Manual de Honeyd II

a.- Configuración de Iptables y rsyslog.

Por defecto los equipos con ubuntu -distribución que he empleado para la realización de esta práctica- tienen permitido todo tráfico entrante, saliente y en la cadena forward. En mi caso he creado un pequeño fichero para deshabilitar el tráfico forward. En el mismo fichero he creado unas reglas para registrar todo el tráfico dirigido a los puertos que estoy observando en mi honeypot: 21, 25, 80,....

#deshabilito forwarding para evitar que lo utilice alguien para acceder a la red

echo 0 > /proc/sys/net/ipv4/ip_forward

iptables -F

iptables -P FORWARD DROP

iptables -A INPUT -p tcp --dport http -j LOG --log-prefix "iptables http: " --log-level 4

iptables -A INPUT -p tcp --dport ftp -j LOG --log-prefix "ftp: " --log-level 4

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "ssh: " --log-level 4

iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "sendmail: " --log-level 4

iptables -A INPUT -p tcp --dport 79 -j LOG --log-prefix "finger: " --log-level 4

iptables -A INPUT -p tcp --dport pop3 -j LOG --log-prefix "pop3: " --log-level 4

iptables -A INPUT -p tcp --dport 143 -j LOG --log-prefix "imap: " --log-level 4

iptables -A INPUT -p tcp --dport 3128 -j LOG --log-prefix "squid: " --log-level 4

iptables -A INPUT -p tcp --dport 8080 -j LOG --log-prefix "squid: " --log-level 4

iptables -A INPUT -p udp --dport 514 -j LOG --log-prefix "syslogd: " --log-level 4

iptables -A INPUT -p tcp --dport 5901 -j LOG --log-prefix "vnc: " --log-level 4

iptables -A INPUT !-d 192.168.0.16 -j LOG --log-prefix "iptables: " --log-level 4 --log-level 4

A continuación editamos el fichero de configuración del servicio de logs para que inserte una línea en el fichero /var/logs/iptables, http,... para cada uno de los anteriores mensajes. Para ello abrimos y editamos el fichero /etc/rsyslog.d/50-default.conf y añadimos las siguientes líneas:

:msg,contains,"iptables" /var/log/iptables.log

:msg,contains,"iptables" ~

:msg,contains,"http" /var/log/honeypot/iptables_http.log

:msg,contains,"http" ~

:msg,contains,"ftp" /var/log/honeypot/iptables_ftp.log

:msg,contains,"ftp" ~

:msg,contains,"vnc" /var/log/honeypot/iptables_vnc.log

:msg,contains,"vnc" ~

:msg,contains,"ssh" /var/log/honeypot/iptables_ssh.log

:msg,contains,"sendmail" /var/log/honeypot/iptables_sendmail.log

:msg,contains,"fingerd" /var/log/honeypot/iptables_fingerd.log

:msg,contains,"squid" /var/log/honeypot/iptables_squid.log

:msg,contains,"syslogd" /var/log/honeypot/iptables_syslogd.log

:msg,contains,"pop3" /var/log/honeypot/iptables_pop3.log

:msg,contains,"imap" /var/log/honeypot/iptables_imap.log

con ello buscará en los logs la cadena respectiva (http, ftp,...) y en caso de encontrarla guardará un mensaje en el fichero correspondiente (iptables_http.log, iptables_ftp.log,...).

Tras ello reiniciamos el servicio de logs con:

restart rsyslog

o

/etc/init.d/rsyslog restart

si hacemos iptables -L -vn:

 << Anterior                                                                                                                Siguiente >>

Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace