalar el programa Honey:
Programa: honeyd.tgz
Descomprimir y compilar:
# tar zxvf honeyd.tgz
# cd honeyd
# ./configure
# make
# make install
4. (HP) Trasladar los SCRIPT de emulacin de servicios:
Del directorio descomprimido de honeyd, traslade el directorio scripts:

-1-

Tecsup

# cp
En el
# cd
# cp

f R scripts
/usr/local/share/honeyd
directorio soft , existe otros SCRIPTS que deben ser trasladados:
/soft
*.sh /usr/local/share/honeyd/scripts

5. (HP) Generar el archivo de eventos:

# touch /var/log/honeyd.log
# chmod 777 /var/log/honeyd.log

En una nueva ventana de consola, mantenga la visualizacin del Log

permanente:
# tail f /var/log/honeyd.log

6. (HP) Honeyd emulara los servicios. Se recomienda que los Servicios reales del
Sistema Operativo Linux se desactiven para evitar conflictos:

Detener los SERVICIOS de WEB y TELNET

# service httpd stop
# chkconfig httpd off
# vi /etc/xinetd.d/telnet
Disable=yes
# service xinetd restart

//Fin de la instalacin de HoneyD.

PARTE 2
Generaremos los Equipos
servicios emulados.

Ficticios

(Win01,

Lin01)

con

algunos

LISTA DE EMULACION DE SISTEMAS OPERATVIOS

Nota: Honeyd permite la emulacin de varios Sistemas, podemos observar
esta relacin visualizando el archivo nmap.prints
7. (HP) Visualic los diversos Sistemas Operativos que puede emular HONEY, para
mostrar su presencia a la red. En la imagen muestra la emulacin de Windows
2000 Server SP3
# cd /usr/local/share/honeyd
# vi nmap.prints

Mencione algunos Sistemas Operativos

Professional SP2, Windows XP SP1

-2-

encontrados?

Windows

2000

Tecsup

EMULACION WINDOWS
CONFIGURACION
8. (HP) Personalizaremos para que el HONEY emule un WINDOWS Server 2000:

Crear el archivo de configuracin con la personalizacin de la emulacin

# cd /usr/local/share/honeyd
# vi config.red
Nota: Respetar
configuracin.

las

maysculas

minsculas

del

archivo

de

# Creando un perfil windows

create windows01
# Simulando un determinado Sistema operativo
set windows01 personality Microsoft Windows 2000 Server SP3
set windows01 default tcp action reset
set windows01 default udp action reset
# Relacionando las ips virtuales al perfil Windows
bind 192.168.81.113 windows01
o

Observe que la personalidad utilizada coincide con el

fingerprint en el archivo nmap.prints.

Activando el software arpd para que responda a los BROADCAST de la

RED 192.168.81.0:
# arpd -i eth0 192.168.81.0/24

Activando honeyd :
# honeyd -l /var/log/honeyd.log -f config.red

192.168.81.113

Nota: Al ejecutar honeyd, asegrese que al final aparezca la

palabra Honeyd starting as background process. Si
hubiera error, le mostrar en que nmero de lnea del archivo
config.red est el error. Revselo y vuelva a ejecutar la
activacin de honeyd.

-3-

Tecsup

En una nueva ventana de consola, mantenga la visualizacin del Log

permanente:
# tail f /var/log/honeyd.log

MQUINA VIRTUAL PREPARADA INTRUSO

9. (I2) En el VMWARE crear una mquina virtual que har las veces de intruso,
en esta funcionar BackTrack:
Menu File > New > Virtual Machine > (.) Typical > (.) Linux >
Virtual machine name: Backtrack > (.) Use NAT > Disk Size: 1.0
[Finalizar]

Clic
o
o
o

Edit
Clic
Clic
Clic

virtual Machine :
Floppy <Remove>
Memory : 250 MB
CD-ROM
(.) Use ISO image <Browse>
Segn las indicaciones, ubique el ISO
BACKTRACK (bt2final.iso)
<OK>
Active la Mquina Virtual.
Al aparecer: boot Presione <enter>
En el men de VMWARE, maximice la ventana: Menu View FULL
SCREEN

