ecoestadistica.com

martes, diciembre 06, 2005

¿Como hacer un HoneyPots?

Sí nunca ha trabajado con honeypots antes, y quiere aprender más, recomendaría que comience con un simple honeypot de baja interacción, como el KFSensor (http://www.keyfocus.net/kfsensor/ Versión Trial ) o Specter (http://www.specter.com/default50.htm Versión Pago) para usuarios de Windows, o Honeyd para usuarios de Unix. Incluso hay un "Kit de herramientas Honeyd para Linux" (Honeyd Linux Toolkit http://www.tracking-hackers.com/solutions/honeyd/ ) para el fácil uso del Honeyd en computadoras Linux, otra alternativa es PatriotBox como servidor honeypot, de (http://www.alkasis.com/?fuseaction=products.submenu&id=48 versión pago).

Los Honeypots de baja interacción tienen la ventaja de ser más fáciles de usar con poco riesgos, ya que contienen la actividad del atacante. Una vez que haya tenido la oportunidad de trabajar con soluciones de baja interacción, puede tomar las habilidades y el conocimiento que haya desarrollado y trabajar con soluciones de alta interacción.

¿Quieres crear tu propio HoneyPots?

Ambientes Windows:
Paso 1.
Bajarnos el entorno Perl (ActivePerl 5.8.6) para windows
http://www.activestate.com/Products/Download/Download.plex?id=ActivePerl allí encontrará varios formatos, se recomienda bajar el .zip ( http://downloads.activestate.com/ActivePerl/Windows/5.8/ActivePerl-5.8.6.811-MSWin32-x86-122208.zip , una vez descargado ejecute en línea de comando installer.bat, allí le presentará una serie de opciones que puede dejar por defecto.

Paso 2.
Añadir el directorio Perl al PATH. Entre en Mi PC con el click derecho entre en opciones avanzadas, variables de entorno y agregue lo siguiente:
c:\>path=%path%;c:\perl (o donde haya instalado el Perl).

Paso 3.
Bajarnos el entorno Python (ActivePython 2.4.0)
http://www.activestate.com/Products/Download/Download.plex?id=Activepython
Una vez instalado el SO (Sitema operativo) estará en la disponibilidad de ejecutar ficheros .py.

Ahora bien, es imprescindible equipar una máquina diseñada para ser atacada, con un sistema de seguridad. en caso contrario podría volverse en nuestra contra.

Paso 4
Bajarnos un script (free) desde http://www.megamultimedia.com/arroba/arroba78/descargas/intrusos.zip de nombre windog, q peso solo 3k y es la mínima expresión de un honeypot, además de configurable es sencillo de instalar y su código es bastante entendible, solo basta tener ciertos conocimientos de programación.

Una vez descomprimido encontrarás 2 ficheros perl (sendmail.pl y telnet.pl) como tambien un readme del autor del script. Sí el entorno Perl esta corriendo solo tendremos que pulsar dos veces sobre cualquiera de los ficheros nombrados anteriormente y aparecerá una consola indicando que el script esta corriendo. NOTA: "Debemos estar atentos que no exista ningún servicio corriendo en los puertos que se indican en el script (23 si se ejecuta el telnel.pl o el 25 sí se ejecuta el sendmail.pl)"

Paso 5
Comprobemos que esta funcionando el script
Pulsemos sobre telnet.pl dos veces
ahora por medio de la consola hagamos un telnet
telnet localhost

aparecerá algo similar a esto:
Unix(r) System V release 4.0
(Brooder)
Login:

Estará en espera que se introduzca el login y contraseña de acceso al sistema. El mensaje que muestra por consola puede ser modificado a gusto. Todos los intentos de login y contrseña quedarán reflejados en la ventana en la que se levanto el script y nunca serán válidados porque no esta programado de esa forma, además de que no hay servicio alguno que validar. Sí dejamos corriendo esto por un tiempo con vista a internet se observará como alguien intentará entrar por ese servicio ficticio.

Para modificar el banner que sale al principio indicando que el visitante acaba de conectarse a un sistema Unix, abre el fichero telnet.pl y modifica la línea:
$banner ="\n\r\n\rUnix (r) System V Release 4.0 (brooder) \n\r";

Para el fichero sendmail es exactamente igual.

Sí usas el fichero sendmail.pl y al hacer conexión via telnet solo reconocerá el comando HELO y reponderá con un saludo y la dirección IP del visistante que acaba de conectarse.

Los script son tan sencillos que podemos hasta cambiar el puerto, si deseas trabajar con el puerto 23 solo debes cambiar el valor de la variable $port, ejemplo: $port = 22;

** Miscelaneas
Recuerda que la verdadera potencia de los servidores trampa consiste en saber atacar al Script Kiddie donde más les duele. Ten presente que deberás combinar diferentes herramientas de analisis y monitoreo para sacar un verdadero provecho de un HoneyPots.

Fuentes consultadas:

HoneyNet Español
http://his.sourceforge.net/trad/honeynet/
Zonavirus
http://www.zonavirus.com/Detalle_Articulo.asp?Articulo=108
Symantec
http://www.symantec.com/region/mx/enterprisesecurity/content/framework/LAM_2371.html
Datafull
http://www.datafull.com/datahack/informe.php?id=255
Forzis
http://www.forzis.com
Tracking-Hackers
http://www.tracking-hackers.com


Bibliografía Recomendada:
Lanze Spitzner, Honeypots, Tracking Hack-ers, Addison Wesley, 2003.
The Honeynet Project, Know Your Enemy. Revealing the security tools, tactics, and mo-tives of the blackhat community, Addison Wesley, 2002.
The Honeynet Project, Know Your Enemy. Honeynets, Noviembre de 2003.
The Honeynet Project, Know Your Enemy. GenII Honeynets, Noviembre de 2003.
Eduardo Gallego Revilla, Desarrollo de una Red Virtual de Señuelos para la Detección yAnálisis de Intrusiones en Sistemas Informá-ticos, ETSI de Telecomunicación, UPM. Di-ciembre de 2003.
Ryan C. Barnett, Monitoring VMware honey-pots, Septiembre de 2002.
The Honeynet Project, Know Your Enemy. Hot Zoneing, Febrero de 2003.
Lanze Spitzner, Honeypot Farms, Agosto de 2003.

Salu2

ecoestadistica.com