Montando un honeypot

Iniciado por Cl0udswX, Octubre 28, 2014, 04:46:56 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Octubre 28, 2014, 04:46:56 PM Ultima modificación: Julio 17, 2015, 07:54:23 PM por Cl0udswX
Montando un honeypot (I de II)

En los últimos meses he dejado un poco desatendido el blog ya que he estado cursando unas asignaturas de un Máster de una conocida Universidad española. Una de estas asignaturas trata aspectos relacionados con la seguridad informática, y una de sus prácticas consistía en la creación de un honeypot. Como el tema me ha parecido interesante, os voy a contar cómo podéis montar vuestro propio honeypot accesible desde Internet.

    ¿Qué es un honeypot?

Lo primero que hemos de hacer es definir qué es un honeypot. Podríamos definir un honeypot como un recurso de red destinado a ser atacado y comprometido, que nos proporciona información sobre el atacante y los métodos que emplea. Gracias a los honeypots, se puede estudiar el comportamiento de los atacantes, deducir las prácticas más habituales, descubrir nuevos exploits, rastrear sus movimientos, etc.

    Qué no hace un honeypot

No corrige las vulnerabilidades existentes en los sistemas.

No soluciona los problemas de seguridad de nuestra red.

No evita que nuestros sistemas sean atacados.

Características

°Genera un volumen pequeño de datos.

°No existen los falsos positivos.

°Necesitan recursos informáticos mínimos.

°Son elementos pasivos.

°Son fuentes potenciales de riesgo para la red.

°Tienen un limitado carácter preventivo.

°Son programables en cuanto a la reacción contra el atacante.

Posibles utilidades

Son muy útiles para realizar investigaciones forenses porque permiten analizar la actividad del atacante.

En sistemas en producción brindan (algo de) protección, prevención y respuesta a cierto tipo de ataques.

Permiten recoger numerosa y valiosa información sobre las actividades y tendencias del atacante.

    Honeynets

Se define una Honeynet como un conjunto de Honeypots altamente interactivos diseñados para la investigación y la obtención de información sobre atacantes. Una Honeynet es una arquitectura, no un producto o un software determinado.

El objetivo es el de hacer creer al atacante que está ante una red "real", por lo que se deben añadir los distintos elementos que conforman una arquitectura de red.

Diagrama de red

Aunque vamos a montar el entorno en nuestro ordenador, podemos extrapolar la arquitectura a cualquier sistema en producción, colocándole en distintas ubicaciones según nuestras necesidades:





En nuestro caso la arquitectura seria la siguiente:



Importante: El esquema de red anterior representa un entorno real, utilizando como base nuestro equipo. Cualquier configuración errónea podría acarrear una brecha de seguridad. Si tenéis dudas, utilizad un entorno local como paso previo.

Además de montar el honeypot, vamos a incluir en la máquina un sistema de detección de intrusos basado en Snort (podéis encontrar cómo instalar/configurar Snort en el curso "Detección de intrusiones con Snort"). En nuestro router, abriremos los puertos hacia los servicios que ofrezca nuestro honeypot, redirigiendo las peticiones al honeypot.

Entorno y productos necesarios

Para crear nuestro entorno necesitamos una máquina Linux (he usado Ubuntu), los paquetes "honeyd" y "farpd" y la utilidad "Nmap".

Honeyd: Honeyd es un pequeño demonio que crea hosts virtuales en una red. Éstos pueden configurarse para correr servicios arbitrarios y adaptarse de forma que parezca que corren bajo ciertos sistemas operativos. Además, puede configurar una sola máquina para que simule múltiples direcciones de una LAN e incorpora seguridad añadiendo mecanismos para la detección de amenazas y su evaluación. También engaña a los usuarios escondiendo los sistemas reales en medio de los sistemas virtuales. Entre sus características, podemos destacar:

*Simulación de cientos de hosts virtuales al mismo tiempo.

*Configuración de servicios arbitrarios a través de ficheros de configuración, con conexiones proxy, identificación de sistemas remotos a través de "fingerprinting" y muestreos al azar para ampliar la carga.

*Simulación de sistemas operativos a nivel de pila TCP/IP: Para ello utiliza nmap y xprobe y políticas ajustables de reemsamblado de fragmentos y de escaneos "FIN-scan".

*Virtualización de subsistemas: Esto permite correr aplicaciones UNIX bajo direcciones IP virtuales de Honeyd: servidores web, ftp, etc. Además, permite "port binding" dinámico en el espacio de direcciones virtuales e inicio en background de conexiones de red.


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Escrito por Texpaok
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.