lunes, 29 de agosto de 2011

Honeyd (VIII). Tráfico capturado

3.- Tráfico capturado.

Las primeras muestras de que hay alguien escaneando nuestros sistemas nos las ofrece honeyd desde la propia consola:image
en la imagen podemos ver cómo desde la 83.61.252.186 han solicitado conexión a los puertos 21, 80,110 y 8080, tras comprobar que están abiertos comienzan a ejecutarse los scripts asociados a esos puertos de manera reiterada. Normalmente esto indicará que estamos sufriendo un escaneo de puertos seguido de una comprobación automatizada de vulnerabilidades de esos puertos (como el que suele realizar, por ejemplo Nmap o Nessus.

jueves, 25 de agosto de 2011

Manual de Honeyd (VII). Honeyd registro

e.- Ficheros de registro de la actividad.

En resumen, con la configuración previa habremos recogido información en los siguientes lugares:
  • logs “genéricos”
    • /var/log/syslog: honeypot vuelca su información en este lugar además del fichero que le marquemos
    • /var/log/iptables: conexiones que se ajustan a las reglas que he configurado en iptables
  • logs de honeyd
    • /var/log/honeyd/honeyd.log: fichero dónde se registran todas las conexiones a nuestro “tarro de miel”.
    • Logs de scripts:
      • /var/log/honeyd.txt para los servicios vnc, finger, proftpd, exchange-pop3, exchange-imap
      • /var/log/honeypot/iis.log para el servicio web iis.sh
      • para cada uno de los servicios un fichero en el directorio /var/log/honeypot
      • /var/log/ftp-dirección_ip_del_atacante: log servicio ftp
  • Logs de snort: /var/log/alert
  • logs de iptables: he creado dentro de /var/log/honeypot/ un fichero para cada uno de los servicios del honeypot además del genérico en /var/log/iptables.
  • Contenido de los paquetes grabados con wireshark: almacenado en ficheros también dentro de /var/log/honeypot.




     << Anterior                                                                                                                Siguiente >>

Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace

miércoles, 24 de agosto de 2011

Manual de Honeyd (VI). Honeyd

d.- Honeyd

image

La instalación en Ubuntu de honeyd es muy sencilla, simplemente ejecutaremos:
apt-get install honeyd
y el sistema instalará la lista de paquetes necesarios incluyendo algunos ficheros de configuración básicos. 

Una vez hecho podemos echarle un vistazo al directorio /etc/honeypot dónde nos encontraremos un fichero de configuración de ejemplo junto con los ficheros de firmas de nmap, p0f y xprobe. Los ficheros de firmas los empleará honeyd para engañar a escaneos activos y pasivos cuando otros sistemas traten de averiguar el sistema operativo que está simulando. El fichero de configuración “honeyd.conf” puede servirnos de guía para crear nuestro propio fichero dónde simularemos nuestra red. 
En mi caso he decidido simular tres máquinas en el mismo rango de red que la de producción, los equipos y servicios, tal y cómo se puede ver en la primera imagen del guión son: windows2003 server, windows XP y Suse 8.0 (no todos los puertos están redirigidos desde fuera). El fichero de configuración será el siguiente:

martes, 23 de agosto de 2011

Manual de Honeyd (V). Farpd

d.- farpd

Farpd es un programa que sirve para realizar arp-spoofing de las ips que le digamos y que no estén siendo usadas en nuestra red local (diferencia con respecto a otros programas empleados para capturar paquetes destinados a otros equipos como puede ser Caín). 

Básicamente lo ejecutamos introduciendo como opción de configuración las ips que queremos que simule el equipo. Una vez en funcionamiento permanecerá a la escucha y cuando algún equipo de la red realice una petición arp para alguna de las ips que hemos introducido, sino contesta ningún otro equipo de la red, lo hará él simulando que nuestro equipo tiene varias ip asignadas. Con ello podemos hacer que un único equipo escuche varias ips de manera sencilla.

En mi caso lo ejecuto de la siguiente manera (lo he incluido en un fichero ejecutable llamado arrancar_farpd):
farpd -d -i eth2 192.168.0.21-192.168.0.30
  • la opción “-d” es para que no demonice la aplicación y para habilitar mostrar por pantalla la información relativa a las peticiones que escucha y acepta.
  • “-i” asignamos la interfaz que debe escuchar nuestro equipo.
  • “192.168.0.21-192.168.0.30” es el rango de ips para el que debe hacer arp-spoofing y que por tanto será el que empleemos en honeyd.
Para probarlo lanzo un ping al equipo 192.168.0.25 y me aseguro de que todo funciona correctamente:

image

como vemos recibe la solicitud, permanece a la escucha y envía la respuesta con la mac del propio equipo (cuya ip real es, en realidad, 192.168.0.16).


 << Anterior                                                                                                                Siguiente >>

Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace

viernes, 19 de agosto de 2011

Manual de Honeyd (IV). Wireshark

c.- Instalación y ejecución de Wireshark.

