HONEYPOTS
Sergio Lobera \ instel&seguridad
DEFINICION Básicamente un honeypot es un software cuya intención es atraer atacantes simulando ser un sistema débil y vulnerable o con fallas de seguridad no del todo evidentes.
ALGO DE HISTORIA Las primeros conceptos de aparecen de la mano de Clifford Stoll, sin embargo los lideres en la investigación y desarrollo del concepto de Honeypots se agrupan en el HoneyNet Project . Este proyecto se inició informalmente en la lista de correo “Wargames” en abril de 1999 gracias a los correos cruzados entre varios expertos en seguridad de redes que culminaron con el desarrollo formal del proyecto antes de finalizar el año. En junio de 2000 y por espacio de tres semanas, el Honeypot del proyecto fue atacado y comprometido por un famoso grupo de hackers, lo que permitió el estudio del comportamiento de este grupo en “real” así como demostrar la viabilidad y utilidad de esta nueva herramienta de seguridad.
CLASIFICACION De investigaciรณn: se usan para recolectar informaciรณn sobre los movimientos de los intrusos, se registra cada movimiento del atacante para usar esta informaciรณn y crear perfiles de los mismos. De producciรณn: se usan para proteger a los verdaderos servidores y desviar la atenciรณn de los atacantes. De esta manera se disminuye la superficie de ataque de los intrusos.
INTERACCIONES Baja interacción: en este tipo la interacción con el usuario es mucho menor y se limita por lo general a emular servicios. Son rápidos y fáciles de implementar por lo que, en general, son los más utilizados. Alta interacción: se usan sistemas complejos que recrean un sistema completo con sistema operativo y aplicaciones reales, en este caso no hay emulación, quien entre encontrará un gran sistema para interactuar, de esta manera se pueden estudiar mejor las actividades de quienes ingresan al mismo.
¿PARA QUE? 1) Desviar la atención del atacante de la red real del sistema,de manera que no se comprometan los recursos principales de información. 2) Capturar nuevos virus o gusanos para su estudio posterior. 3) Formar perfiles de atacantes y sus métodos de ataque preferidos. 4) Conocer nuevas vulnerabilidades y riesgos de los distintos sistemas operativos,entornos y programas las cuales aún no se encuentren documentadas.
HONEYNETS Los Honeynet son un tipo especial de Honeypots de alta interacción que actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes. Se usan equipos reales con sistemas operativos reales y corriendo aplicaciones reales. Este tipo de honeypots se usan principalmente para la investigación de nuevas técnicas de ataque y para comprobar el modus-operandi de los intrusos.
多 PUERTOS ? 多 LOGS ? 多 CONTROL ?
KIPPO - SSH http://code.google.com/p/kippo/ Honeypot SSH diseñado para capturar accesos e interactuar con el atacante. Simula un sistema completo (sistema de archivos, comandos, etc) Incluye como opción la posibilidad de utilizar wget para guardar binarios, gusanos y exploits para su posterior estudio. Está hecho en python y sus dependencias son muy pocas: python, python-twisted, iptables y ajaxterm (opcionales)
HONEYD http://www.honeyd.org Honeypot de codigo abierto que permite crear o simular multiples honeypots virtuales incluso puede simular una red. Permite configurar hosts virtuales y diferentes tipos de servidores con sus respectivos sistemas operativos. Su interfaz se basa en linea de comandos y archivos de configuracion.
REQUISITOS Los requisitos para correr honeyd son escasosy puede ser configurado en cualquier sistema operativo.
HONEYD ARPD o FARPD
CREANDO ENTORNOS create windows set windows personality “Microsoft Windows XP SP2” set windows default tcp action reset set windows default udp action reset set windows default icmp action open add windows tcp port 139 open add windows tcp port 23 open add windows udp port 137 open bind 10.0.0.50 windows TCP: open \ block \ reset \ tarpit UDP: open \ block \ reset ICMP: open \ block
CORRIENDO HONEYD 1) farpd -d -i [interfaz] ip/ips 2) honeyd -d -i [interfaz] -f [archivo.conf]
KF SENSOR KFSensor simula la existencia de servicios vulnerables del sistema e incluso de troyanos. Permite crear escenarios con distintos puertos, asi como también generar reglas para usuarios específicos. Incluye un analizador de logs con la posibilidad de envío de correos.
OTROS MAS.. Pentbox
Nepenthes
Dionaea
Honeywall
Mwcollect (nepenthes + honeytrap Labrea Specter Amun Origami
Sebek HIHAT Glastopf zerowine_vm
ROGUE AP Un ROGUE-AP es un Access Point ubicado entre un cliente y un AP real, de estar manera utiliza la tĂŠcnica MITM. Necesita: dhcp3-server, aircrack-ng, sslstrip, ettercap e iptables.
FAKEAP (PWN)
http://code.google.com/p/fakeap-pwn
Se trata de un script que utiliza: dhcp3-server, airbase-ng, metasploit, vncviewer, dnsmasq y apache2. Su función es simple, crear un AP al cual van a ingresar usuarios y se les hará bajar un “parche” para que puedan navegar, una vez bajado ese archivo el script usará metasploit para subir un servidor vnc y poder tener acceso a la pc.
多PREGUNTAS?