MONTANDO UN HONEYPOT (sebek, honeywall en virtualbox) parte 1

Hola a tod@s!!!

Siempre he tenido ganas de trastear con un honeypot situado estratégicamente y ofreciendo un blanco suculento…por desgracia no lo he podido llevar a cabo…aun! (tengo muchas ideas, pero poco tiempo), y me consta que es un elemento que no es muy cercano al usuario medio, por tanto voy a tratar de mostraros como configurar uno muy sencillito…solo para que veáis como se ve…

Vamos a ver como siempre cual es la definición que da Wikipedia sobre el termino honeypot…

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes en la realidad y se les conoce como honeypots de baja interacción y son usados fundamentalmente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos reales y son capaces de reunir mucha más información; sus fines suelen ser de investigación y se los conoce como honeypots de alta interacción.”

Bien pues queda clara cuál es la intención de un honeypot, vamos a instalar un honeypot de alta interacción, para ello elegiremos como S.O. Microsoft Windows XP para él, y explicaremos como configurar en VirtualBox el software necesario para controlarlo.

He elegido Sebek como honeypot, pasemos a conocerlo un poco más según la página honeynet.org

Sebek is a data capture tool designed to capture attacker’s activities on a honeypot, without the attacker (hopefully) knowing it. It has two components. The first is a client that runs on the honeypots, its purpose is to capture all of the attackers activities (keystrokes, file uploads, passwords) then covertly send the data to the server. The second component is the server which collects the data from the honeypots. The server normally runs on the Honeywall gateway, but can also run independently.

Y he elegido honeywall como sistema de monitorización, vamos a conocerlo un poco más según la página de sus creadores:

Honeywall CDROM is our primary high-interaction tool for capturing, controling and analyzing attacks. It creates an architecture that allows you to deploy both low-interaction and high-interaction honeypots within it.”

Una vez hechas las presentaciones de rigor voy a mostraros lo primero de todo como configuraremos virtualbox, ya que es necesario que se cumplan ciertas condiciones…

Bien os muestro cual es la idea en una topología de red, no es exacta, porque se va a configurar sin el acceso a internet, por tanto sin el router R1, con él se vería así…

aaa

Por tanto si se elimina R1 el equipo atacante se encontraría en la misma red local 192.168.56.0/24, esa es la topología que se va a configurar, como se muestra a continuación

Sigue leyendo

Una de Virtualización…montando un Citrix Xen Desktop parte 2ª.

Instalación de servidor Vmware sphere ESXv5 y vSphere client, parte A

Hola a todos

Como continuación a la anterior entrada de la serie, pasaremos a instalar en máquinas virtuales un servidor Vmware sphere ESX/ESXi v5 y un servidor Citrix Xenserver 6.2 ambos son hypervisores, como siempre y antes de continuar vamos a ver como definen cada una de las compañías su producto

Para Vmware sphere ESX/ESXi v5 es:

VMware vSphere® 5.5 es la última versión de la plataforma insignia de virtualización de VMware. VMware vSphere (denominado «ESXi» en numerosos círculos en atención al nombre de la arquitectura de hipervisor subyacente) es un hipervisor que no requiere sistema operativo. Se instala directamente en el servidor físico y lo particiona en varias máquinas virtuales. Cada máquina virtual comparte los mismos recursos físicos que las demás máquinas virtuales, y todas ellas se pueden ejecutar a la vez. Al contrario que otros hipervisores, toda la funcionalidad de gestión de vSphere es posible mediante las herramientas de gestión remota. No hay ningún sistema operativo subyacente, lo que reduce la presencia de instalación a menos de 150 MB. –

Fuente http://www.vmware.com/es/products/vsphere/features/esxihypervisor.html#sthash.PJezFgMh.dpuf

Para Citrix Xenserver es:

Citrix XenServer es una plataforma de virtualización de código abierto líder en la industria y en términos de valor para el manejo de infraestructuras virtuales de nube, servidor y escritorio. Organizaciones de cualquier envergadura pueden instalar XenServer en menos de diez minutos para virtualizar incluso las más exigentes cargas de trabajo y automatizar los procesos de administración, con el consiguiente aumento de la flexibilidad y la agilidad de TI, a la vez que reducen los costos. XenServer ofrece un amplio conjunto de capacidades de administración y automatización, un modelo de precios sencillo y razonable y optimizaciones para escritorios virtuales y computación en la nube, y está diseñado para optimizar centros de datos y nubes privadas hoy y en el futuro.

Fuente http:// http://www.citrix.es/products/xenserver/overview.html‎

Bien como veis ambos productos son similares salvo por un detalle, XenServer es (si no deseas asistencia ni soporte por parte de Citrix) un producto open source que desde la página http://www.xenserver.org se tiene la posibilidad de obtener sin coste alguno.

