Montando un Honeypot (sebek, honeywall en Virtualbox)

Iniciado por Stiuvert, Diciembre 01, 2016, 07:35:12 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 01, 2016, 07:35:12 PM
Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento...por desgracia no lo he podido llevar a cabo...aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito...solo para que veáis como se ve...

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot...

"Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción."

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Sebek is a data capture tool designed to capture attacker's activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently. "

Y he elegido No tienes permitido ver los links. Registrarse o Entrar a mi cuenta como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

"No tienes permitido ver los links. Registrarse o Entrar a mi cuenta is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it."

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones...

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Lo que traducido en virtualbox, tendríamos 4 máquinas virtuales...


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


La interfaz de control estaría configurada en la subred 192.168.42.0/24 la cual la introduciríamos como un adaptador host-only y salvo que tengamos más interfaces configuradas seria la interfaz virtualbox host-only Ethernet adapter 2# como se observa en la siguiente captura...


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Bien, la siguiente es la maquina nombrada Honeywall 1.4 que como seña especial necesita ser configurada con minimo 256 mb de ram y como maximo 900 mb, en este caso tiene 924 mb aunque no redirecciona mas que 900 mb, y que como vereis tiene 3 interfaces de red, 2 de ellas configuradas como Redes NAT, y ambas en la misma subred red1 fijaos como se encuentra configurada con la subred 192.168.56.0/24, y otra interfaz en la interfaz virtualbox host-only Ethernet adapter 2# (recordemos 192.168.42.0/24) tal y como se observa en la siguiente captura...


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nos quedarían dos máquinas virtuales por configurar la red, la atacante con red nat, red 1...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y la que alberga el honeypotSebek también configurada con red nat red 1, sin más...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bien si hemos configurado las redes como aquí se muestra todo irá bien... tened en cuenta que el equipo Honeywall lo utilizaremos aparte de para monitorizar a nuestro Honeypot de alta interacción, para que actué de firewall/ids (para que me entendáis) para el resto de equipos y pase completamente desapercibido, más adelante veremos como las interfaces de red que se encuentran en la red 192.168.56.0/24 se encuentran en modo promiscuo...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bien pero eso de momento es otra historia, vamos a configurar nuestro honeypot, nuestro tarro de miel, nuestro cebo...antes un par de puntualizaciones, he elegido la versión de Windows de Sebek para mantener una línea de sencillez y acercar estos elementos a la mayor parte de vosotros, es la última versión, pero aun así es antigua... sé también que Sebek tiene problemas de seguridad, y por ello os indico que no expongáis vuestra P.O.C. a Internet...

Dicho esto al lio...

[/url]Una instalación nueva de Windows XP, en aras de compatibilidad al máximo, una instalación de Microsoft SQL Server 2000, bien anticuada y por defecto, una instalación de Xampp versión 1.8.2, algo de foundstone HACME Casino, y el propio Windows XP por defecto...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y el ejemplo de Hacme casino corriendo...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y visto desde fuera, mas que nada para comprobar que funcione...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Muy bien, tenemos las cosas encaminadas, ahora vamos a configurar realmente nuestro Honeypot...desde la carpeta Sebek-win32-latest una vez descomprimida ejecutaremos el archivo ejecutable setup...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Que nos ira indicando el camino, básicamente instala el driver de Sebek en el sistema...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Siguiente...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Estamos de acuerdo siguiente...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo instalamos en la carpeta por defecto...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Sebek driver instalado, sin mas, ahora vamos a configurar el driver para ello ejecutaremos el configuration wizard.exe...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como veis en la captura este asistente nos permite seleccionar una dirección mac, Ip y puerto de destino, selecciona un valor para evitar que los datos generados por sebek sean observados, seleccionar la interfaz de red en la que operara y el nombre del proceso que tendrá acceso a sebek...para ello necesitaremos decir al asistente donde reside sebek...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A continuación seleccionáremos la dirección Mac, la ip de destino y el puerto...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En este caso vamos a dejar la mac en blanco, por que no esta mas allá de un salto (de hecho esta en la misma red) el servidor de escucha, y no vamos a dirigir los datos a ninguna ip ya que no es recomendable, ni requerido, y para eso configuraremos honeywall, lo que si vamos a dejar por defecto en la instalación es el puerto 1101 UDP, pero en una instalación real seria muy interesante cambiarlo... siguiente

