Una distribución completa (Xubuntu) orientada al mundo de los honeypots, en las que los desarrolladores se han tomado la molestia de hacernos el trabajo sucio, y dejarnos los clicks y ficheros de configuración listos para jugar.
Hasta la fecha hemos trabajado con Backtrack para realizar auditorías de seguridad/Ataques. Hemos jugado con Security Onion (1,2,3) para montar nuestro sistema IDS. Ahora vamos a jugar con Honeydrive para implementar un servidor de Honeypots.
Como he visto en todos los post publicados al respecto, la lista de herramientas es larga, larga, laaarga, y para eso está Google. Vamos a ponernos sobre la marcha.
Después de descargar el fichero Ova con nuestra máquina virtual ( lista para virtual Pc) solo tenemos que iniciar la máquina y entrar con el usuario/pass honeydrive.
Lo primero que tenemos que hacer es cambiar el password del usuario con passwd.
Empezamos configurando Kippo. Os recomiendo leer la seria de artículos de la gente de Security By Default 1,2 y 3.
Básicamente es una emulación de un servicio SSH el cual nos puede servir, entre otras cosas, para recopilar diccionarios de usuarios/contraseñas empleados por los atacantes contra nuestro servicio.
cd /opt/kippo/ -- ./start.sh
Ya tenemos el puerto 22 en nuestra máquina corriendo. Vamos a probarlo desde otra máquina, haciendo un nmap y una conexión ssh.
Según la configuración original de HoneyDrive, tenemos todas las ubicaciones de ficheros y configuraciones de esta manera:
[Kippo]
Start: /opt/kippo/start.sh
Downloads: /opt/kippo/dl/
TTY logs: /opt/kippo/log/tty/
Credentials: /opt/kippo/data/userdb.txt
MySQL database: kippo
MySQL user/password: root/honeydrive
[Kippo-Graph]
Location: /var/www/kippo-graph/
Config: /var/www/kippo-graph/config.php
URL: http://local-or-remote-IP-address/kippo-graph/
MySQL database: kippo
MySQL user/password: root/honeydrive
[Kippo2MySQL]
Location: /opt/kippo2mysql/
MySQL database: kippo2mysql
MySQL user/password: root/honeydrive
Una vez generada actividad, nos vamos a http://localhost/kippo-graph/ para ver lo ocurrido, gracias a Kippo-Graph.
Como veis en la imagen, tenemos que generar la estadística, la recolección.
Una de las estadísticas recolectada, top combinaciones user/pass.
Muy interesantes la mayoría de estadísticas. Podemos ver también todas las "input" del usuario, representación geográfica, enlace a Robtex, descarga de imágenes generadas, etc.
Honeyd. Cuanto hemos hablado aquí de este Honeypot !!! Un honeypot que emula no solo servicios concretos, sino Fingerprint de sistemas operativos.
La ubicación de todos los ficheros y usuarios es:
[Honeyd]
Bin: /usr/bin/honeyd, + /usr/bin/honeydstats
Config: /etc/honeypot/
Scripts: /usr/share/honeyd/scripts/
Logs: /var/log/honeypot/
[Honeyd2MySQL]
Location: /opt/honeyd2mysql/
MySQL database: honey2mysql
MySQL user/password: root/honeydrive
[Honeyd-Viz]
Location: /var/www/honeyd-viz/
Config: /var/www/honeyd-viz/config.php
URL: http://local-or-remote-IP-address/honeyd-viz/
MySQL database: honeyd2mysql
MySQL user/password: root/honeydrive
[Honeyd-Scripts]
Location: /opt/honeyd-scripts/
+ honeyd-geoip
+ honeyd-geoip-cymru
Nos vamos a la ruta de configuración arriba indicada, y editamos el fichero para generar una máquina tal y como esta.
create default
set default default tcp action block
set default default udp action block
set default default icmp action open
create windows
set windows personality "Microsoft Windows XP Professional SP1"
set windows default tcp action reset
add windows tcp port 135 open
add windows tcp port 139 open
add windows tcp port 445 open
set windows ethernet "00:00:24:ab:8c:12"
bind 192.168.0.123 windows
Arrancamos Honeyd indicándole la ruta del fichero de configuración y logs.
sudo honeyd -d -f /etc/honeypot/honeyd.conf -l /var/log/honeypot/honeyd.log
Hay que tener en cuenta que si no configuramos los permisos para la carpeta de log´s, honeyd no guardará NADA. Hay que dar permiso de escritura al usuario Honeyd.
Ahora hacemos un Syn Scan simple para determinar si está en funcionamiento, y para ver el tema de los log´s.
Como podeis ver, toma los puertos y mac definidos en el fichero de configuración.
Al igual que haciamos con Kippo-Graph para recolectar los log´s, con honeyd hacemos lo mismo pero invocando el script desde /opt/honeyd2mysql/ ---- ./honeyd2mysql.pl
Una vez introducida la información de los logs en Mysql, pasamos a generar los gráficos entrando en:
http://localhost/honeyd-viz/
Como podeis ver, mediante unos simples clicks podemos configurar nuestra máquina víctima dispuesta a recolectar todo tipo de información sobre los ataques sufridos.
Hemos hablado largo y tendido sobre la localización de los honeypots, su uso recomendado, algo de hardening y demás. Espero que os haya gustado este post sobre HoneyDrive.
Otro día jugamos más !!!
Gracias por leerme.