Bien una vez tenemos claro el papel que juegan los hypervisores, recordemos dentro de la arquitectura de Xen Desktop el lugar que ocupan encontrándose  en el lado servidor de nuestra red…

1

Sigue leyendo

UNA SOBRE MITM (CAIN,EVIL FOCA,ETTERCAP Y SET…HACIENDO TRAVESURAS)

Hola a todos, en esta ocasión vamos a tratar algo visto hasta la saciedad, pero que sigue dando juego (y lo que le queda…) no estoy hablando de otra cosa más que de los ataques MITM …

Vamos a ver ejemplos prácticos, vamos a realizar ejemplos de arp spoofing, dns spoofing con distintas herramientas Cain, Evil Foca (combinada con SET), y por último un clásico ettercap con sslstrip en Kali Linux.

Antes de todo ello tenemos que tocar la teoría para poder comprender en toda su magnitud a lo que nos enfrentamos, tenemos varios tipos de ataques los más comunes que podemos ver y reproducir son:

• ARP Poisoning (o ARP Spoofing)

• DNS spoofing

• DHCP spoofing

  • ARP Spoofing se trata de un ataque de MITM para redes ethernet, que permite al atacante capturar el tráfico que pasa por la red así como detenerlo (provocando una denegación de servicio), consistente en enviar mensajes ARP falsos, estas tramas ethernet contienen las direcciones MAC manipuladas se envían a los dispositivos de red encargados de la correcta distribución de las mismas, esto provoca que las tramas sean enviadas por las víctimas al atacante o a un destino no válido provocando una denegación de servicio
  • DNS spoofing utiliza respuestas falsas a las peticiones de resolución DNS enviadas por una “víctima” existen dos métodos en los que puede basarse el atacante
  • ID Spoofing se basa en obtener el ID de las peticiones de resolución, el atacante puede lograr esto a través de algún ataque de sniffing, como por ejemplo desbordar la tabla ARP “MAC Flooding” de los switchs para ponerlos en un modo conocido como fail open os lo explico en el post sobre CAM … pudiendo el atacante, a partir de ese momento, ser capaz de escuchar los ID de las peticiones, intentando responder a estas peticiones antes que el servidor real, logrando de esta forma engañar a la víctima y llevarla así a la dirección ip que tenga preparada para aprovechamiento.
  • Cache poisoning es similar al anterior, salvo que se dirige a los servidores de cache de DNS, redirigiendo así a todos sus clientes al host que indique el atacante, siendo esta la más común de las dos.
  • DHCP spoofing requerimientos de direcciones asignadas por DHCP son hechos con tramas de tipo broadcast, ya que deben ser escuchados por todos los dispositivos dentro de la red local si un atacante responde antes que el verdadero servidor, este puede pasarle información errónea a la víctima, como por ejemplo puede decirle que la puerta de enlace es él. Pudiendo ser bastante sencillo responder antes que el servidor, debido a que muchos verifican si no hay otro dispositivo en la red con la dirección que van a entregar, el atacante tiene una fracción de tiempo en la cual puede responder.

Bien hasta aquí la teoría, empecemos a ver ejemplos, comenzaremos por un clásico donde los halla, CAIN, con el realizaremos un ejemplo de ARP spoofing y robo de credenciales, daremos por sentado que tenemos la aplicación instalada en nuestro sistema, por tanto lo ejecutaremos y procederemos a su configuración, para ello habremos de haber seleccionado nuestra interfaz de red en la pestaña de configuración de Caín tal y como se observa en la captura…

1

Una vez seleccionada nos aparecerá en el apartado adaptador de red actual  y pulsaremos aceptar…

Sigue leyendo

Como instalar y configurar un servidor FreeBSD 1ª parte formas de instalación e instalación

Hoy, retomamos brevemente la senda de la instalación y configuración de servidores para incluirlos en nuestro Lab de pentest, en esta ocasión con un S.O. el cual esta basado en el que se podría postular como el padre de los sistemas operativos modernos no hablamos nada mas que de UNIX.

Consultemos Wikipedia para conocer un poco de historia de FreeBSD:

FreeBSD es un sistema operativo multiusuario capaz de efectuar multitarea con apropiación y multiproceso en plataformas compatibles con múltiples procesadores; el funcionamiento de FreeBSD está inspirado, como ya se dijo, en la variante 4.4 BSD-Lite de UNIX. Aunque FreeBSD no puede ser propiamente llamado UNIX, al no haber adquirido la debida licencia deThe Open Group, FreeBSD sí está hecho para ser compatible con la norma POSIX, al igual que varios otros sistemas “clones de UNIX”.

Bien vemos que es un clon de UNIX, pero creo que este árbol genealógico será muchísimo mas explicito que el texto anterior…

 1

Fijaos UNIX, año 1969, el padre del que descienden todas y cada una de las versiones, fijaos como hay una leyenda de 3 colores verde open source, color carne mixed-shared source, y color rosa closed source, como veis la diferencia, como siempre, es la propiedad del código fuente, pero fijaos que es UNIX y solo ha pasado la friolera de 44 años.

Sigue leyendo

Configuración de un Servidor RADIUS en Windows Server 2012 Parte 3

Hola a todos!