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Seleccionamos el magic value, recomiendo utilizar el botón de randomización del mismo, aunque si vamos a configurar una honeynet (una red lan de Honeypots) tienen que ser el mismo para todas las maquinas...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La interfaz en la que trabajara nuestro honeypot... sin más...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareís que habíamos finalizado de configurar el medio de acceso alternativo a sebek, por tanto la instalación como tal ya ha finalizado...solo nos restaría eliminar todo rastro visible de sebek, carpetas de instalación, la papelera, etc...por que no tendría mucho sentido dejar en un honeypod, ningún rastro que indicara que lo es...
Y pasaremos a configurar al corazón de nuestro honeypod, honeywall, que es el que va actuar de barrera entre los atacantes y nosotros, y nos va a permitir asistir en directo a "sus" andanzas (en este caso las nuestras ya que no se encuentra en internet si no en una lan...recordáis?)
Me voy a saltar la instalación en sí de honeywall, porque es muy sencilla y por economía de espacio, asi que voy a darlos por instalado y pasaremos a la configuración en sí del mismo...solo un apunte más una vez iniciado honeywall desde la terminal (no tiene interfaz gráfica) tendremos que loguearnos como el usuario roo, con la contraseña roo, y ejecutaremos su -, que cargara el asistente para su configuración, previamente se nos solicitarán  la contraseña de root, por defecto roo, una vez realizado esto nos mostrará  la siguiente pantalla...
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Pulsaremos ok...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Aviso sobre cómo salir del asistente de forma correcta...

Y el menú principal, adivinad cuál  vamos a seleccionar...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La aceptación de los riesgos...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y comenzamos lo importante, seleccionaremos el modo interview...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y comenzará  la configuración del Gateway... nos recomienda el paper "know your enemy; honeynets"... yo también lo recomiendo debería ser lectura obligada

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Dirección ip de nuestro honeypod sebek, recordáis? 192.168.56.102.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A continuación la red del mismo en formato CIDR bien pues se la damos 192.168.56.0/24.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y la dirección de broadcast de la misma red, bien 192.168.56.255, y recibiremos el siguiente mensaje...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La primera parte lista, vamos por la siguiente...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se nos preguntará  si deseamos configurar una interfaz de mantenimiento...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Le comunicamos cuál es la interfaz elegida para la misma...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nos comunica que se encuentra activa...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y le comunicamos la ip de nuestra configuración en esta ocasión 192.168.42.2...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La puerta de entrada (Gateway) a dicha ip, en nuestra configuración 192.168.42.1...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nos solicitará  el nombre del equipo en nuestro caso localhost...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y el dominio dns, sin más en caso de que no se tenga el dominio, con poner localhost arreglado, siguiente...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A continuación introduciremos las dirección ips del servidor dns, para el uso de honeywall, en este caso he elegido 192.168.42.1, ya que es la primera ip de nuestra red nat, y junto con 192.168.42.2 son las únicas ips de esta red, por tanto, el espacio delimitado.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez configurados los parámetros activaremos la interfaz...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y en el siguiente inicio...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y configuraremos SSH para poder comunicarnos de una manera mas segura...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En este caso autorizaremos conectarnos como súper usuario, en otros casos será mas conveniente no autorizarlo...que sepáis que tenemos esta opción...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se nos pedirá que cambiemos las contraseñas para los usuarios, en nuestro caso roo y root, lo hacemos, y pasaremos al siguiente paso...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Después como vemos en la captura, se nos solicitarán los puertos TCP, aparte del 22, que deseamos que permitan la gestión de mantenimiento, en este caso introduciremos el 443...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y cómo  no pudiera ser de otra manera, introduciremos la red desde la cuál  se podrá acceder a la interfaz de mantenimiento en este caso introduciremos la subred completa 192.168.42.0/24 aunque sabemos que solo tiene dos ips en uso, la 192.168.42.1 y 192.168.42.2...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Así mismo activáremos el uso de la interfaz web para el análisis de datos y mantenimiento, recordáis el uso del puerto 443?..

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Restringimos las comunicaciones salientes...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Pero autorizamos los siguientes puertos TCP...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y los puertos UDP...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y finalizamos esta parte de la configuración.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Continuaremos en la siguiente entrada, un saludo a todos y perdonad el retraso...
Hasta pronto!!!




Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareis que habíamos finalizado, hace ya mucho tiempo, la segunda sección de la configuración de honeywall, en este post finalizaremos la configuración totalmente.
Para ello continuamos donde lo dejamos... al inicio de la tercera sección, vamos a abreviar en la medida de lo posible ahorrándonos pasos obvios y solo recalcando lo importante, al lió
Para que veáis donde nos encontramos en la tercera sección comenzamos a configurar las limitaciones que la gateway_firewall va a tener al nivel de conexiones, y también como nos va a presentar los reportes, en la captura siguiente hemos elegido la opción de hora para dicha escala...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En los siguientes cuatro pasos, elegiremos el numero de conexiones por protocolo en este orden tcp, udp, icmp, y el resto de protocolos, en cada una asignaremos los valores que se observan...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tcp 20...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Udp 20...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

icmp 50 por su particularidad y por ultimo...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

10 el resto de protocolos. Bien la siguiente pregunta que nos realiza el asistente es sobre si deseamos que el firewall envié paquetes a snort_inline , le diremos que si...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A continuación nos solicitara que introduzcamos el path al archivo donde el firewall encontrara las ips de los equipos para que sean rechazados por el mismo, vamos la blacklist...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y a continuación los equipos que se podrán conectar a el sin logearse, vamos la whitelist...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y a continuación nos interrogara si deseamos que se utilicen ambos archivos para la ejecución del filtro le decimos que si...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nos preguntara si queremos desactivar la opción filtrado de captura estricta lo daremos una negativa por respuesta...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y se nos preguntara por el path a la fencelist, que se trata de las direcciones que bajo ningún concepto permitiremos que se conecten nuestros honeypots, se lo dejaremos por defecto...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y si deseamos activarlo, le diremos que no...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se nos preguntara por si deseamos activar el modo Rach mode, que desactiva todo el trafico saliente de nuestro honeypots...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Le diremos que no...y habremos finalizado la tercera etapa de la configuración...continuemos con la cuarta, que no es otra que la configuración del DNS...se nos preguntara si deseamos permitir en la honeynet ,acceso ilimitado a nuestros honeypots...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y no le permitiremos el acceso al resto de servidores DNS externos...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y también le restringiremos a cual servidor DNS puede tener acceso ilimitado como no podria ser de otro modo...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A continuación le indicaremos cual es ese servidor DNS al que tiene acceso mediante la ip...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y habremos finalizado la quinta sección de configuración de Honeywall como vemos a continuación...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Seguimos en ello y configuraremos la sección de alertas y como os he prometido finalizaremos la instalación de honeywall, para configurarlas ante todo nos pedirá activar las alertas por email...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para ello introduciremos el email, en este caso lo dejaremos por defecto, y nos avisa que debemos autorizar el tráfico saliente el puerto 25, y asegurarnos que le relay o servidor de email acepte el correo con origen en nuestro honeywall...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Activaremos que inicie el sistema con las alertas activadas al inicio...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y pasaremos a configurar como nuestro honeywall gateway va a manejar los paquetes producidos por nuestro honeypot de alta interacción Sebek, por tanto le indicaremos que si...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Introduciremos cual es la ip de destino de los paquetes de sebek en este caso 192.168.56.254...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y por supuesto el puerto de destino, el puerto 1101 del protocolo udp...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Nos preguntara por lo que deseamos que realice con los paquetes sebek que reciba, pues seleccionaremos que los acepte y que cree un registro de los mismos...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y habremos llegado al final de la configuración inicial de honeywall y nos indica que se reiniciara...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como vemos aquí...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Y hasta aquí la tercera entrega, en breve la cuarta y ultima con todo corriendo y un pequeño ejemplo.


Nota: no hemos podido encontrar la cuarta parte


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Diciembre 02, 2016, 02:20:37 PM #1
@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un detallado y muy extenso tutorial. Agradrecida que lo hayas traído!!! por la calidad del desarrollo y por las explicaciones.

CitarY hasta aquí la tercera entrega, en breve la cuarta y ultima con todo corriendo y un pequeño ejemplo.

Nota: no hemos podido encontrar la cuarta parte

A ver si aparece la parte cuarta, merece la pena la lectura y la puesta a la práctica.

Saludos

Gabriela
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario