Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
HONEYPOT
Flix Mara Samaniego, Las moscas (fragmento): A un panal de rica miel, dos mil moscas acudieron, que por golosas murieron, presas de patas en l.
HONEYBOT
PREPARACION PRCTICA ATACANTE 1 ANFITRION WINDOWS 7 ATACANTE 2 BACKTRACK5 R1
SEGUNDO DE ASIR
Pgina 1
HISTORIA Y ORGENES
Lance Spitzner, consultor y analista informtico experto en seguridad, construy a comienzos del ao 2000 una red de seis ordenadores en su propia casa. Esta red la dise para estudiar el comportamiento y formas de actuacin de los atacantes. Fue de los primeros investigadores en adoptar la idea, y hoy es uno de los mayores expertos en honeypots, precursor del proyecto honeynet (www.honeynet.org), en marcha desde 1999, y autor del libro "Honeypots: Tracking Hackers. Su sistema estuvo durante casi un ao de prueba, desde abril del 2000 a febrero de 2001, guardando toda la informacin que se generaba. Los resultados hablaban por s solos: en los momentos de mayor intensidad de los ataques, comprobaba que las vas de acceso ms comunes a los equipos de su casa eran escaneadas, desde el exterior de su red, hasta 14 veces al da, utilizando herramientas de ataque automatizadas. Desde entonces, se ha creado toda una comunidad de desarrolladores aglutinados alrededor de honeynet.org que ofrecen todo tipo de herramientas y consejos para utilizar estas herramientas.
SEGUNDO DE ASIR
Pgina 2
HoneyBOT
CMO FUNCIONA? HoneyBOT imita y escucha servicios vulnerables. Cuando un atacante se conecta a estos servicios es engaado, hacindole creer que est atacando a un servidor real. El honeypot capta todas las comunicaciones con el atacante y registra los resultados para el anlisis futuro. En caso de que un atacante intentara explotar o subir un rootkit, o un troyano en el servidor, honeypot puede almacenar estos archivos en su equipo para la recoleccin de malware y el propsito del anlisis. COLOCACIN DEL HONEYPOT Una organizacin puede colocar un honeypot dentro de su red interna, asegurada por su defensa de permetro en la que nunca debera de ser atacado. Cualquier trfico capturado en el honeypot en esta situacin indicara que otro equipo dentro de la red ya est infectado con un virus o un gusano, o incluso que un empleado de la compaa est tratando de entrar en el equipo. Otro mtodo consiste en conectar el honeypot directamente a Internet, que suele desembocar en el trfico de red malicioso capturado en cuestin de minutos. Una conexin directa es la configuracin ms bsica para los usuarios honeypot y en este escenario el equipo honeypot se coloca externo a sus sistemas de produccin y se le asigna una direccin IP pblica. La opcin ms popular de la colocacin de Honey Pot para los usuarios de Internet es colocar el equipo trampa en tu red DMZ (Anfitriones bastin), donde todos los sondeos de Internet no solicitados son enviados al ordenador honeypot SEGUNDO DE ASIR Pgina 3
PREPARACION PRCTICA
PREPARAMOS NUESTRA MAQUINA: ASEGURAR HONEYPOT
Un honeypot es intencionalmente poner en peligro por lo que es fundamental llevar a cabo algunas medidas de seguridad en el equipo honeypot antes del despliegue en cualquier red. Esto incluye la actualizacin de su sistema operativo con todas las actualizaciones y parches de seguridad y el uso de un producto antivirus actualizado. 1-Lo primero que comprobamos es nuestra IP de la mquina donde vamos a instalar el honeypot, para obtenerla, con el comando ipconfig si no la sabamos, como vemos la ip que tenemos es la 192.168.1.37
2-Lo segundo que tenemos que hacer es actualizar nuestro sistema operativo
SEGUNDO DE ASIR
Pgina 4
SEGUNDO DE ASIR
Pgina 5
Una vez que estamos dentro de la pgina web, nos descargamos la ltima versin del programa.
Guardamos el archivo
Y procedemos con la ejecucin del programa, para que se lleve a cabo la instalacin
SEGUNDO DE ASIR
Pgina 6
Una vez hecho esto, nos indicara la ruta, y los componentes que se van a instalar, lo que tendremos que hacer, es pulsar en install, para que se lleve a cabo la instalacin.