Aunque con snort ya capturamos las cabeceras de los paquetes, si queremos capturar el tráfico completo dirigido a nuestro equipo podemos emplear cualquier capturador de paquetes (tcpdump, tshark,....) yo prefiero wireshark porque me parece mucho más sencillo e intuitivo que las otras aplicaciones.

image
Tras instalarlo con

apt-get install wireshark

configuro la captura de datos; he decidido generar un fichero por hora y almacenar los logs de 7 días -con rotación-. Para evitar que capture tráfico que no me interesa -en este caso- he eliminado todo el tráfico broadcast, arp y el del equipo anfitrión dónde he instalado la máquina virtual, para ello simplemente introduzco un filtro de captura de datos:

not broadcast and not multicast and not arp and not host 192.168.0.193
en resumen quedaría tal y cómo se ven en la imagen superior.


 << Anterior                                                                                                                Siguiente >>

Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace

jueves, 18 de agosto de 2011

Manual de Honeyd (III)

b.- Instalación de Snort.

Snort ya ha sido objeto de estudio de un trabajo previo por lo que simplemente diré que lo he instalado junto con el honeypot para obtener más información sobre el tráfico que llega al equipo, tras instalarlo* con “apt-get install snort” y configuar correctamente el fichero snort.conf con la ip correcta de la red local (en mi caso 192.168.0.0/24) lo ejecuto:
snort -A full -i eth2 -c /etc/snort/snort.conf

como vemos empleo para la escucha la interfaz eth2 que previamente he configurado en la máquina virtual para acceder directamente a mi red de área local -modo puente-.
Para ver si funciona podemos realizar un escaneo con nmap desde otro equipo de la red y ver por pantalla los logs con:
tail -f /var/log/snort/alert

si todo va bien ya tendremos nuestro IDS en funcionamiento.

image

*En posteriores entregas explicaré con más detalle la instalación y funcionamiento de este IDS y su combinación con alguna interfaz gráfica disponible.


 << Anterior                                                                                                                Siguiente >>

Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace

miércoles, 17 de agosto de 2011

Manual de Honeyd II


a.- Configuración de Iptables y rsyslog.

Por defecto los equipos con ubuntu -distribución que he empleado para la realización de esta práctica- tienen permitido todo tráfico entrante, saliente y en la cadena forward. En mi caso he creado un pequeño fichero para deshabilitar el tráfico forward. En el mismo fichero he creado unas reglas para registrar todo el tráfico dirigido a los puertos que estoy observando en mi honeypot: 21, 25, 80,....

image

martes, 16 de agosto de 2011

Manual de Honeyd

La mejor manera de entender el funcionamiento de un honeypot es la puesta en funcionamiento de uno, en el siguiente documento se explica paso a paso cómo instalar y configurar honeyd así como el software complementario necesario para la realización de la práctica.

Igualmente se verán los resultados de exponer nuestro ordenador con el equipo instalado al exterior (es decir abrir puertos a Internet).
Índice de contenido

1.- Introducción.
2.-Preparación de la práctica y configuración del software.
a.- Configuración de Iptables y rsyslog.
b.- Instalación de Snort.
c.- Wireshark.
d.- farpd
d.- Honeyd
e.- Ficheros de registro de la actividad.
3.- Tráfico capturado.

1.- Introducción.

Para la realización de esta práctica consistente en la detección de tráfico malicioso hacia un honeypot he empleado honeyd sirviéndome de la propia red en producción. Para ello he empleado algunas de las ips libres de mi red en lugar de crear otra red con otro rango totalmente distinto.

viernes, 12 de agosto de 2011

Honeypot VII

7.- Honeynet.

Generalmente se emplean en sistemas de investigación y no en producción ya que requieren una gran cantidad de tiempo y recursos para su implementación y mantenimiento. Su utilización excede el uso como prevención, detección o reacción a ataques pero son excelentes como honeypots de investigación dando respuesta, entre otras a cuestiones como ¿ Quiénes son los atacantes?¿Qué herramientas usan?¿Qué tácticas emplean?¿Cuáles son sus motivaciones? Ninguna otra solución honeypot nos puede dar tanta información.
a.- Métodos, motivos y herramientas involucradas.
La primera norma de investigación es aprender tanto como sea posible sobre los atacantes. Las honeynets nos permiten capturar sus pulsaciones de teclas, las herramientas que emplean para probar y explotar sistemas o incluso sus sesiones de chat.
b.- Análisis de tendencias.
La información recogida puede servir para predecir ataques actuando como sistemas de alerta temprana. Generalmente es difícil determinar cuando se va a atacar a un sistema o con que herramientas.

jueves, 11 de agosto de 2011

Honeypot 6

6.- Honeyd

Al igual que el honeypot BackOfficer, explicado previamente, es un honeypot de baja interacción, aunque mucho más versátil y que ofrece mucha más información. Para funcionar no asume la ip del sistema en el que se instala -como hace BackOfficer-, sino que emplea ips no empleadas por otro equipo.

Una de las ventajas que ofrece es que es capaz de simular una gran cantidad de sistemas operativos al mismo tiempo. 

Es un sistema de baja-interacción empleado principalmente en sistemas de producción a modo de alerta para detectar tanto ataques como sistemas comprometidos. De todos modos permite la incorporación de scripts para simular determinados servicios, algunos de ellos, por ejemplo en el caso del virus Kuang2 permiten incluso más interactividad para el atacante, guardando incluso los ficheros subidos por los atacantes.