comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Montando un Honeypot (sebek, honeywall en Virtualbox)

  • 1 Respuestas
  • 2376 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2668
  • Actividad:
    1.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« en: Diciembre 01, 2016, 07:35:12 pm »
Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento…por desgracia no lo he podido llevar a cabo…aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito…solo para que veáis como se ve…

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot…

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.”

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página No tienes permisos para ver links. Registrate o Entra con tu cuenta

Sebek is a data capture tool designed to capture attacker’s activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently.

Y he elegido No tienes permisos para ver links. Registrate o Entra con tu cuenta como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

No tienes permisos para ver links. Registrate o Entra con tu cuenta is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it.”

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones…

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

No tienes permisos para ver links. Registrate o Entra con tu cuenta


Lo que traducido en virtualbox, tendríamos 4 máquinas virtuales…


No tienes permisos para ver links. Registrate o Entra con tu cuenta


La interfaz de control estaría configurada en la subred 192.168.42.0/24 la cual la introduciríamos como un adaptador host-only y salvo que tengamos más interfaces configuradas seria la interfaz virtualbox host-only Ethernet adapter 2# como se observa en la siguiente captura…


No tienes permisos para ver links. Registrate o Entra con tu cuenta


Bien, la siguiente es la maquina nombrada Honeywall 1.4 que como seña especial necesita ser configurada con minimo 256 mb de ram y como maximo 900 mb, en este caso tiene 924 mb aunque no redirecciona mas que 900 mb, y que como vereis tiene 3 interfaces de red, 2 de ellas configuradas como Redes NAT, y ambas en la misma subred red1 fijaos como se encuentra configurada con la subred 192.168.56.0/24, y otra interfaz en la interfaz virtualbox host-only Ethernet adapter 2# (recordemos 192.168.42.0/24) tal y como se observa en la siguiente captura…


No tienes permisos para ver links. Registrate o Entra con tu cuenta

Nos quedarían dos máquinas virtuales por configurar la red, la atacante con red nat, red 1…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y la que alberga el honeypotSebek también configurada con red nat red 1, sin más…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Bien si hemos configurado las redes como aquí se muestra todo irá bien… tened en cuenta que el equipo Honeywall lo utilizaremos aparte de para monitorizar a nuestro Honeypot de alta interacción, para que actué de firewall/ids (para que me entendáis) para el resto de equipos y pase completamente desapercibido, más adelante veremos como las interfaces de red que se encuentran en la red 192.168.56.0/24 se encuentran en modo promiscuo…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Bien pero eso de momento es otra historia, vamos a configurar nuestro honeypot, nuestro tarro de miel, nuestro cebo…antes un par de puntualizaciones, he elegido la versión de Windows de Sebek para mantener una línea de sencillez y acercar estos elementos a la mayor parte de vosotros, es la última versión, pero aun así es antigua… sé también que Sebek tiene problemas de seguridad, y por ello os indico que no expongáis vuestra P.O.C. a Internet…

Dicho esto al lio…

[/url]Una instalación nueva de Windows XP, en aras de compatibilidad al máximo, una instalación de Microsoft SQL Server 2000, bien anticuada y por defecto, una instalación de Xampp versión 1.8.2, algo de foundstone HACME Casino, y el propio Windows XP por defecto…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y el ejemplo de Hacme casino corriendo…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y visto desde fuera, mas que nada para comprobar que funcione…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Muy bien, tenemos las cosas encaminadas, ahora vamos a configurar realmente nuestro Honeypot…desde la carpeta Sebek-win32-latest una vez descomprimida ejecutaremos el archivo ejecutable setup…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Que nos ira indicando el camino, básicamente instala el driver de Sebek en el sistema…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Siguiente…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Estamos de acuerdo siguiente…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Lo instalamos en la carpeta por defecto…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Sebek driver instalado, sin mas, ahora vamos a configurar el driver para ello ejecutaremos el configuration wizard.exe…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Como veis en la captura este asistente nos permite seleccionar una dirección mac, Ip y puerto de destino, selecciona un valor para evitar que los datos generados por sebek sean observados, seleccionar la interfaz de red en la que operara y el nombre del proceso que tendrá acceso a sebek…para ello necesitaremos decir al asistente donde reside sebek…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

A continuación seleccionáremos la dirección Mac, la ip de destino y el puerto…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

En este caso vamos a dejar la mac en blanco, por que no esta mas allá de un salto (de hecho esta en la misma red) el servidor de escucha, y no vamos a dirigir los datos a ninguna ip ya que no es recomendable, ni requerido, y para eso configuraremos honeywall, lo que si vamos a dejar por defecto en la instalación es el puerto 1101 UDP, pero en una instalación real seria muy interesante cambiarlo… siguiente