SEGUNDO DE ASIR
Pgina 7
CAPTURES: donde se guardaran los troyanos y dems archivos que yegen a nuestro servidor, no se permitir su ejecucin y se har un anlisis exhaustivo de ellos.
HTML: la carpeta donde configuraremos, el mensaje a mostrar de la web, modificaremos los errores famosos como el 404
SEGUNDO DE ASIR
Pgina 8
CONFIG: el archivo de configuracin, el cul es mejor no tocarlo ya que todos estos parmetros les podremos configurar en la intergaz grfica.
SERVICE: donde indicaremos los programas que corren en cada purto, o desactivaremos los que queramos.
SEGUNDO DE ASIR
Pgina 9
SEGUNDO DE ASIR
Pgina 10
En la pestaa general: -Diremos que si queremos que se inicie al cargarlo automticamente. - Si queremos que por cada captura, nos alerte con un sonido, mejor desactivar esta opcin porque es muy molesta. -Si deseamos capturar binarios, esto capturara todos los troyanos y dems que se nos lancen, para ser analizados. -Tambin pondremos el nombre de nuestro servidor.
SEGUNDO DE ASIR
Pgina 11
En la pestaa Exports -La forma de exportar los logs. -Y si queremos subirlo al servidor, y formar parte de la comunidad, para elaborar las estadsticas sobre ataques, que se suelen producir, cuales son los ms comunes.
SEGUNDO DE ASIR
Pgina 12
Al trabajar sobre ms de una ip,(la nuestra, ms la IP que tiene virtualbox) tendremos que poner la nuestra, la que va a hacer de honeypot
SEGUNDO DE ASIR
Pgina 13
Veremos los accesos, que se estn teniendo, desde que IP, los Bytes que se transmiten, la hora
SEGUNDO DE ASIR
Pgina 14
VIEW DETAILS Aqu podremos ver valiosa informacin sobre el posible atacante 1. En la parte izquierda de la imagen, veremos los detalles del paquete seleccionado. 2. En la parte derecha veremos, tanto la informacin de lo que ha enviado el atacante, como la que le hemos enviado nosotros (Microsoft IIS 5.0 Error/404) 3. Y por ltimo en la parte de abajo vemos de nuevo la informacin que nos ha enviado el atacante, como he indicado en el punto anterior, pero completa y como podemos ver algo de informacin nos da. -El protocolo utilizado -El host donde se ha realizado -La versin de Windows NT 6.1= Windows7 WOW64=Indica que es una versin de 64bits
SEGUNDO DE ASIR
Pgina 15
Comprobamos en el equipo atacante que esta informacin es cierta y vemos que as es.
Cada vez que recibimos una conexin nueva en nuestro honeypot, a un puerto determinado, este aparecer en la ventana izquierda , al igual que cuando se hace una conexin desde otro equipo aparecer en remotes, como hasta ahora solo ha recibido una conexon desde el puerto 80 desde el equipo con Windows 7 obtenemos esta imagen.
SEGUNDO DE ASIR
Pgina 16
Nos aparece un mensaje en el equipo victima, de que se est realizando un escaneo de puertos, gracias al antivirus. Pero no lo bloque, solo nos advierte. Mientras tanto, nuestro Honey pot ya est haciendo su trabajo
Una vez que Nmap ha terminado el anlisis veremos los puertos abiertos, aunque aqu en la imagen solo vemos unos cuantos y los servicios que emulados que estn corriendo en ellos, al igual que nuestro el nombre de nuestro servidor.
SEGUNDO DE ASIR
Pgina 17
SEGUNDO DE ASIR
Pgina 18
SEGUNDO DE ASIR
Pgina 19
Pero nosotros queremos ver los detalles asique como hemos dicho anteriormente en esta prctica y ya lo sabemos, pulsamos el botn derecho y detalles. Podemos ver, tanto el usuario con el que nos hemos querido loguear, como la contrasea utilizada para el intento.
SEGUNDO DE ASIR
Pgina 20
Vemos como nos dice que el sistema operativo es Windows, pero no nos dice que versin, y vemos como tambin nos dice que el servidor web es II5.0
Configuraremos en las opciones, dndole un mtodo extensivo, pero quitando el escaneo de puertos, porque para ello ya hemos utilizado Nmap.
