comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Montando un Honeypot (sebek, honeywall en Virtualbox)

  • 1 Respuestas
  • 2182 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Stiuvert

  • *
  • Staff
  • *
  • Mensajes: 2667
  • Actividad:
    8.33%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« en: Diciembre 01, 2016, 07:35:12 pm »
Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento…por desgracia no lo he podido llevar a cabo…aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito…solo para que veáis como se ve…

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot…

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.”

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página You are not allowed to view links. Register or Login

Sebek is a data capture tool designed to capture attacker’s activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently.

Y he elegido You are not allowed to view links. Register or Login como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

You are not allowed to view links. Register or Login is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it.”

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones…

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así…

You are not allowed to view links. Register or Login

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

You are not allowed to view links. Register or Login


Lo que traducido en virtualbox, tendríamos 4 máquinas virtuales…


You are not allowed to view links. Register or Login


La interfaz de control estaría configurada en la subred 192.168.42.0/24 la cual la introduciríamos como un adaptador host-only y salvo que tengamos más interfaces configuradas seria la interfaz virtualbox host-only Ethernet adapter 2# como se observa en la siguiente captura…


You are not allowed to view links. Register or Login


Bien, la siguiente es la maquina nombrada Honeywall 1.4 que como seña especial necesita ser configurada con minimo 256 mb de ram y como maximo 900 mb, en este caso tiene 924 mb aunque no redirecciona mas que 900 mb, y que como vereis tiene 3 interfaces de red, 2 de ellas configuradas como Redes NAT, y ambas en la misma subred red1 fijaos como se encuentra configurada con la subred 192.168.56.0/24, y otra interfaz en la interfaz virtualbox host-only Ethernet adapter 2# (recordemos 192.168.42.0/24) tal y como se observa en la siguiente captura…


You are not allowed to view links. Register or Login

Nos quedarían dos máquinas virtuales por configurar la red, la atacante con red nat, red 1…

You are not allowed to view links. Register or Login

Y la que alberga el honeypotSebek también configurada con red nat red 1, sin más…

You are not allowed to view links. Register or Login

Bien si hemos configurado las redes como aquí se muestra todo irá bien… tened en cuenta que el equipo Honeywall lo utilizaremos aparte de para monitorizar a nuestro Honeypot de alta interacción, para que actué de firewall/ids (para que me entendáis) para el resto de equipos y pase completamente desapercibido, más adelante veremos como las interfaces de red que se encuentran en la red 192.168.56.0/24 se encuentran en modo promiscuo…

You are not allowed to view links. Register or Login

Bien pero eso de momento es otra historia, vamos a configurar nuestro honeypot, nuestro tarro de miel, nuestro cebo…antes un par de puntualizaciones, he elegido la versión de Windows de Sebek para mantener una línea de sencillez y acercar estos elementos a la mayor parte de vosotros, es la última versión, pero aun así es antigua… sé también que Sebek tiene problemas de seguridad, y por ello os indico que no expongáis vuestra P.O.C. a Internet…

Dicho esto al lio…

[/url]Una instalación nueva de Windows XP, en aras de compatibilidad al máximo, una instalación de Microsoft SQL Server 2000, bien anticuada y por defecto, una instalación de Xampp versión 1.8.2, algo de foundstone HACME Casino, y el propio Windows XP por defecto…

You are not allowed to view links. Register or Login

Y el ejemplo de Hacme casino corriendo…

You are not allowed to view links. Register or Login

Y visto desde fuera, mas que nada para comprobar que funcione…

You are not allowed to view links. Register or Login

Muy bien, tenemos las cosas encaminadas, ahora vamos a configurar realmente nuestro Honeypot…desde la carpeta Sebek-win32-latest una vez descomprimida ejecutaremos el archivo ejecutable setup…

You are not allowed to view links. Register or Login

Que nos ira indicando el camino, básicamente instala el driver de Sebek en el sistema…

You are not allowed to view links. Register or Login

Siguiente…

You are not allowed to view links. Register or Login

Estamos de acuerdo siguiente…

You are not allowed to view links. Register or Login

Lo instalamos en la carpeta por defecto…

You are not allowed to view links. Register or Login

Sebek driver instalado, sin mas, ahora vamos a configurar el driver para ello ejecutaremos el configuration wizard.exe…