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Seleccionamos el magic value, recomiendo utilizar el botón de randomización del mismo, aunque si vamos a configurar una honeynet (una red lan de Honeypots) tienen que ser el mismo para todas las maquinas…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

La interfaz en la que trabajara nuestro honeypot… sin más…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareís que habíamos finalizado de configurar el medio de acceso alternativo a sebek, por tanto la instalación como tal ya ha finalizado…solo nos restaría eliminar todo rastro visible de sebek, carpetas de instalación, la papelera, etc…por que no tendría mucho sentido dejar en un honeypod, ningún rastro que indicara que lo es…
Y pasaremos a configurar al corazón de nuestro honeypod, honeywall, que es el que va actuar de barrera entre los atacantes y nosotros, y nos va a permitir asistir en directo a “sus” andanzas (en este caso las nuestras ya que no se encuentra en internet si no en una lan…recordáis?)
Me voy a saltar la instalación en sí de honeywall, porque es muy sencilla y por economía de espacio, asi que voy a darlos por instalado y pasaremos a la configuración en sí del mismo…solo un apunte más una vez iniciado honeywall desde la terminal (no tiene interfaz gráfica) tendremos que loguearnos como el usuario roo, con la contraseña roo, y ejecutaremos su -, que cargara el asistente para su configuración, previamente se nos solicitarán  la contraseña de root, por defecto roo, una vez realizado esto nos mostrará  la siguiente pantalla…
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Pulsaremos ok…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Aviso sobre cómo salir del asistente de forma correcta…

Y el menú principal, adivinad cuál  vamos a seleccionar…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

La aceptación de los riesgos…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y comenzamos lo importante, seleccionaremos el modo interview…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y comenzará  la configuración del Gateway… nos recomienda el paper “know your enemy; honeynets”… yo también lo recomiendo debería ser lectura obligada

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Dirección ip de nuestro honeypod sebek, recordáis? 192.168.56.102.

No tienes permisos para ver links. Registrate o Entra con tu cuenta

A continuación la red del mismo en formato CIDR bien pues se la damos 192.168.56.0/24.

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y la dirección de broadcast de la misma red, bien 192.168.56.255, y recibiremos el siguiente mensaje…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

La primera parte lista, vamos por la siguiente…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Se nos preguntará  si deseamos configurar una interfaz de mantenimiento…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Le comunicamos cuál es la interfaz elegida para la misma…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Nos comunica que se encuentra activa…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y le comunicamos la ip de nuestra configuración en esta ocasión 192.168.42.2…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

La puerta de entrada (Gateway) a dicha ip, en nuestra configuración 192.168.42.1…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Nos solicitará  el nombre del equipo en nuestro caso localhost…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y el dominio dns, sin más en caso de que no se tenga el dominio, con poner localhost arreglado, siguiente…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

A continuación introduciremos las dirección ips del servidor dns, para el uso de honeywall, en este caso he elegido 192.168.42.1, ya que es la primera ip de nuestra red nat, y junto con 192.168.42.2 son las únicas ips de esta red, por tanto, el espacio delimitado.

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Una vez configurados los parámetros activaremos la interfaz…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y en el siguiente inicio…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y configuraremos SSH para poder comunicarnos de una manera mas segura…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

En este caso autorizaremos conectarnos como súper usuario, en otros casos será mas conveniente no autorizarlo…que sepáis que tenemos esta opción…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Se nos pedirá que cambiemos las contraseñas para los usuarios, en nuestro caso roo y root, lo hacemos, y pasaremos al siguiente paso…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Después como vemos en la captura, se nos solicitarán los puertos TCP, aparte del 22, que deseamos que permitan la gestión de mantenimiento, en este caso introduciremos el 443…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y cómo  no pudiera ser de otra manera, introduciremos la red desde la cuál  se podrá acceder a la interfaz de mantenimiento en este caso introduciremos la subred completa 192.168.42.0/24 aunque sabemos que solo tiene dos ips en uso, la 192.168.42.1 y 192.168.42.2…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Así mismo activáremos el uso de la interfaz web para el análisis de datos y mantenimiento, recordáis el uso del puerto 443?..

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Restringimos las comunicaciones salientes…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Pero autorizamos los siguientes puertos TCP…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y los puertos UDP…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y finalizamos esta parte de la configuración.

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Continuaremos en la siguiente entrada, un saludo a todos y perdonad el retraso…
Hasta pronto!!!




