miércoles, 14 de agosto de 2013

Instalar el Honeypot honeyd 1.5c-7 en Debian Jessie

Se me ocurrió instalar el honeypot  honeyd en debian jessie para la red de mi hogar (existen 19 dispositivos conectados a Internet) con la finalidad de saber si alguien anda tratando de hacer algo extraño en la red.

El primer problema que me encontré es que no estaba el paquete desde el apt, y tenía mucha flojera de andar compilando de las fuentes. Así que, mejor busque en los repositorios de debian el paquete que requería.

En la versión de squeeze esta el paquete honeyd 1.5c-7, por lo tanto es cuestión de descargar el .deb de la arquitectura que tengamos.


Una vez que tengamos instalado el honeyd es cuestión de la configuración en el archivo honeyd.conf para determinar que tipo de maquinas queremos.

Maquina Base:
Sistema operativo GNU/Linux Debian Jessie
Plataforma   i386
Procesador AMD Athlon(tm) XP 2400+
Disco duro de 40 GB
Memoria ram de 768 megas
IP: 192.168.1.10


Rango de Red
La red de mi hogar está usando el rango 192.168.1.x , entonces las maquinas del honeypot las dejare en el mismo rango.


 Mi archivo honeyd.conf
#create router
set router personality "Cisco 1601R router running IOS 12.1(5)"
set router  default tcp  action reset
set router  default udp  action reset
set router  default icmp action open
set router uptime 4563
add router tcp port 22 "/usr/share/honeyd/scripts/test.sh"
add router tcp port 23 "/usr/share/honeyd/scripts/router-telnet.pl"
add router tcp port 21 open
bind 192.168.1.220 router


### Máquina Windows 2003
create win2k
set win2k personality "Microsoft Windows Server 2003 Standard Edition"
set win2k default tcp action reset
set win2k default udp action reset
set win2k default icmp action reset
set win2k uptime 3867
set win2k droprate in 13
add win2k tcp port 80 "/usr/share/honeyd/scripts/win32/win2k/iis.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 110 "/usr/share/honeyd/scripts/win32/win2k/exchange-pop3.sh $ipsrc $sport $ipdst $dport"
add win2k tcp port 143 "/usr/share/honeyd/scripts/win32/win2k/exchange-imap.sh $ipsrc $sport $ipdst $dport"
set win2k ethernet "intel"
bind 192.168.1.221 win2k


# Plantilla Windows XP
create winxp
set winxp  ethernet "00:22:FA:cc:dd:ee"
set winxp  personality "Microsoft Windows XP Professional SP1"
set winxp  uptime 1234567
set winxp  default tcp  action reset
set winxp  default udp  action reset
set winxp  default icmp action open
add winxp  tcp port 135  open
add winxp  tcp port 139  open
add winxp  tcp port 445  open
add winxp  tcp port 3389 block
add winxp  tcp port 53 proxy 8.8.8.8:53
bind 192.168.1.222 winxp

## Servidor web
create redhat
set redhat personality "Linux 2.4.7 (X86)"
set router  default tcp  action reset
set router  default udp  action reset
set router  default icmp action open
set router uptime 1324
add redhat tcp port 80 "/usr/share/honeyd/scripts/web.sh"
add redhat tcp port 22 "/usr/share/honeyd/scripts/test.sh $ipsrc $dport"
add redhat  tcp port 21  open
add redhat  tcp port 23  open
set redhat ethernet "intel"
bind 192.168.1.223 redhat


### Plantilla Linux Suse 8.0
create suse80
set suse80 personality "Linux 2.4.7 (X86)"
set suse80 default tcp action reset
set suse80 default udp action reset
set suse80 default icmp action open
set suse80 uptime 79239
set suse80 droprate in 4
add suse80 tcp port 21 "/usr/share/honeyd/scripts/unix/linux/suse8.0/proftpd.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 22 "sh /usr/share/honeyd/scripts/unix/linux/suse8.0/ssh.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 25 "/usr/share/honeyd/scripts/unix/linux/suse8.0/sendmail.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 79 "sh /usr/share/honeyd/scripts/unix/linux/suse8.0/fingerd.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 80 "/usr/share/honeyd/scripts/unix/linux/suse8.0/apache.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 3128 "sh /usr/share/honeyd/scripts/unix/linux/suse8.0/squid.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 8080 "sh /usr/share/honeyd/scripts/unix/linux/suse8.0/squid.sh $ipsrc $sport $ipdst $dport"
add suse80 udp port 514 "/usr/share/honeyd/scripts/unix/linux/suse8.0/syslogd.sh $ipsrc $sport $ipdst $dport"
add suse80 tcp port 23 open
set suse80 ethernet "intel"
bind 192.168.1.224 suse80