You are not allowed to view links. Register or Login

Como veis en la captura este asistente nos permite seleccionar una dirección mac, Ip y puerto de destino, selecciona un valor para evitar que los datos generados por sebek sean observados, seleccionar la interfaz de red en la que operara y el nombre del proceso que tendrá acceso a sebek…para ello necesitaremos decir al asistente donde reside sebek…

You are not allowed to view links. Register or Login

A continuación seleccionáremos la dirección Mac, la ip de destino y el puerto…

You are not allowed to view links. Register or Login

En este caso vamos a dejar la mac en blanco, por que no esta mas allá de un salto (de hecho esta en la misma red) el servidor de escucha, y no vamos a dirigir los datos a ninguna ip ya que no es recomendable, ni requerido, y para eso configuraremos honeywall, lo que si vamos a dejar por defecto en la instalación es el puerto 1101 UDP, pero en una instalación real seria muy interesante cambiarlo… siguiente

You are not allowed to view links. Register or Login

Seleccionamos el magic value, recomiendo utilizar el botón de randomización del mismo, aunque si vamos a configurar una honeynet (una red lan de Honeypots) tienen que ser el mismo para todas las maquinas…

You are not allowed to view links. Register or Login

La interfaz en la que trabajara nuestro honeypot… sin más…

You are not allowed to view links. Register or Login

Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareís que habíamos finalizado de configurar el medio de acceso alternativo a sebek, por tanto la instalación como tal ya ha finalizado…solo nos restaría eliminar todo rastro visible de sebek, carpetas de instalación, la papelera, etc…por que no tendría mucho sentido dejar en un honeypod, ningún rastro que indicara que lo es…
Y pasaremos a configurar al corazón de nuestro honeypod, honeywall, que es el que va actuar de barrera entre los atacantes y nosotros, y nos va a permitir asistir en directo a “sus” andanzas (en este caso las nuestras ya que no se encuentra en internet si no en una lan…recordáis?)
Me voy a saltar la instalación en sí de honeywall, porque es muy sencilla y por economía de espacio, asi que voy a darlos por instalado y pasaremos a la configuración en sí del mismo…solo un apunte más una vez iniciado honeywall desde la terminal (no tiene interfaz gráfica) tendremos que loguearnos como el usuario roo, con la contraseña roo, y ejecutaremos su -, que cargara el asistente para su configuración, previamente se nos solicitarán  la contraseña de root, por defecto roo, una vez realizado esto nos mostrará  la siguiente pantalla…
You are not allowed to view links. Register or Login
Pulsaremos ok…

You are not allowed to view links. Register or Login

Aviso sobre cómo salir del asistente de forma correcta…

Y el menú principal, adivinad cuál  vamos a seleccionar…

You are not allowed to view links. Register or Login

La aceptación de los riesgos…

You are not allowed to view links. Register or Login

Y comenzamos lo importante, seleccionaremos el modo interview…

You are not allowed to view links. Register or Login

Y comenzará  la configuración del Gateway… nos recomienda el paper “know your enemy; honeynets”… yo también lo recomiendo debería ser lectura obligada

You are not allowed to view links. Register or Login

Dirección ip de nuestro honeypod sebek, recordáis? 192.168.56.102.

You are not allowed to view links. Register or Login

A continuación la red del mismo en formato CIDR bien pues se la damos 192.168.56.0/24.

You are not allowed to view links. Register or Login

Y la dirección de broadcast de la misma red, bien 192.168.56.255, y recibiremos el siguiente mensaje…

You are not allowed to view links. Register or Login

La primera parte lista, vamos por la siguiente…

You are not allowed to view links. Register or Login

Se nos preguntará  si deseamos configurar una interfaz de mantenimiento…

You are not allowed to view links. Register or Login

Le comunicamos cuál es la interfaz elegida para la misma…

You are not allowed to view links. Register or Login

Nos comunica que se encuentra activa…

You are not allowed to view links. Register or Login

Y le comunicamos la ip de nuestra configuración en esta ocasión 192.168.42.2…

You are not allowed to view links. Register or Login

La puerta de entrada (Gateway) a dicha ip, en nuestra configuración 192.168.42.1…

You are not allowed to view links. Register or Login

Nos solicitará  el nombre del equipo en nuestro caso localhost…

You are not allowed to view links. Register or Login

Y el dominio dns, sin más en caso de que no se tenga el dominio, con poner localhost arreglado, siguiente…

You are not allowed to view links. Register or Login

A continuación introduciremos las dirección ips del servidor dns, para el uso de honeywall, en este caso he elegido 192.168.42.1, ya que es la primera ip de nuestra red nat, y junto con 192.168.42.2 son las únicas ips de esta red, por tanto, el espacio delimitado.