Vamos a continuar configurando nuestro honeypod con sebek y honeywall desde el punto en el cual lo dejamos, recordareis que habíamos finalizado, hace ya mucho tiempo, la segunda sección de la configuración de honeywall, en este post finalizaremos la configuración totalmente.
Para ello continuamos donde lo dejamos… al inicio de la tercera sección, vamos a abreviar en la medida de lo posible ahorrándonos pasos obvios y solo recalcando lo importante, al lió
Para que veáis donde nos encontramos en la tercera sección comenzamos a configurar las limitaciones que la gateway_firewall va a tener al nivel de conexiones, y también como nos va a presentar los reportes, en la captura siguiente hemos elegido la opción de hora para dicha escala…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

En los siguientes cuatro pasos, elegiremos el numero de conexiones por protocolo en este orden tcp, udp, icmp, y el resto de protocolos, en cada una asignaremos los valores que se observan…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Tcp 20…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Udp 20…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

icmp 50 por su particularidad y por ultimo…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

10 el resto de protocolos. Bien la siguiente pregunta que nos realiza el asistente es sobre si deseamos que el firewall envié paquetes a snort_inline , le diremos que si…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

A continuación nos solicitara que introduzcamos el path al archivo donde el firewall encontrara las ips de los equipos para que sean rechazados por el mismo, vamos la blacklist…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y a continuación los equipos que se podrán conectar a el sin logearse, vamos la whitelist…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y a continuación nos interrogara si deseamos que se utilicen ambos archivos para la ejecución del filtro le decimos que si…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Nos preguntara si queremos desactivar la opción filtrado de captura estricta lo daremos una negativa por respuesta…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y se nos preguntara por el path a la fencelist, que se trata de las direcciones que bajo ningún concepto permitiremos que se conecten nuestros honeypots, se lo dejaremos por defecto…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y si deseamos activarlo, le diremos que no…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Se nos preguntara por si deseamos activar el modo Rach mode, que desactiva todo el trafico saliente de nuestro honeypots…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Le diremos que no…y habremos finalizado la tercera etapa de la configuración…continuemos con la cuarta, que no es otra que la configuración del DNS…se nos preguntara si deseamos permitir en la honeynet ,acceso ilimitado a nuestros honeypots…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y no le permitiremos el acceso al resto de servidores DNS externos…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y también le restringiremos a cual servidor DNS puede tener acceso ilimitado como no podria ser de otro modo…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

A continuación le indicaremos cual es ese servidor DNS al que tiene acceso mediante la ip…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y habremos finalizado la quinta sección de configuración de Honeywall como vemos a continuación…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Seguimos en ello y configuraremos la sección de alertas y como os he prometido finalizaremos la instalación de honeywall, para configurarlas ante todo nos pedirá activar las alertas por email…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Para ello introduciremos el email, en este caso lo dejaremos por defecto, y nos avisa que debemos autorizar el tráfico saliente el puerto 25, y asegurarnos que le relay o servidor de email acepte el correo con origen en nuestro honeywall…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Activaremos que inicie el sistema con las alertas activadas al inicio…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y pasaremos a configurar como nuestro honeywall gateway va a manejar los paquetes producidos por nuestro honeypot de alta interacción Sebek, por tanto le indicaremos que si…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Introduciremos cual es la ip de destino de los paquetes de sebek en este caso 192.168.56.254…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y por supuesto el puerto de destino, el puerto 1101 del protocolo udp…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Nos preguntara por lo que deseamos que realice con los paquetes sebek que reciba, pues seleccionaremos que los acepte y que cree un registro de los mismos…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y habremos llegado al final de la configuración inicial de honeywall y nos indica que se reiniciara…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Como vemos aquí…

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Y hasta aquí la tercera entrega, en breve la cuarta y ultima con todo corriendo y un pequeño ejemplo.


Nota: no hemos podido encontrar la cuarta parte


Fuente: bitacoraderedes.com


Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 874
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
    • Email
« Respuesta #1 en: Diciembre 02, 2016, 02:20:37 pm »
@No tienes permisos para ver links. Registrate o Entra con tu cuenta

Un detallado y muy extenso tutorial. Agradrecida que lo hayas traído!!! por la calidad del desarrollo y por las explicaciones.
 
Citar
Y hasta aquí la tercera entrega, en breve la cuarta y ultima con todo corriendo y un pequeño ejemplo.

Nota: no hemos podido encontrar la cuarta parte

A ver si aparece la parte cuarta, merece la pena la lectura y la puesta a la práctica.

Saludos

Gabriela

 

¿Te gustó el post? COMPARTILO!



Configurar un HoneyPot en tu aplicación web con Latch

Iniciado por Stiuvert

Respuestas: 1
Vistas: 1875
Último mensaje Diciembre 02, 2016, 10:42:04 am
por ANTRAX
Desplegando Honeypot (Kippo)

Iniciado por blackdrake

Respuestas: 3
Vistas: 1919
Último mensaje Enero 19, 2018, 12:09:08 am
por SC0RP10N