Honeypotsprácticas2006

1. Experto en Administración y Seguridad de Sistemas Informáticos Módulo: Sistemas de Detección de Intrusos Profesor: Juan Antonio Gil Martínez-Abarca Curso Escolar: 2006/2007 Experto en Administración y Seguridad de Sistemas Informáticos

2. Tabla de Contenidos • honeypots: Detección de intrusos basada en señuelos • Prácticas: Honeyd Experto en Administración y Seguridad de Sistemas Informáticos

3. Prácticas Honeyd • Instalación del paquete honeyd • Dispositivos configurados por defecto /usr/share/doc/honeyd/examples/config.localhost / usr/share/doc/honeyd/examples/honeyd.conf.net works.gz • ¿Qué significan estos dispositivos? ¿Qué red presenta el fichero networks? Experto en Administración y Seguridad de Sistemas Informáticos

4. Configuración • Si observamos la definición del dispositivo 10.0.0.1 de ejemplo, veremos lo siguiente: #cat /usr/share/doc/honeyd/examples/config.localhost|more ... route entry 10.0.0.1 route 10.0.0.1 link 10.0.0.0/24 ... create routerone set routerone personality "Cisco 7206 running IOS 11.1(24)" set routerone default tcp action reset add routerone tcp port 23 "router-telnet.pl" ... bind 10.0.0.1 routerone ... • Dispositivo IP 10.0.0.1, se comportara como un Cisco 7206, con IOS 11.1(24) y que reiniciará todas las conexiones TCP menos las que vayan al puerto 23 y el script router-telnet.pl (una emulación del demonio telnet) será ejecutado. Experto en Administración y Seguridad de Sistemas Informáticos

5. Configuración • Si observamos la definición del dispositivo 10.21.19.102 de ejemplo, veremos lo siguiente: create template set template personality "AIX 4.0 - 4.2" add template tcp port 80 "sh scripts/web.sh" add template tcp port 22 "sh scripts/test.sh $ipsrc $dport" add template tcp port 23 proxy 10.23.1.2:23 set template default tcp action reset bind 10.21.19.102 template Experto en Administración y Seguridad de Sistemas Informáticos

6. Prácticas Honeyd • Instalación del paquete honeyd • Dispositivos configurados por defecto /usr/share/doc/honeyd/examples/config.localhost /usr/share/doc/honeyd/examples/honeyd.conf.networks.gz • ¿Qué significan estos dispositivos? ¿Qué red presenta el fichero networks? • Descomprimimos y Copiamos el fichero ‘*networks.gz” como /etc/honeypot/honey.conf • Comprobemos: – Instalación de nmap – Ejecución del honeyd (/etc/init.d/honeyd start) – Ejecución de correspondencia: nmap –v –sS –O IP Experto en Administración y Seguridad de Sistemas Informáticos

7. Funcionamiento • Hagamos nuestro Honeypot. • /etc/init.d/honeyd stop • Vaciamos el /etc/honeypot/honeyd.conf • Creamos lo necesario para: Un Microsoft Windows 2000 SP2 con IIS. 139 Y 137 abierto (TCP y UDP). Resto cerrados route entry 10.0.0.1 network 10.0.0.0/24 Route 10.0.0.1 link 10.0.0.0/24 create windowsIIS set windowsIIS personality "Microsoft Windows 2000 Server SP2" set windowsIIS default tcp action reset set windowsIIS default udp action reset add windowsIIS tcp port 80 "perl iis/iisemul8.pl" add windowsIIS tcp port 139 open add windowsIIS tcp port 137 open add windowsIIS udp port 137 open add windowsIIS udp port 135 open bind 10.0.0.5 windowsIIS Experto en Administración y Seguridad de Sistemas Informáticos

8. Ejecución • Red con un route Cisco IOS 11.3 12.0 (11) y un servidor Windows XP SP1” con el puerto 3306 filtrado y los demás cerrados create router set router personality "Cisco IOS 11.3 12.0(11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "perl telnet/routertelnet.pl" set router uptime 1327650 bind 10.0.0.1 router create servidor_aplicacions set servidor_aplicacions personality "Microsoft Windows XP SP1 or Windows 2000 SP3" set servidor_aplicacions default tcp action reset set servidor_aplicacions default tcp action reset add servidor_aplicacions tcp port 3306 filtered bind 10.0.0.4 servidor_aplicacions Experto en Administración y Seguridad de Sistemas Informáticos

9. Ejecución • Servidor Web y SMTP con Linux Kernel 2.4.20. Puerto 3306 filtrado, 110 abierto y resto cerrados. create servidor_web set servidor_web personality "Linux kernel 2.4.20" add servidor_web tcp port 80 "python HoneyWeb/HoneyWebServer0.4.py 'Apache/1.3.27 (Unix) mod_perl/1.27' $ipsrc $sport $ipdst" add servidor_web tcp port 2021 open add servidor_web tcp port 22 open set servidor_web default tcp action reset set servidor_web default udp action reset create servidor_mail set servidor_mail personality "Linux kernel 2.4.20" add servidor_mail tcp port 25 open add servidor_mail tcp port 110 open add servidor_mail tcp port 3306 filtered set servidor_mail default tcp action reset set servidor_mail default udp action reset bind 172.16.1.2 servidor_web bind 172.16.1.3 servidor_mail Experto en Administración y Seguridad de Sistemas Informáticos

10. Práctica • Los guiones para simular servicios se pueden obtener (al margen del los distribuidos con el paquete): http://www.honeyd.org/contrib.php Experto en Administración y Seguridad de Sistemas Informáticos

11. Patrocina: Organiza: Enseñanzas Propias Universidad de Almería Escuela Politécnica Superior Universidad de Almería Experto en Administración y Seguridad de Sistemas Informáticos

Honeypotsprácticas2006

Honeypotsprácticas2006

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(20)

Destacado

Destacado(20)

Similar a Honeypotsprácticas2006

Similar a Honeypotsprácticas2006(20)

Más de Juan Antonio Gil Martínez-Abarca

Más de Juan Antonio Gil Martínez-Abarca(13)

Último

Último(9)

Honeypotsprácticas2006