You are not allowed to view links. Register or Login

Una vez configurados los parámetros activaremos la interfaz…

You are not allowed to view links. Register or Login

Y en el siguiente inicio…

You are not allowed to view links. Register or Login

Y configuraremos SSH para poder comunicarnos de una manera mas segura…

You are not allowed to view links. Register or Login

En este caso autorizaremos conectarnos como súper usuario, en otros casos será mas conveniente no autorizarlo…que sepáis que tenemos esta opción…

You are not allowed to view links. Register or Login

Se nos pedirá que cambiemos las contraseñas para los usuarios, en nuestro caso roo y root, lo hacemos, y pasaremos al siguiente paso…

You are not allowed to view links. Register or Login

You are not allowed to view links. Register or Login

Después como vemos en la captura, se nos solicitarán los puertos TCP, aparte del 22, que deseamos que permitan la gestión de mantenimiento, en este caso introduciremos el 443…

You are not allowed to view links. Register or Login

Y cómo  no pudiera ser de otra manera, introduciremos la red desde la cuál  se podrá acceder a la interfaz de mantenimiento en este caso introduciremos la subred completa 192.168.42.0/24 aunque sabemos que solo tiene dos ips en uso, la 192.168.42.1 y 192.168.42.2…

You are not allowed to view links. Register or Login

Así mismo activáremos el uso de la interfaz web para el análisis de datos y mantenimiento, recordáis el uso del puerto 443?..

You are not allowed to view links. Register or Login

Restringimos las comunicaciones salientes…

You are not allowed to view links. Register or Login

Pero autorizamos los siguientes puertos TCP…

You are not allowed to view links. Register or Login

Y los puertos UDP…

You are not allowed to view links. Register or Login

Y finalizamos esta parte de la configuración.

You are not allowed to view links. Register or Login
Continuaremos en la siguiente entrada, un saludo a todos y perdonad el retraso…
Hasta pronto!!!




Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareis que habíamos finalizado, hace ya mucho tiempo, la segunda sección de la configuración de honeywall, en este post finalizaremos la configuración totalmente.
Para ello continuamos donde lo dejamos… al inicio de la tercera sección, vamos a abreviar en la medida de lo posible ahorrándonos pasos obvios y solo recalcando lo importante, al lió
Para que veáis donde nos encontramos en la tercera sección comenzamos a configurar las limitaciones que la gateway_firewall va a tener al nivel de conexiones, y también como nos va a presentar los reportes, en la captura siguiente hemos elegido la opción de hora para dicha escala…

You are not allowed to view links. Register or Login

En los siguientes cuatro pasos, elegiremos el numero de conexiones por protocolo en este orden tcp, udp, icmp, y el resto de protocolos, en cada una asignaremos los valores que se observan…

You are not allowed to view links. Register or Login

Tcp 20…

You are not allowed to view links. Register or Login

Udp 20…

You are not allowed to view links. Register or Login

icmp 50 por su particularidad y por ultimo…

You are not allowed to view links. Register or Login

10 el resto de protocolos. Bien la siguiente pregunta que nos realiza el asistente es sobre si deseamos que el firewall envié paquetes a snort_inline , le diremos que si…

You are not allowed to view links. Register or Login

A continuación nos solicitara que introduzcamos el path al archivo donde el firewall encontrara las ips de los equipos para que sean rechazados por el mismo, vamos la blacklist…

You are not allowed to view links. Register or Login

Y a continuación los equipos que se podrán conectar a el sin logearse, vamos la whitelist…

You are not allowed to view links. Register or Login

Y a continuación nos interrogara si deseamos que se utilicen ambos archivos para la ejecución del filtro le decimos que si…