PERSONALIZANDO
10.(I2) Al terminar de cargar personalizaremos:
Login: root
Password: toor
# ifconfig eth0 192.168.81.119
# route add default gw 192.168.81.1
# startx
PRUEBAS
11.(I2) Realizaremos pruebas de comprobacin del Equipo Ficticio:
Apertura un Terminal: clic Icono Monitor Pantalla Negra
PING (verificar que todas Mquina estn en modo HOST ONLY)
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.81.113

LANGUARD

-4-

Tecsup

En la parte inferior izquierda, visualizara un icono de la letra K: Clic a

K > Backtrack > Vulnerability Identification >
Security Scanner > GFI Languard 2.0

Ingrese la IP en el campo target:

El software comenzara a realizar consultas a la IP y obtendr la informacin:

Ya cay en la trampa

EVENTOS
(HP) En el archivo de eventos monitoreado se habr detectado el
requerimiento:

EMULACION DE SERVICIOS
CONFIGURACION
12.(HP) Agregaremos al archivo config.red la emulacin de servicio de WEB
IIS. Agregue lo resaltado:
# Creando un perfil windows
create windows01
# Simulando un determimado Sistema operativo
set windows01 personality Microsoft Windows 2000 Server SP3
# Aperturando
add windows01
set windows01
set windows01

los puertos
tcp port 80
default tcp
default udp

ficticios
"/usr/local/share/honeyd/scripts/web.sh"
action reset
action reset

# Relacionando las ips virtuales al perfil Windows

bind 192.168.81.113 windows01

ACTIVACION
11. (HP) Aplique los nuevos cambios en el archivo. Es necesario anular el anterior
proceso con el comando killall:
# killall honeyd
# honeyd -l /var/log/honeyd.log -f config.red 192.168.81.113

-5-

Tecsup

PRUEBAS
13.(I2) Realizaremos pruebas de comprobacin del los Servicios:
PING
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.81.113

LANGUARD
En la parte inferior izquierda, visualizara un icono de la letra K: Clic a
K > Backtrack > Vulnerability Identification >
Security Scanner > GFI Languard 2.0

Ingrese nuevamente la IP en el campo target luego <Enter>

El software comenzar a realizar consultas a la IP y obtendr la informacin:

Ya cay otra vez en la trampa

VISITANDO PGINA WEB
(I2) Va el navegador FireFox visite: http://192.168.81.113
El archivo esta configurado para mostrar lo siguiente:

Modifique el mensaje y escriba su nombre completo en la siguiente

direccin :
/usr/local/share/honeyd/scripts/web.sh

-6-

Tecsup

EVENTOS
(HP) En el archivo de eventos monitoreado se habr detectado el
requerimiento:

EMULACION LINUX {192.168.81.114}

CONFIGURACIN
14.(HP) Personalizaremos para que HONEY emule tambin un LINUX con los
Servicio de SMTP (Sendmail) y de POP3:
Edite el archivo config.red
Al final del archivo agregaremos las siguientes lneas que agregar la
presencia de un Linux.
# Creando un perfil Linux
create linux01
# Simulando un determinado Sistema operativo
set linux01 personality Linux 2.4.20
# Aperturando los puertos ficticios
add linux01 tcp port 25 "/usr/local/share/honeyd/scripts/smtp.sh"
add linux01 tcp port 110 "/usr/local/share/honeyd/scripts/pop3.sh"
set linux01 default tcp action reset
set linux01 default udp action reset
# Relacionando las ips virtuales al perfil Linux
bind 192.168.81.114 linux01

ACTIVACION
11. (HP) Aplique los nuevos cambios en el archivo. Es necesario anular el anterior
proceso con el comando killall
# killall honeyd
# honeyd -l /var/log/honeyd.log -f config.red
192.168.81.113
192.168.81.114

-7-

Tecsup

ARCHIVO DE EVENTOS DE POP3

Nota: Los scripts que emulan los Servicios, guardan la actividad
realizada en archivos de eventos personales. El Script POP3 guarda en
el archivo pop3-.log que deber estar ubicado en /tmp/honeyd
15.(HP) Crear el directorio, el archivo y los permisos respectivos:
# cd /tmp
# mkdir honeyd
# cd honeyd
# touch pop3-.log
# chmod 666 pop3-.log
En una nueva ventana de consola active el monitoreo de este archivo:
# tail -f /tmp/honeyd/pop3-.log
PRUEBAS
16.(I2) Realizaremos pruebas de comprobacin del los Servicios:
PING
Envi un ping, deber obtener respuesta: # ping