SEGUNDO DE ASIR
Pgina 21
Si pulsamos en detalle sobre cualquiera de ellos, vemos detalles del ataque. -Se est utilizando el mtodo POST. -Veramos tambin la ruta, en la que se est haciendo el ataque /admin/index.php -Por ultimo podemos observar tambin, el tipo de ataque, el cual es un ataque XSS.
Como hemos podido observar a Accunetix le cuesta hacer este anlisis y en 30 minutos, solo ha sido capaz de llegar al 50% de este. Y como podemos observar desde nuestro honeypot, cada vez es ms largo el intervalo de tiempo entre un ataque y otro, Asique lo dejamos aqu.
SEGUNDO DE ASIR
Pgina 22
ATACANTE 2 BACKTRACK5 R1
El atacante 2 va a ser una mquina Backtrack 5 con la IP 192.168.1.39
SEGUNDO DE ASIR
Pgina 23
Volvemos como en el caso anterior a mirar los detalles y veremos el nombre de usuario introducido por el atacante y la contrasea.
SEGUNDO DE ASIR
Pgina 24
VALHALA HONEYPOT
Lo primero que hacemos ser descargarnos el software de la web oficial, para ello pincharemos en el siguiente enlace. http://sourceforge.net/projects/valhalahoneypot/
Una vez que hemos entrado en la pgina lo que tenemos que hacer, es descargar la ltima versin estable de este.
Lo que nos descargamos, es el programa, una de sus caractersticas es que no requiere de instalacin, y para empezar a utilizarlo, basta solo con ejecutarlo.
SEGUNDO DE ASIR
Pgina 25
CONFIGURACION DE VALHALA
Una vez que hemos ejecutado el programa, veremos la siguiente ventana, en esta ventana, nos van a interesar sobretodo dos botones de los presentes, el botn Options y el botn Server Config.
OPTIONS
Aqu veremos distintas opciones de configuracin, entre las que cabe destacar, el envo de emails, si ese email requiere autenticacin, cada cuanto tiempo se enva y tambin podremos configurar las actualizaciones habilitar puertos extras y otras opciones como hacer que se inicie con Windows, ejecutarlo en modo oculto
SEGUNDO DE ASIR
Pgina 26
SEGUNDO DE ASIR
Pgina 27
CONFIGURAMOS TELNET
1-En el recuadro uno, podemos especificar el tipo de puerto por el que va a correr el servicio, que no requiera autenticacin o ponerle la que queramos, y el tipo de Windows a imitar. 2-Aqu pondremos la letra, a la que pertenece nuestro disco duro y su nmero de serie, tambin el nombre de este. 3-Aqu diremos la fecha de creacin de las carpetas, carpetas que no existen y que podrn contener los archivos que marquemos a la derecha, marcaremos el espacio libre que tendremos en nuestro disco duro virtual emulado, y la fecha de creacin de estas carpetas. 4-Aqu es donde tendremos el valor de la Mac,nuestro DNS, y NIC.
Una vez hecho esto, para que tenga efecto, pulsaremos la pestaa de Monitoring.
SEGUNDO DE ASIR
Pgina 28
ATACANTE 2 BACKTRACK5 R1
Recordemos que la mquina Backtrack 5 tiene la IP 192.168.1.39
Nos dirigimos a ella abriremos una nueva consola y escribiremos en ella telnet seguido de la ip donde tenemos nuestro honeypot y el puerto por el que esta corriendo, que no es otro que por el que corre telnet normalmente.
Como podemos ver, el supuesto atacante habra ganado acceso y podra ver el contenido del disco duro
SEGUNDO DE ASIR
Pgina 29
Claramente a las que hayamos negado el acceso desde la configuracinno nos dejara entrar.
Si ejecutamos el comando para ver la versin de Windows. Saldr la que nosotros hemos indicado.
Y si hacemos un ipconfig, veremos que la informacin, que se proporciona al atacante, tambin es la que nosotros hemos indicado: IP, DNS, MAC, NIC
SEGUNDO DE ASIR
Pgina 30
SEGUNDO DE ASIR
Pgina 31