jueves, 7 de febrero de 2013

HoneyPot Easy.Part.VIII. NOVA Anti-Reconnaissence.

NOVA, Network Obfuscation and Virtualized Anti-Reconnaissence, suena bien. Un sistema basado en Honeyd según ellos, con una versión mejorada. Personalmente, sería como un frontend de configuración de honeyd al estilo de Honeywall, pero NOVA no usa la monitorización de paquetes, sino que basa su inteligencia en las reglas básicas de IP origen, destino, puerto, tamaño paquete etc. Algo que lo hace muy agil y sencillo de implementar.
Para los que no hayais seguido la serie de post sobre HONEYPOTS 1, 2, 3, 4 ,5, 6 Y 7., aclarar que este sistema nos sirve para ocultar, o mejor dicho, camuflar nuestros sistemas legítimos en una entorno virtual de máquinas y redes simuladas.

Para bajar el instalador basta con un : wget https://raw.github.com/DataSoft/Nova/master/debian/novaInstallHelper.sh

y ejecutarlo: sudo bash novaInstallHelper.sh.
En ocasiones ( siiii, lo he instalado mil veces xD) hay que modificar ciertas cositas en el script de instalación. Recuerdo quitar -Y en el apt-get de dependencias inicial para que rule.

Mas fácil imposible.

Podemos hacerlo manualmente...

sudo apt-get install git build-essential libcap2-bin libann-dev libpcap0.8-dev libboost-program-options-dev libboost-serialization-dev libnotify-dev sqlite3 libsqlite3-dev libcurl3 libcurl4-gnutls-dev iptables libxml2-dev libboost-system-dev libboost-filesystem-dev 

aunque en un Ubuntu Server 12.04 no hace falta instalar ninguna de estas.
Mismo caso para las dependencias de Honeyd.

sudo apt-get install libevent-dev libdumbnet-dev libpcap-dev libpcre3-dev libedit-dev bison flex libtool automake
Instalamos Quasar WEb UI para la entrada y salida de ficheros en javascript ejecutando el script que baja y compila.

sudo bash Quasar/getDependencies.sh

Nos movemos al directorio de Honeyd y compilamos con un sencillo:
./autogen.sh
automake
./configure
make
sudo make install

Lo mismo para Nova.

autoconf
./configure
make
sudo make install
Para arrancar los servicios al inicio copiamos el contenido de /Installer/miscFiles/upstart/* en /etc/init
Vamos a empezar a jugar. Iniciamos Quasar (simplemente tipeando eso) y en un navegador entramos https://ip:8080 usuario nova contraseña toor (mmm....)


Hacemos caso y ejecutamos el asistente para el nuevo uso ( siguiente siguiente siguiente en linux... i love it !!).
La primera opción es crear un usuario y clave distinto a la instalación (nova/toor said bye bye).
A continuación los datos básicos para configurar alertas mediante SMTP.
Después pasamos a configurar manualmente Haystacks, la lista de máquinas emuladas mediante honeyd. Añadimos un grupo de máquinas nuevo.


 Pulsamos arriba en Nodes, y creamos una máquina.

 Tiramos un nmap a esa ip a ver que pasa.


Vamos a ver que detecta el sistema.

 Vamos a crear un nuevo grupo de máquinas, mediante el descubrimiento de equipos en nuestra red.


Le indicamos la subred a escanear y el número de máquinas que queremos usar.


 El resultado de la red del laboratorio.


En la pestaña nodes editamos algún profile para configurarle algún dato.


Desde la pestaña de profiles modificamos la configuración propia del honeyd para esa emulación.


 Y configuramos el banner del servidor ssh con una versión concreta.

No quereis ver el resultado? no quereis ver como configurar más opciones en modo texto? añadir banners a los scripts? saber como puntua la "peligrosidad" de la actividad detectada?Próximas entradas...

Como siempre, gracias por leerme.

Por otro lado aprovecho la ocasión para comentar que he habilitado una nueva página dentro del blog, denominada Community Protección Project para recopilar artículos en castellano sobre medidas de seguridad para nuestros sistemas. Tenemos pués un recopilatorio para realizar nuestros test de intrusión, y por otro lado para "evitar" estos test de intrusión. Quien ganará? espero que todos xD y no solo los fabricantes de soluciones :-). Actualizado constantemente.
Google +