-c 2

192.168.81.114

LANGUARD
Ingrese la IP en el campo target luego <Enter> :

El software comenzara a realizar consultas a la IP y obtendr la informacin:

Ya cayo en la trampa
ACCESO AL SERVICIO POP3

En la consola realice una conexin al puerto 110:

#

telnet 192.168.81.114

110

-8-

Tecsup
Nota: Lo que esta enmarcando son los comandos que realiza un
cliente correo cuando se conecta al servicio de correo para
obtener sus correos. Realice el ingreso de estos comandos
manualmente. Nos validaremos con la cuenta lechuga y password
fresca. Observara que el SCRIPT que emula el Servicio de POP3
responde a los comandos como si fuera un Servicio REAL. Pero es
una TRAMPA (La cuenta no existe)

EVENTOS
(HP) En el archivo de eventos de pop3-.log visualizar la actividad:

-9-

Tecsup

Tarea:
17.Crear una red ficticia que simule a la siguiente red (delimitada por las lneas
punteadas):

El Virtual Honeypot3 ser un Windows Server 2008 Standard Edition con los
servicios Web (IIS) y SMTP.
El virtual Honeypot1 ser un Linux 5.x 6.x el cual tendr el servicio Telnet.
Los Virtual Honeypot 2 y 4 sern Windows XP con los puertos TCP y UDP
abiertos segn correspondan como sistemas operativos Windows.

IMPLEMENTACIN DEL EJERCICIO PROPUESTO

IMAGEN1: CONFIGURANDO IP DEL HONEYD HOST 10.0.0.1

- 10 -

Tecsup

IMAGEN2: EJECUTANDO arpd PARA QUE RESPONDA A LOS BROADCAST DE LA RED

10.0.0.0/24

IMAGEN3: CREANDO LOS ROUTERS Y CONFIGURANDO LA RED VIRTUAL CON LOS

SALTOS PARA TENER CONECTIVIDAD A LOS 4 HONEYPOTS

IMAGEN4: HONEYPOT1 LINUX CON SERVICIO TELNET

IMAGEN5: HONEYPOT2 XP CON PUERTOS UDP Y TCP ABIERTOS

- 11 -

Tecsup

IMAGEN6: HONEYPOT3 WS2003 CON SERVICIOS WEB Y SMTP ACTIVADOS

IMAGEN7: HONEYPOT4 XP02 CON VARIOS PUERTOS TCP Y UDP ABIERTOS

IMAGEN8: ASIGNACIN DE LAS IPS A LOS ROUTERS Y HONEYPOTS

RESPECTIVAMENTE

IMAGEN9: SIMULANDO INTRUSO CON BACKTRACK

- 12 -

Tecsup

IMAGEN10: PROBANDO CONECTIVIDAD A CADA UNO DE LOS HONEYPOTS

- 13 -

Tecsup

IMAGEN11: IDENTIFICANDO AL HONEYPOT1 LINUX CON TELNET ABIERTO

- 14 -

Tecsup

IMAGEN12: IDENTIFICANDO AL HONEYPOT2 XP CON VARIOS PUERTOS ABIERTOS

- 15 -

Tecsup

IMAGEN13: IDENTIFICANDO AL HONEYPOT3 WS2003 CON SERVICIO WEB Y SMTP

- 16 -

Tecsup

IMAGEN14: IDENTIFICANDO AL HONEYPOT2 XP CON VARIOS PUERTOS ABIERTOS

IMAGEN15: PROBANDO SERVICIO WEB DEL HONEYPOT3 WS2003 DESDE EL INTRUSO

IMAGEN16:DETECCIN DEL HONEYD AL INGRESAR AL SERVICIO WEB DESDE EL

INTRUSO

- 17 -

Tecsup

IMAGEN17: PROBANDO SERVICIO TELNET DEL HONEYPOT1 LINUX DESDE EL

INTRUSO

IMAGEN18:DETECCIN DEL HONEYD AL INGRESAR AL SERVICIO TELNET DESDE EL

INTRUSO

OBSERVACIONES

IMAGEN19: La solucin honeyd no se actualiza desde el 2005 y los

fingerprint para emular los SOs datan desde 1998-2003

- 18 -