miércoles, 17 de agosto de 2011

Manual de Honeyd II


a.- Configuración de Iptables y rsyslog.

Por defecto los equipos con ubuntu -distribución que he empleado para la realización de esta práctica- tienen permitido todo tráfico entrante, saliente y en la cadena forward. En mi caso he creado un pequeño fichero para deshabilitar el tráfico forward. En el mismo fichero he creado unas reglas para registrar todo el tráfico dirigido a los puertos que estoy observando en mi honeypot: 21, 25, 80,....

image


#deshabilito forwarding para evitar que lo utilice alguien para acceder a la red
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -P FORWARD DROP
iptables -A INPUT -p tcp --dport http -j LOG --log-prefix "iptables http: " --log-level 4
iptables -A INPUT -p tcp --dport ftp -j LOG --log-prefix "ftp: " --log-level 4
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "ssh: " --log-level 4
iptables -A INPUT -p tcp --dport 25 -j LOG --log-prefix "sendmail: " --log-level 4
iptables -A INPUT -p tcp --dport 79 -j LOG --log-prefix "finger: " --log-level 4
iptables -A INPUT -p tcp --dport pop3 -j LOG --log-prefix "pop3: " --log-level 4
iptables -A INPUT -p tcp --dport 143 -j LOG --log-prefix "imap: " --log-level 4
iptables -A INPUT -p tcp --dport 3128 -j LOG --log-prefix "squid: " --log-level 4
iptables -A INPUT -p tcp --dport 8080 -j LOG --log-prefix "squid: " --log-level 4
iptables -A INPUT -p udp --dport 514 -j LOG --log-prefix "syslogd: " --log-level 4
iptables -A INPUT -p tcp --dport 5901 -j LOG --log-prefix "vnc: " --log-level 4
iptables -A INPUT !-d 192.168.0.16 -j LOG --log-prefix "iptables: " --log-level 4 --log-level 4
A continuación editamos el fichero de configuración del servicio de logs para que inserte una línea en el fichero /var/logs/iptables, http,... para cada uno de los anteriores mensajes. Para ello abrimos y editamos el fichero /etc/rsyslog.d/50-default.conf y añadimos las siguientes líneas:
:msg,contains,"iptables" /var/log/iptables.log
:msg,contains,"iptables" ~
:msg,contains,"http" /var/log/honeypot/iptables_http.log
:msg,contains,"http" ~
:msg,contains,"ftp" /var/log/honeypot/iptables_ftp.log
:msg,contains,"ftp" ~
:msg,contains,"vnc" /var/log/honeypot/iptables_vnc.log
:msg,contains,"vnc" ~
:msg,contains,"ssh" /var/log/honeypot/iptables_ssh.log
:msg,contains,"sendmail" /var/log/honeypot/iptables_sendmail.log
:msg,contains,"fingerd" /var/log/honeypot/iptables_fingerd.log
:msg,contains,"squid" /var/log/honeypot/iptables_squid.log
:msg,contains,"syslogd" /var/log/honeypot/iptables_syslogd.log
:msg,contains,"pop3" /var/log/honeypot/iptables_pop3.log
:msg,contains,"imap" /var/log/honeypot/iptables_imap.log
con ello buscará en los logs la cadena respectiva (http, ftp,...) y en caso de encontrarla guardará un mensaje en el fichero correspondiente (iptables_http.log, iptables_ftp.log,...).
Tras ello reiniciamos el servicio de logs con:
restart rsyslog
o
/etc/init.d/rsyslog restart
si hacemos iptables -L -vn:

image


 << Anterior                                                                                                                Siguiente >>


Para ver el resto de manuales de seguridad y enlaces a las siguientes entregas, puede acudir al índice de temas de seguridad en el enlace

1 comentario:

Anónimo dijo...

Seria posible, ademas, el envio de un correo electronico?

Intente jugar con lo siguiente, pero no funciona.
:msg, contains, "IPTA:"-/var/log/firewall/iptables.log | mail -s "Firewall-Log" aaaaaaaa@hotmail.com
__________________________________
:msg, contains, "IPTA:"- mail -s "Firewall-Log" aaaaaaaa@hotmail.com