Perdonad por la tardanza! Vamos a continuar con la serie instalar un servidor RADIUS en Windows server 2012, recordemos que hemos configurado el directorio activo, los servicios de certificados de directorio activo, con el rol de autoridad de certificado, hemos configurado todo (si te has perdido algo, te recomiendo que leas, los dos post anteriores 1 y 2) y vamos a continuar donde lo dejamos, instalaremos las políticas de red y servicios de acceso (NPS) y configuraremos el router ZYXEL P660 HW-D1…

Bien para ello nos dirigiremos al manager del servidor para agregar roles en el servidor y seleccionaremos la opción las políticas de red y servicios de acceso, tal y como se ve en la captura…

32

Continuamos el proceso de instalación….

33

Se nos indica como se observa en la captura que podremos desplegar NPS como Remote Authentication Dial-in Service (RADIUS) server y como proxy así como NAP protección de acceso de red, explicándonos que consiste en que nos aseguramos utilizando NAP en que los equipos que conectemos a la red así como los clientes cumplen las políticas de la empresa…continuamos sin más…

Sigue leyendo

Visitando a Joomla y dejando un regalo!!! parte 1

Hola a todos!

Una vez hemos terminado nuestra serie de Metasploitable, me pregunte cual seria un tema que pudiera llamar la atención, que tuviera impacto inmediato, que causara alarma… y que pudiera sufrirlo un usuario medio, pues un ataque a un CMS, hoy en día que todo el mundo (poco mas o menos) sentimos la necesidad de comunicarnos, ya sea para mostrar nuestras fotos del verano o para promocionar nuestro pequeño comercio, muchísima gente utiliza un CMS como punto de partida lo cual es fantástico, pero a la vez peligroso…

Antes de continuar vamos a ver como define la wikipedia a un CMS:

‘Un sistema de gestión de contenidos (o CMS, del ingles Content Management System) es un programa que permite crear una estructura de soporte (framework) para la creación y administración de contenidos, principalmente en paginas web, por parte de los administradores, editores, participantes y demás roles.

Consiste en una interfaz que controla una o varias bases de datos donde se aloja el contenido del sitio web. El sistema permite manejar de manera independiente el contenido y el diseño. Así, es posible manejar el contenido y darle en cualquier momento un diseño distinto al sitio web sin tener que darle formato al contenido de nuevo, además de permitir la fácil y controlada publicación en el sitio a varios editores. Un ejemplo clásico es el de editores que cargan el contenido al sistema y otro de nivel superior (moderador o administrador) que permite que estos contenidos sean visibles a todo el público (los aprueba).’

Bien, el concepto es claro habría que añadir que estos cms se encuentran sobre:

Un sistema de infraestructura de Internet que usa las siguientes herramientas:

  • Windows o Linux como S.O.;
  • Apache como servidor web;
  • MySQL como gestor de base de datos;
  • PHP, Perl o Python como lenguaje de programación .

El uso de un WAMP  o LAMP permite servir páginas html a Internet, además de poder gestionar datos en ellas, al mismo tiempo un WAMP o LAMP, proporciona lenguajes de programación para desarrollar aplicaciones web, por lo tanto:

  • LAMP es el sistema análogo que corre bajo ambiente Linux
  • WAMP es el sistema análogo que corre bajo ambiente Windows
  • MAMP es el sistema análogo que corre bajo ambiente Macintosh

Tengamos en cuenta también que su implementacion es sumamente sencilla precisamente para facilitar su rápido e indoloro despliegue, si deseáis conocer como se realiza detalladamente en este link tenéis un manual de como realizarlo.

Bien volvamos al tema que nos ocupa que me estoy diluyendo… no voy a entrar muy de lleno en la instalación de wamp ya que tenéis un manual…(el link anterior) solo una par de pantallazos en primer lugar la vista de los ejecutables de joomla-2.5.14 y xampp…

1

y el contenido de la carpeta htdoc de joomla una vez instalado en xamp (tenéis un manual en este link)… Sigue leyendo

Creacion de servidor web IIS, FTP, SSL y despues una de APACHE parte 2ª

Continuamos con la creación de servidor web IIS, FTP, SSL y después una de APACHE , configurando el servidor FTP y posteriormente el servidor apache en Linux UBUNTU… espero que os guste…

Instalación del servidor FTP.

Para la realización de esta parte, al comienzo de la instalación del servidor IIS se seleccionó junto con este la instalación del servicio FTP, si no se hubiera realizado esa selección en este momento habría que agregar los roles del servicio FTP atraves de la ventana de configuración inicial o el administrador de servidor.

Para instalar el servidor desde la ventana principal de Administrador de Internet Information Services (IIS) seleccionaremos el sitio principal en este caso Informatica Solutions S.A y haremos clic en Agregar publicación FTP marcado en amarillo en la columna de la derecha.

1

Se creara la carpeta que será su directorio de contenido en esta caso será C:\FTPinformatica- solutions como se aprecia en la captura inferior.

Sigue leyendo