##Mac os X
create mac
set mac personality "Apple Mac OS X 10.2.6 (Jaguar)"
set mac default tcp action reset
set mac default udp action reset
set mac default icmp action open
add mac tcp port 21  open
add mac  tcp port 23  open
set mac ethernet "intel"
bind 192.168.1.225 mac


Con la configuración  anterior logramos que las maquinas sean visibles, respondan al ping y tengan una interacción en su puerto correspondientes.

      IP                  Sistema Operativo                              Puerto Abierto
192.168.1.220        Router cisco                                     21,22,23
192.168.1.221        Windows server 2003                       80,110,143
192.168.1.222        Windowx XP                                    135,139,445,3389,53
192.168.1.223        Redhat Linux                                     80,22,21,23
192.168.1.224        Suse Linux                                        21,22,25,79,80,2128,8080,514,23
192.168.1.225        Mac os X                                         21, 23

 Mi archivo /etc/default/honeyd
En el siguiente archivo vamos a definir que tarjeta de red es la que va a escuchar el honeypot, el rango de red que se va a usar.

INTERFACE="eth0"
NETWORK=192.168.1.0/24



 Iniciando el Honeypot
honeyd -p /etc/honeypot/nmap.prints -0 /etc/honeypot/pf.os -x /etc/honeypot/xprobe2.conf -l /var/log/honeypot/honeyd.log -i eth0 -f /etc/honeypot/honeyd.conf 192.168.1.220-192.168.1.225

farpd -i eth0 192.168.1.220-192.168.1.225



Ver el log del  Honeypot

Para poder ver los logs del honeypot es tan simple como lo siguiente:

sudo tail -f /var/log/honeypot/honeyd.log

Ver las estadísticas

Primero hacemos un enlace simbolico:

ln -s /usr/share/honeyd/scripts/honeydsum-v0.3 /etc/honeypot/honeydsum-v0.3

ver las estadísticas desde la consola

sudo /etc/honeypot/honeydsum-v0.3/honeydsum.pl -c  /etc/honeypot/honeydsum-v0.3/honeydsum.conf /var/log/honeypot/honeyd.log

ver las estadísticas desde la web

 Primero en la consola:

sudo /etc/honeypot/honeydsum-v0.3/honeydsum.pl -c  /etc/honeypot/honeydsum-v0.3/honeydsum.conf -w  /var/log/honeypot/honeyd.log

Segundo:

http://192.168.1.10/honeydsum/

 Notas:

1.- Descargar el deb del honeyd http://packages.debian.org/squeeze/honeyd

2.- Para poder saber que tipo de nombres le podemos poner a las maquinas virtuales en personality deberán analizar el archivo: /etc/honeypot/nmap.assoc

3.- Si tienen dependencias rotas, pueden descargar desde los archivos de debian o agregar al
/etc/apt/sources.list los repositorios que deseen.


Referencias:
http://www.infoconsultor.info/?p=1392
https://www.youtube.com/watch?v=vEz8artzAPY
http://sistemasdedecepcion.blogspot.mx/2008/06/instalcion-y-configuracion-de-una.html
http://seguridadinformaticaufps.wikispaces.com/file/view/HoneyD.pdf
http://tecnoloxiaxa.blogspot.mx/2011/08/manual-de-honeyd-ii_17.html
http://dis.um.es/~lopezquesada/documentos/IES_1112/SAD/curso/LIBRO%20SAD-Seguridad%20y%20alta%20disponibilidad/SAD-2ASIR.pdf

Etiquetas: , , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)