Este documento proporciona instrucciones para configurar un sistema Honeywall para monitorear actividad de red maliciosa a través de la instalación y configuración de un sistema operativo Honeywall, estableciendo reglas de firewall, configurando herramientas de monitoreo como Snort e IDS, y estableciendo parámetros para herramientas de captura como Sebek. El documento guía al usuario a través de varios pasos de configuración para implementar completamente el sistema de monitoreo de red Honeywall.
6. HONEYNET ECUADOR www.honeynet.ec
Consulte la direccion IP y escribala usando primero la tecla Delete para
borrar 10.0.0.20 y luego presione Enter
Escriba la red que va a ser utilizada para la Honeynet y presione la tecla
Tab y finalmente la tecla Enter:
9. HONEYNET ECUADOR www.honeynet.ec
Presiona la tecla Enter:
Ingrese la direccion IP de la interface de administración: Esta es la direccion IP
de la 3ra interfaz de la tarjeta de red. Nos podremos conectar a esta direccion para ingresar al sitio web de la
administracion del Honeywall. Este sitio web nos permitira controlar la Honeywall y revisar la actividad de la red.
(192.168.0.2)
12. HONEYNET ECUADOR www.honeynet.ec
Ingresar las direcciones IPs de los servidores DNS. Si usted tiene más de una
dirección de servidor DNS ingresar un espacio entre las direcciones, al terminar presione la tecla Tab y finalmente
la tecla Enter:
Seleccione Yes y presione la tecla Enter:
18. HONEYNET ECUADOR www.honeynet.ec
El puerto 443 será usado con la encriptación SSL (https) cuando tu accedes
a la administración web del Honeywall y luego presiona Enter:
Ingrese una dirección IP que nos permita conectarnos a la web de la
administración de la Honeywall y presiones Enter:
20. HONEYNET ECUADOR www.honeynet.ec
Ingrese la lista de puertos TCP necesarios separados por un espacio en
blanco, y luego presione Enter:
Ingrese la lista de puertos UDP necesarios para la red separados por un
espacio en blanco y luego presione la tecla Enter:
21. HONEYNET ECUADOR www.honeynet.ec
Presione la tecla Enter:
CONFIGURACIÓN DEL LÍMITE DE CONEXIONES DE SALIDA
Esta configuración nos permite establecer el límite de las conexiones
salientes. Así que, una vez que un límite de conexiones salientes se ha
cumplido todos los nuevos intentos estarán bloqueados, impidiendo que el
honeypot comprometido dañe otros sistemas.
Se tiene cinco opciones para limitar las conexiones salientes:
• Second – escala de tiempo por segundo se aplicará sobre el límite de
conexiones.
• Minute – escala de tiempo por minuto se aplicará sobre el límite de
conexiones.
• Hour – escala de tiempo por hora se aplicará sobre el límite de
conexiones.
• Day – escala de tiempo por hora se aplicará sobre el límite de
conexiones.
25. HONEYNET ECUADOR www.honeynet.ec
Blacklist o lista negra es una lista donde se registran las direcciones IPs que generan spam de
forma voluntaria o involuntaria. Asegúrese de seleccionar Yes y luego presiones Enter:
Whitelist o lista blanca, aquí se detalla la direcciones IPs fijadas por el usuario que nunca y bajo
ningún concepto los mensajes provenientes de éstas deben ser detectadas y consideradas por el sistema como
Spam. Asegúrese de seleccionar Yes y luego presiones Enter:
26. HONEYNET ECUADOR www.honeynet.ec
Enable Black list and White list filtering: use la tecla para seleccionar
Yes y luego presione la tecla Enter:
Disable quot;Strictquot; Capture Filtering: use la tecla para seleccionar Yes y
luego presione la tecla Enter:
27. HONEYNET ECUADOR www.honeynet.ec
Fencelist es la herramienta más importante para asegurar las redes de producción. Su aplicación crea
reglas en el firewall que bloquee todo el tráfico a determinados objetivos. Asegúrese de seleccionar Yes y luego
presiones Enter:
Enable Fence list filtering: use la tecla para seleccionar Yes y luego
presione la tecla Enter:
28. HONEYNET ECUADOR www.honeynet.ec
Roach motel mode: Si se habilita Roach motel mode, un atacante podría fácilmente detectar su
Honeywall y posteriormente atacarlo, por eso es aconsejable desactivar el bloqueo de todo el tráfico saliente de
honeypots. Seleccionar No y luego presionar la tecla Enter:
Use la tecla para seleccionar Yes y luego presione la tecla Enter:
32. HONEYNET ECUADOR www.honeynet.ec
Use la tecla para seleccionar Yes y luego presione la tecla Enter:
CONFIGURACIÓN DE VARIABLES DEL SEBEK
Sebek es una herramienta de captura de datos diseñada para capturer a los
atacantes sobre las actividades de un honeypot. Tiene dos componentes,
el primero es un cliente que se ejecutan en los Honeypots, su propósito es
capturar todas las actividades de los atacantes (pulsaciones de teclado,
carga de archivos, contraseñas) en donde secretamente se envían los
datos al servidor y el segundo componente es el servidor que recoge los
datos de los honeypots. Este servidor normalmente se ejecuta en la puerta
de enlace del Honeywall
33. HONEYNET ECUADOR www.honeynet.ec
Use la tecla para seleccionar Yes y luego presione la tecla Enter:
Usted puede modificar la dirección IP destino de los paquetes del Sebek a
otro Honeywall, o a otra dirección IP en su red de área local. Ingrese la
dirección IP y luego presione la tecla Enter: