Beruflich Dokumente
Kultur Dokumente
Laboratorio 04
HONEYPOT
Tecsup
HONEYPOT LINUX
OBJETIVOS
Crear una plataforma virtual de Servidores.
Personalizar servicios trampa.
EQUIPOS
1 Computadora con las mquinas virtuales: Honey PCC y Backtrack.
PROCEDIMIENTO
PARTE 1
Activaremos e instalaremos el HONEYPOT. Los programas a utilizar se
encuentran en la mquina virtual en el directorio /honeypot
MQUINA VIRTUAL PREPARADA HONEYPOT
1. (HP) Se ha preparado una Mquina Virtual con CENTOS SERVER:
Descomprima Linux Honey PCC.rar
Active la Mquina virtual.
En la Mquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
La Mquina virtual est configurada con los siguientes datos:
IP: 192.168.81.112
GW: 192.168.81.2
DNS: 192.168.81.2
Login: root
Password: tecsup
INSTALACION DE SOFTWARE (NO REALIZARLO, Saltar al punto 7)
Nota: Para instalar el HONEY se necesita diversas libreras. En la
mquina virtual ya estn instaladas estas libreras y el software
HONEYPOT. Los pasos del 2 al 6 indican como debe instalarse el
HoneyPot.
2. (HP) Libreras a instalar: libdnet-1.10-2.el4.kb.i386.rpm , libdnetdevel-1.10-2.el4.kb.i386.rpm, libevent-1.1a-2.el4.kb.i386.rpm,
libevent-devel-1.1a-2.el4.kb.i386.rpm
<librera>
Programa: arpd-0.2-4.el4.rf.i386.rpm
Funcin: Permitir mapear los broadcast.
Instalar el programa: # rpm ivh arpd-0.2-4.el4.rf.i386.rpm
3. (HP) Instalar el programa Honey:
Programa: honeyd.tgz
Descomprimir y compilar:
# tar zxvf honeyd.tgz
# cd honeyd
# ./configure
# make
# make install
4. (HP) Trasladar los SCRIPT de emulacin de servicios:
Del directorio descomprimido de honeyd, traslade el directorio scripts:
-1-
Tecsup
# cp
En el
# cd
# cp
f R scripts
/usr/local/share/honeyd
directorio soft , existe otros SCRIPTS que deben ser trasladados:
/soft
*.sh /usr/local/share/honeyd/scripts
6. (HP) Honeyd emulara los servicios. Se recomienda que los Servicios reales del
Sistema Operativo Linux se desactiven para evitar conflictos:
Ficticios
(Win01,
Lin01)
con
algunos
-2-
encontrados?
Windows
2000
Tecsup
EMULACION WINDOWS
CONFIGURACION
8. (HP) Personalizaremos para que el HONEY emule un WINDOWS Server 2000:
las
maysculas
minsculas
del
archivo
de
Activando honeyd :
# honeyd -l /var/log/honeyd.log -f config.red
192.168.81.113
-3-
Tecsup
Clic
o
o
o
Edit
Clic
Clic
Clic
virtual Machine :
Floppy <Remove>
Memory : 250 MB
CD-ROM
(.) Use ISO image <Browse>
Segn las indicaciones, ubique el ISO
BACKTRACK (bt2final.iso)
<OK>
Active la Mquina Virtual.
Al aparecer: boot Presione <enter>
En el men de VMWARE, maximice la ventana: Menu View FULL
SCREEN
PERSONALIZANDO
10.(I2) Al terminar de cargar personalizaremos:
Login: root
Password: toor
# ifconfig eth0 192.168.81.119
# route add default gw 192.168.81.1
# startx
PRUEBAS
11.(I2) Realizaremos pruebas de comprobacin del Equipo Ficticio:
Apertura un Terminal: clic Icono Monitor Pantalla Negra
PING (verificar que todas Mquina estn en modo HOST ONLY)
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.81.113
LANGUARD
-4-
Tecsup
Ya cay en la trampa
EVENTOS
(HP) En el archivo de eventos monitoreado se habr detectado el
requerimiento:
EMULACION DE SERVICIOS
CONFIGURACION
12.(HP) Agregaremos al archivo config.red la emulacin de servicio de WEB
IIS. Agregue lo resaltado:
# Creando un perfil windows
create windows01
# Simulando un determimado Sistema operativo
set windows01 personality Microsoft Windows 2000 Server SP3
# Aperturando
add windows01
set windows01
set windows01
los puertos
tcp port 80
default tcp
default udp
ficticios
"/usr/local/share/honeyd/scripts/web.sh"
action reset
action reset
ACTIVACION
11. (HP) Aplique los nuevos cambios en el archivo. Es necesario anular el anterior
proceso con el comando killall:
# killall honeyd
# honeyd -l /var/log/honeyd.log -f config.red 192.168.81.113
-5-
Tecsup
PRUEBAS
13.(I2) Realizaremos pruebas de comprobacin del los Servicios:
PING
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.81.113
LANGUARD
En la parte inferior izquierda, visualizara un icono de la letra K: Clic a
K > Backtrack > Vulnerability Identification >
Security Scanner > GFI Languard 2.0
-6-
Tecsup
EVENTOS
(HP) En el archivo de eventos monitoreado se habr detectado el
requerimiento:
ACTIVACION
11. (HP) Aplique los nuevos cambios en el archivo. Es necesario anular el anterior
proceso con el comando killall
# killall honeyd
# honeyd -l /var/log/honeyd.log -f config.red
192.168.81.113
192.168.81.114
-7-
Tecsup
-c 2
192.168.81.114
LANGUARD
Ingrese la IP en el campo target luego <Enter> :
Ya cayo en la trampa
ACCESO AL SERVICIO POP3
telnet 192.168.81.114
110
-8-
Tecsup
Nota: Lo que esta enmarcando son los comandos que realiza un
cliente correo cuando se conecta al servicio de correo para
obtener sus correos. Realice el ingreso de estos comandos
manualmente. Nos validaremos con la cuenta lechuga y password
fresca. Observara que el SCRIPT que emula el Servicio de POP3
responde a los comandos como si fuera un Servicio REAL. Pero es
una TRAMPA (La cuenta no existe)
EVENTOS
(HP) En el archivo de eventos de pop3-.log visualizar la actividad:
-9-
Tecsup
Tarea:
17.Crear una red ficticia que simule a la siguiente red (delimitada por las lneas
punteadas):
El Virtual Honeypot3 ser un Windows Server 2008 Standard Edition con los
servicios Web (IIS) y SMTP.
El virtual Honeypot1 ser un Linux 5.x 6.x el cual tendr el servicio Telnet.
Los Virtual Honeypot 2 y 4 sern Windows XP con los puertos TCP y UDP
abiertos segn correspondan como sistemas operativos Windows.
- 10 -
Tecsup
- 11 -
Tecsup
- 12 -
Tecsup
- 13 -
Tecsup
- 14 -
Tecsup
- 15 -
Tecsup
- 16 -
Tecsup
- 17 -
Tecsup
OBSERVACIONES
- 18 -