Que sería un tarro de miel para un hacker? pues un servidor lleno de puertos abiertos, servicios conocidos sin parchear corriendo, etc.
Entonces, podemos definir Honeypot, tal y como lo hace Wikipedia : Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques.
¿Por que un Honeypot?. Muy sencillo. Podemos evaluar los ataques, técnicos que realizan los hackers "malos" para atacarnos, y aprender de ello. Podemos preparar un HoneyWall para gestionar las conexiones, y junto a un idp, derivar un servicio legítimo, como pueda ser un acceso https a nuestra vpn externa, y al recibir 3 intentos fallidos de conexión, derivarlo a un servidor falso, como medida de protección.
También es interesante entretener a los atacantes con servidores sqlserver falsos y demás, y así darnos tiempo a revisar/securizar nuestros servicios. Para tema de estadísticas. Hay muchas razones para instalar un honeypot. También hay muchas razones para NO instalarlo. Por ejemplo, si ponemos un caramelo de este tipo a algún hacker malo, pero bueno en conocimientos, posiblemente consiga descubrir que es un Honeypot, y se centre en atacar los servicios legítimos. Otra pega es que si no dominamos la materia, y no configuramos bien el asunto,por ejemplo, ponemos una máquina virtual en una vlan, montamos una distro y configuramos el asunto, y habilitamos un puerto de salida para conectarnos por ssh para revisar los log´s...la liamos gorda gorda. Yo soy partidario de máquina al firewall, boca exclusiva para esa lan separada físicamente, reglas deny en todo el trafico entre vlans, y cuando quieras trabajar con los logs te vas con un pendrive y listo... Otro tema está en que si no ocultas bien los procesos de logging, y si el hacker malo es bueno, se da cuenta de todo... También hay consideraciones legales a la hora de exponer un punto mal securizado para atraer atacantes.
Poco a poco iremos viendo estas cosas.
Para empezar voy a comenzar un honeypot básico, NETCAT.
La idea es sencilla, abrimos un socket de escucha al puerto que queremos emular, le pasamos un fichero de text que será lo que vea el "atacante".
como lanzamos un socket?
el fichero telnet.txt
y ahora en un windows por ejemplo, probamos a hacer telnet ip.
Si queremos guardar lo que el atacante escribe, basta con redirigir el comando Nc al final hacia " >resultados.txt" .
Otro "honeypot" básico en el mundo de la seguridad, al menos en MI entorno Microsoft es el usuario Administrador.
Si mediante GPO cambiamos el nombre al usuario administrador, y creamos un usuario administrador básico, pelado, sin acceso, solo a una ruta de carpeta concreta. Le ponemos una clave, pero "algo" sencilla, que la pueda sacar en unos minutos, pero que no "denote" que es algo engañoso. Creamos una estructura arborescente enrevesada, con muuuuuchos directorios y subdirectorios, para entretener al "atacante". Esto es un honeypot, ya que emulamos un "servicio" y monitorizamos el acceso.Ya tenemos puesto el engaño, ahora auditamos el acceso a ficheros, y lo que es mejor, agregamos una tarea para que cuando alguien haga LOGIN con la cuenta administrador ( nadie debería usarla) nos manden un e-mail. De esta manera, tenemos información "just in time" de un supuesto atacante, y podemos emprender mas acciones, como activar un sniffer tipo wireshark, o cualquier perrería que se nos ocurra.
Nota: Si usas windows 8, vista o 7, desde el visor de eventos puedes elegir un evento de logon, boton derecho, realizar tarea, mandar correo, le dices que abra las propiedades de la tarea, le indicas que haga la tarea, esté el usuario logueado o no y poco más. Hay herramientas de terceros para realizar esto mismo con versiones previas.
Espero que os haya servido de nota introductoria este artículo, y en sucesivas entregas comentaremos mas sobre los famosos honeyd, el honeypot project y varias distros fáciles de usar.
Gracias por leerme !!!
.