|
Comparte este artículo
Twitter
Digg
Del.icio.us
Slashdot
Furl
Yahoo
Technorati
Googlize this
Blinklist
Facebook
Wikio
Meneame
- Farpd: Farpd es un demonio que contesta a cualquier petición ARP que coincida con un rango especificado (y para la que no haya respuesta), mandándolas a la dirección MAC de un interface específico. Con esto nos aseguramos que todas las peticiones que recibamos a ciertos puertos serán redirigidas a nuestro honeypot.
- Nmap: Nmap es una conocidísima herramienta open source diseñada para explorar y realizar auditorías de seguridad en una red. No necesitamos el producto completo, sólo su base de firmas o “fingerprints” (nmap-os-fingerprints).
Podéis montar el entorno en una máquina virtual, usando por ejemplo VirtualBox, conectado en modo “bridged” a vuestra máquina:
En nuestro entorno sólo vamos a simular una máquina de nuestra LAN, con la dirección 192.168.0.203. Este honeypot contendrá un servicio web basado en Apache (puerto 80), un servicio ftp (puerto 21), un servicio ssh (puerto 22) y un servicio telnet (puerto 23). Todos estos servicios se configuran en un fichero al que llamaremos red.conf (podéis encontrar ejemplos de configuración en la url http://www.honeyd.org/configuration.php):
Una vez instalados todos los productos anteriores, levantamos el demonio farpd para que conteste a las peticiones a la dirección ip 192.168.0.203, honeyd para que utilice nuestro fichero de configuración y el IDS Snort.
Finalmente, en nuestro router debemos redirigir todo el tráfico a los puertos 21,22,23 y 80 a la dirección ip de nuestro honeypot (a través del apartado “Port Forwarding” o similar); si todo va bien, nuestro demonio farpd deberá recoger esas peticiones y procesarlas correctamente. Para asegurarnos que nuestro honeypot es “visible” desde Internet, podemos usar cualquier escáner de puertos online, por ejemplo el de la web “Asociación de Internautas” (http://www.internautas.org/w-scanonline.php)
¡Ya tenemos todo preparado! Sólo nos queda esperar a nuestros atacantes...
Aunque podemos pensar que nuestro honeypot no es “apetecible” para un atacante, porque no tenemos asociada nuestra ip a ningún dominio y apenas hemos modificado la web servida supuestamente por Apache, os voy a mostrar algunas “peticiones” que recibió mi entorno en tan sólo 4 días:
Interesante, ¿no? Lo bueno de este entorno es que sufriremos ataques e intentos de intrusión reales, puediendo analizar los comportamientos de nuestros atacantes y así aprender cómo defendernos. Como ya os he dicho anteriormente, si no estáis seguros de cómo montar este entorno, siempre podéis comenzar por crearlo en una red privada (utilizando siempre VirtualBox) y así familiarizaros con él sin sufrir ningún peligro “externo”.
!Espero que os haya gustado el post y que os sea de utilidad. Y no dudéis en preguntar vuestras dudas en el foro!
