Configuración de un honeypot

Navega tus respuestas
17

Tengo una computadora de repuesto en mi casa, así que decidí convertirla en un honeypot. Hasta ahora, he instalado Windows XP (sin service pack) en él y he configurado reglas en mi enrutador para reenviar (algunos) puertos al honeypot. Dado que mi enrutador no es compatible con DMZ, tengo que crear reglas manualmente. Actualmente, reenvío los puertos TCP 80, 100-140 y 1000-1500 (elegí esos valores casi al azar). En el honeypot, uso Wireshark para monitorear el tráfico de la red.

Sin embargo, el honeypot no parece infectarse. Solo recibo muy poco tráfico del exterior.

¿Qué estoy haciendo mal? ¿Tengo que reenviar otros puertos? ¿Tengo que anunciar de alguna manera mi presencia en internet?

Gracias por cualquier entrada!

P.S .: Sí sé acerca de los peligros de ejecutar un honeypot dentro de una red doméstica.

    
pregunta ryyst 28.12.2011 - 11:21
fuente

3 respuestas

18

Si solo desea que su máquina honeypot se vea comprometida y sea parte de una red de bots, deberá ejecutar servicios vulnerables en la máquina. Los servicios vulnerables que elija deberán coincidir con los puertos que ha reenviado a la máquina honeypot y también deberán coincidir con los servicios que los gusanos intentan explotar activamente.

Para una máquina con Windows XP, los puertos de reenvío 137, 138, 139 y 445 deberían generar suficiente tráfico de ataque. Estos puertos son para NetBIOS y Samba y todos reciben un flujo constante de tráfico de Internet.

El puerto de reenvío 80 solo será útil si está ejecutando un servidor web en la máquina honeypot. Puedes ir en dos direcciones con un servidor web; ejecute una versión anterior del mismo demonio HTTP que tiene vulnerabilidades conocidas o ejecute una versión actual y luego ejecute una aplicación web vulnerable, como una versión anterior de Wordpress o phpMyAdmin.

Puede simplemente intentar ejecutar servicios y esperar que sean vulnerables y que los gusanos intenten explotarlos, pero podría ser más efectivo buscar los servicios a los que se dirigen los gusanos específicos y ejecutarlos.

La otra dirección para resolver este problema es habilitar el registro en su punto de ingreso y ver qué tráfico lo está afectando. Sospecho que verá mucho tráfico en los puertos que mencioné anteriormente, pero probablemente también verá tráfico en otros puertos. Descubra qué los puertos se utilizan para una ejecución ese servicio en su máquina.

Hay algunas cosas que agregaría a esto con respecto a los honeypots:

El propósito de un honeypot es estudiar qué hace el atacante o el gusano una vez que comprometa a un host. Usted querrá configurar un amplio monitoreo y registro en la propia caja para que realmente obtenga algo de información útil del ejercicio. También es importante que sepa cuándo ha sido comprometido. La mayoría de los honeypots se ejecutan dentro de máquinas virtuales para ofrecerle una forma fácil de comparar el estado actual de la máquina con una buena copia conocida. No es adecuado hacerlo desde el honeypot porque los rootkits pueden modificar las herramientas que está utilizando para hacer la comparación.

Usted querrá estar monitoreando todo el tráfico hacia y desde la máquina honeypot. Por esto, me refiero a las capturas de paquetes completos. La forma normal de hacer esto es con un puerto de expansión en su conmutador, pero probablemente se puede hacer en el hipervisor de la VM si su conmutador no tiene esa capacidad. Normalmente no lo harías dentro del honeypot.

Usted dijo que está al tanto de los peligros de ejecutar su honeypot dentro de su red doméstica. Supongo que eso significa que también está al tanto de las precauciones que deberá tomar antes de ponerlo en línea. Específicamente, configure su red y firewall para que la máquina honeypot no pueda comunicarse con el resto de su red local. También es una buena práctica tener cuidado con las conexiones salientes que le permite iniciar a Internet. Lo primero que tratará de hacer es descargar un rootkit y los programas de trabajo que probablemente le interesen, sin embargo, lo siguiente es comenzar a atacar más objetivos, y esto no es algo que normalmente desearía permitir.

También existen herramientas específicas para crear honeypots . Estas herramientas incluyen un hipervisor completo y pilas de VM que permiten todo lo que he mencionado anteriormente. En el mismo sitio puede encontrar herramientas para registrar, monitorear y analizar y también una carga de información sobre cómo ejecutar un honeypot y a quién es probable que vea atacándolo.

    
respondido por el Ladadadada 28.12.2011 - 12:09
fuente
7

Lo que creaste es un honeypot de alta interacción, es decir, un sistema en vivo que espera ser comprometido y luego analizado por un investigador de foresics (ese eres tú, por supuesto). Comenzaría con un honeypot de baja interacción basado en Linux. Crea un sistema de archivos virtual y servicios falsos que pueden hacer que los atacantes (o su herramienta automatizada) crean que se trata de un sistema "real", mientras que simplemente ejecutará un servicio de honeypot. Una herramienta muy fácil de configurar y detectar sondas es Kippo , un honeypot de SSH. También he estado desarrollando una herramienta de visualización que podría interesarle (y, por supuesto, obtendrá una buena presentación de sus datos). Otro conocido honeypot de baja interacción es honeyd , pero es un poco más difícil de configurar, dependiendo de lo que pretenda hacer. curso (honeyd puede simular una arquitectura de red completa con enrutadores, servidores, estaciones de trabajo, etc.).

    
respondido por el Ion 30.12.2011 - 10:35
fuente
1

Aunque la mayoría de esas respuestas son correctas, siento que faltan algunos bits de información.

Primero, me gustaría aclarar que depende del tipo de Honeypot que está instalando, luego decide si desea instalar un monitoreo extenso o no, como con el Honeypot de baja interacción, no quiere hacer un extenso Configuración en general. pero si está utilizando High Interaction o Physical Honeypot con su propia IP, que se utiliza principalmente en la categoría de Investigación.

Esto significa que cualquier cosa que designe como honeypot, es su con la expectativa y el objetivo de que el sistema sea probado, atacado y potencialmente explotado, Honeybot funciona abriendo más de 1000 sockets de audición UDP y TCP en su computadora y estos sockets están diseñados para imitar los servicios vulnerables. También es una herramienta de detección y respuesta, en lugar de prevención en la que tiene poco valor.

Depende del software que esté utilizando, la mayoría de ellos tiene alertas de correo electrónico y notificaciones. como honyed, mantrap, honeynets . Lo que se implementa mejor en los cortafuegos.

Una cosa más a tener en cuenta, los Honeypots no valen la pena si no son atacados, si es como se mencionó o si desea capturar paquetes Completos , esto significa que usted también está dando un atacante experto. oportunidad de secuestrar su honeypot. Y si un atacante logra comprometer a uno de tus honeypots, podría intentar atacar a otros sistemas que no están bajo tu control. Estos sistemas se pueden ubicar en cualquier lugar de Internet, y el atacante podría usar su honeypot como un trampolín para atacar sistemas sensibles.

    
respondido por el amrx 26.04.2015 - 14:28
fuente

Lea otras preguntas en las etiquetas

¿Cuándo usa OpenID frente a OpenID Connect? ayuda a comprender la verificación del certificado del cliente