Inicio » Seguridad informática » MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 1

MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 1

Hola a tod@s!!!

Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento…por desgracia no lo he podido llevar a cabo…aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito…solo para que veáis como se ve…

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot…

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.”

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página honeynet.org

Sebek is a data capture tool designed to capture attacker’s activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently.

Y he elegido honeywall como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

Honeywall CDROM is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it.”

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones…

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así…

aaa

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

topolo

Lo que traducido en virtualbox, tendríamos 4 máquinas virtuales…

1

La interfaz de control estaría configurada en la subred 192.168.42.0/24 la cual la introduciríamos como un adaptador host-only y salvo que tengamos más interfaces configuradas seria la interfaz virtualbox host-only Ethernet adapter 2# como se observa en la siguiente captura…

m32

Bien, la siguiente es la maquina nombrada Honeywall 1.4 que como seña especial necesita ser configurada con minimo 256 mb de ram y como maximo 900 mb, en este caso tiene 924 mb aunque no redirecciona mas que 900 mb, y que como vereis tiene 3 interfaces de red, 2 de ellas configuradas como Redes NAT, y ambas en la misma subred red1 fijaos como se encuentra configurada con la subred 192.168.56.0/24, y otra interfaz en la interfaz virtualbox host-only Ethernet adapter 2# (recordemos 192.168.42.0/24) tal y como se observa en la siguiente captura…

hw2

Nos quedarían dos máquinas virtuales por configurar la red, la atacante con red nat, red 1…

m2

Y la que alberga el honeypotSebek también configurada con red nat red 1, sin más…

m1

Bien si hemos configurado las redes como aquí se muestra todo irá bien… tened en cuenta que el equipo Honeywall lo utilizaremos aparte de para monitorizar a nuestro Honeypot de alta interacción, para que actué de firewall/ids (para que me entendáis) para el resto de equipos y pase completamente desapercibido, más adelante veremos como las interfaces de red que se encuentran en la red 192.168.56.0/24 se encuentran en modo promiscuo…

eth1

Bien pero eso de momento es otra historia, vamos a configurar nuestro honeypot, nuestro tarro de miel, nuestro cebo…antes un par de puntualizaciones, he elegido la versión de Windows de Sebek para mantener una línea de sencillez y acercar estos elementos a la mayor parte de vosotros, es la última versión, pero aun así es antigua… sé también que Sebek tiene problemas de seguridad, y por ello os indico que no expongáis vuestra P.O.C. a Internet…

Dicho esto al lio…

Una instalación nueva de Windows XP, en aras de compatibilidad al máximo, una instalación de Microsoft SQL Server 2000, bien anticuada y por defecto, una instalación de Xampp versión 1.8.2, algo de foundstone HACME Casino, y el propio Windows XP por defecto…

sql server ins

Y el ejemplo de Hacme casino corriendo…

DESDEH

Y visto desde fuera, mas que nada para comprobar que funcione…

desde fuera run

Muy bien, tenemos las cosas encaminadas, ahora vamos a configurar realmente nuestro Honeypot…desde la carpeta Sebek-win32-latest una vez descomprimida ejecutaremos el archivo ejecutable setup…

sa-inst1

Que nos ira indicando el camino, básicamente instala el driver de Sebek en el sistema…

sa-inst2

Siguiente…

sa-inst3

Estamos de acuerdo siguiente…

sa-inst4

Lo instalamos en la carpeta por defecto…

sa-inst5

Sebek driver instalado, sin mas, ahora vamos a configurar el driver para ello ejecutaremos el configuration wizard.exe…

s1

Como veis en la captura este asistente nos permite seleccionar una dirección mac, Ip y puerto de destino, selecciona un valor para evitar que los datos generados por sebek sean observados, seleccionar la interfaz de red en la que operara y el nombre del proceso que tendrá acceso a sebek…para ello necesitaremos decir al asistente donde reside sebek…

s2

A continuación seleccionáremos la dirección Mac, la ip de destino y el puerto…

s3

En este caso vamos a dejar la mac en blanco, por que no esta mas allá de un salto (de hecho esta en la misma red) el servidor de escucha, y no vamos a dirigir los datos a ninguna ip ya que no es recomendable, ni requerido, y para eso configuraremos honeywall, lo que si vamos a dejar por defecto en la instalación es el puerto 1101 UDP, pero en una instalación real seria muy interesante cambiarlo… siguiente

s4

Seleccionamos el magic value, recomiendo utilizar el botón de randomización del mismo, aunque si vamos a configurar una honeynet (una red lan de Honeypots) tienen que ser el mismo para todas las maquinas…

s5

La interfaz en la que trabajara nuestro honeypot… sin más…

s6

Y por ultimo el programa con el que tendremos acceso a poder reconfigurar sebek , si necesitamos acceder a el después de todo este proceso, yo he renombrado el configuration wizard como especial y lo he introducido sin la extensión exe, por tanto será con el único programa con el que podré acceder a sebek, y fin de la instalación.

Y de momento lo dejamos aquí, la siguiente entrega la instalación de honeywall 1.4 y todo junto funcionando.

Para ello la semana que viene…Hasta Pronto!!!

Anuncios

8 pensamientos en “MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 1

    • Gracias por tus palabras hermano!!! No puedo dedicar mucho tiempo por que no lo tengo!!! Pero hago lo que puedo!!! ya me gustaría poder hacer todo lo que tengo en mente!!
      Gracias por tu apoyo Fran!!!

  1. Hola buenas, quería saber si tienes la cuarta parte de este tuto o piensas hacerla, estoy siguiendo el proceso y me gustaría saber como sigue ya que es la primera vez que monto uno y ando algo pegado. Gracias por todo lo que llevas hasta ahora

    • Si lo quiero acabar…realmente no queda nada de nada lo serio esta realizado… Cuando? Pues no sé la verdad…estoy de exámenes… Convaleciente de una operación…etc..lo acabaré en un futuro próximo espero pero no te se decir.

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s