You are not allowed to view links. Register or Login

Nos preguntara si queremos desactivar la opción filtrado de captura estricta lo daremos una negativa por respuesta…

You are not allowed to view links. Register or Login

Y se nos preguntara por el path a la fencelist, que se trata de las direcciones que bajo ningún concepto permitiremos que se conecten nuestros honeypots, se lo dejaremos por defecto…

You are not allowed to view links. Register or Login

Y si deseamos activarlo, le diremos que no…

You are not allowed to view links. Register or Login

Se nos preguntara por si deseamos activar el modo Rach mode, que desactiva todo el trafico saliente de nuestro honeypots…

You are not allowed to view links. Register or Login

Le diremos que no…y habremos finalizado la tercera etapa de la configuración…continuemos con la cuarta, que no es otra que la configuración del DNS…se nos preguntara si deseamos permitir en la honeynet ,acceso ilimitado a nuestros honeypots…

You are not allowed to view links. Register or Login

Y no le permitiremos el acceso al resto de servidores DNS externos…

You are not allowed to view links. Register or Login

Y también le restringiremos a cual servidor DNS puede tener acceso ilimitado como no podria ser de otro modo…

You are not allowed to view links. Register or Login

A continuación le indicaremos cual es ese servidor DNS al que tiene acceso mediante la ip…

You are not allowed to view links. Register or Login

Y habremos finalizado la quinta sección de configuración de Honeywall como vemos a continuación…

You are not allowed to view links. Register or Login

Seguimos en ello y configuraremos la sección de alertas y como os he prometido finalizaremos la instalación de honeywall, para configurarlas ante todo nos pedirá activar las alertas por email…

You are not allowed to view links. Register or Login

Para ello introduciremos el email, en este caso lo dejaremos por defecto, y nos avisa que debemos autorizar el tráfico saliente el puerto 25, y asegurarnos que le relay o servidor de email acepte el correo con origen en nuestro honeywall…

You are not allowed to view links. Register or Login

Activaremos que inicie el sistema con las alertas activadas al inicio…

You are not allowed to view links. Register or Login

Y pasaremos a configurar como nuestro honeywall gateway va a manejar los paquetes producidos por nuestro honeypot de alta interacción Sebek, por tanto le indicaremos que si…

You are not allowed to view links. Register or Login

Introduciremos cual es la ip de destino de los paquetes de sebek en este caso 192.168.56.254…

You are not allowed to view links. Register or Login

Y por supuesto el puerto de destino, el puerto 1101 del protocolo udp…

You are not allowed to view links. Register or Login

Nos preguntara por lo que deseamos que realice con los paquetes sebek que reciba, pues seleccionaremos que los acepte y que cree un registro de los mismos…

You are not allowed to view links. Register or Login

Y habremos llegado al final de la configuración inicial de honeywall y nos indica que se reiniciara…

You are not allowed to view links. Register or Login

Como vemos aquí…

You are not allowed to view links. Register or Login

Y hasta aquí la tercera entrega, en breve la cuarta y ultima con todo corriendo y un pequeño ejemplo.


Nota: no hemos podido encontrar la cuarta parte


Fuente: bitacoraderedes.com


Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 868
  • Actividad:
    13.33%
  • Reputación 15
    • Ver Perfil
    • Email
« Respuesta #1 en: Diciembre 02, 2016, 02:20:37 pm »
@You are not allowed to view links. Register or Login

Un detallado y muy extenso tutorial. Agradrecida que lo hayas traído!!! por la calidad del desarrollo y por las explicaciones.
 
Citar
Y hasta aquí la tercera entrega, en breve la cuarta y ultima con todo corriendo y un pequeño ejemplo.

Nota: no hemos podido encontrar la cuarta parte

A ver si aparece la parte cuarta, merece la pena la lectura y la puesta a la práctica.

Saludos

Gabriela

 

¿Te gustó el post? COMPARTILO!



Configurar un HoneyPot en tu aplicación web con Latch

Iniciado por Stiuvert

Respuestas: 1
Vistas: 1743
Último mensaje Diciembre 02, 2016, 10:42:04 am
por ANTRAX
Desplegando Honeypot (Kippo)

Iniciado por blackdrake

Respuestas: 3
Vistas: 1681
Último mensaje Enero 19, 2018, 12:09:08 am
por SC0RP10N