La mejor manera de entender el funcionamiento de un honeypot es la puesta en funcionamiento de uno, en el siguiente documento se explica paso a paso cómo instalar y configurar honeyd así como el software complementario necesario para la realización de la práctica.
Igualmente se verán los resultados de exponer nuestro ordenador con el equipo instalado al exterior (es decir abrir puertos a Internet).
Índice de contenido
1.- Introducción.
2.-Preparación de la práctica y configuración del software.
a.- Configuración de Iptables y rsyslog.
b.- Instalación de Snort.
c.- Wireshark.
d.- farpd
d.- Honeyd
e.- Ficheros de registro de la actividad.
3.- Tráfico capturado.
1.- Introducción.
Para la realización de esta práctica consistente en la detección de tráfico malicioso hacia un honeypot he empleado honeyd sirviéndome de la propia red en producción. Para ello he empleado algunas de las ips libres de mi red en lugar de crear otra red con otro rango totalmente distinto.
Además y para que la práctica fuera más general he configurado también iptables para registrar la actividad hacia los puertos abiertos en el honeypot en función de cada servicio empleando rsyslog.
Esta configuración se podría emplear en un cortafuegos perimetral para crear logs de la actividad sospechosa además de en el equipo que tenga nuestro honeypot instalado.
Esta configuración se podría emplear en un cortafuegos perimetral para crear logs de la actividad sospechosa además de en el equipo que tenga nuestro honeypot instalado.
En el siguiente punto explico qué software he instalado y cómo lo he configurado, finalmente mostraré algunos retazos del tráfico que ha llegado a mi honeypot y su significado.
2.-Preparación de la práctica y configuración del software.
Lo primero que tendremos que hacer para el desarrollo de esta práctica es abrir los puertos que nos interese estudiar en nuestro honeypot y dirigirlos a la ip que configuraremos después en honeyd. En mi caso el router de mi proveedor (tele2) no deja mucho margen a la configuración, por lo que he tenido que redirigir puerto a puerto hacia una ip en la interfaz web del proveedor -no permiten acceso al router para esta tarea-, para mayor desgracia en múltiples ocasiones a mitad o tras un ataque se quedaba totalmente bloqueado siendo necesario su reinicio -esto sucede especialmente cuando los atacantes empleaban nessus o nmap con los plugins-. Al margen del resto de puertos abiertos en el router por razones varias, en la anterior imagen podemos ver un esquema, con las tres máquinas simuladas mediante honeyd -todas ellas dentro de la misma máquina virtual- cuyos puertos han sido redirigidos desde el router, junto con el script que usaré en honeyd para simular el servicio en esta práctica.
Al margen de esto, he creado una máquina virtual basada en Ubuntu en la que he instalado el honeypot y configurado: iptables, wireshark, honeyd, farpd y snort. Para ello he seguido los pasos que detallo a continuación.
No hay comentarios:
Publicar un comentario