quarta-feira, 29 de fevereiro de 2012

Single Honeypot - Um Honeypot simula portas e serviços rodando para enganar o invasor

Como instalar e configurar o Single Honeypot. Um Honeypot simula portas e serviços rodando
para enganar o invasor. Assim, tudo que ele fizer, estará gerando Log no nosso sistema.


Introdução
Bom, antes de começar, vou resumir o que é um Honeypot (Pote de mel).

Como o proprio nome ja diz, é como um pote de mel para pegar abelhas, ou melhor, funciona como uma armadilha para os invasores, pois ele simula portas abertas e serviços rodando no sistema.

Quando o invasor rodar um 'portscan', terá como resultado falsas portas e serviços rodando; enquanto isso, ele loga tudo que o invasor fizer no sistema.

Existem varios níveis de Honeypots:

Baixa Interatividade: Serviços Falsos – Listener TCP/UDP – Respostas Falsas
Média Interatividade: Ambiente falso – Cria uma ilusão de domínio da máquina
Alta Interatividade: S.O. com serviços comprometidos – Não perceptível ao atacante


O Single Honeypot é um Honeypot de baixa interatividade, pois simula portas e serviços falsos.

Instalação
A instalação do Single Honeypot é muito simples.

Vamos acessar a página abaixo e clicar em: Download


Após o download, vamos no diretório que baixamos e descompactamos o arquivo "shoneypot-0.2.tar.gz", com o seguinte comando:

$ tar xzvf shoneypot-0.2.tar.gz

Agora entramos no diretorio "shoneypot" com:

$ cd shoneypot

E vamos instalar o Script com o seguinte comando:

# sh install.sh

Pronto! Já temos o Shoneypot instalado.

Mais ainda não acabou, agora vamos configurá-lo.

Configuração
O Single Honeypot permite simularmos 'ftp', 'http', 'smtp', 'pop3', Shell, etc.

Agora, vamos renomear 2 arquivos do nosso sistema, e criá-los novamente. Para isso, faremos:

# mv /etc/services /etc/services_original
# mv /etc/inetd.conf /etc/inetd.conf_original

Vamos criar os arquivos novos para o funcionamento do Single Honeypot. Criando o "/etc/services"

# vi /etc/services

Com o seguinte conteúdo:

shpot 6635/tcp
shpot-ftp 21/tcp
shpot-smtp 25/tcp
shpot-http 80/tcp
shpot-pop3 110/tcp
shpot-shell 514/tcp
Podemos fechar o arquivo e salvá-lo como: wq

Agora vamos criar o "/etc/inetd.conf". O "inetd.conf" tem o seguinte formato:

 


Sendo assim, nosso "inetd.conf" devera ficar assim:



shport stream tcp nowait nobody /usr/local/shport/logthis logthis
shport-ftp stream tcp nowait nobody /usr/local/shport/logthis logthis ftp
shport-smtp stream tcp nowait nobody /usr/local/shport/logthis logthis smtp
shport-http stream tcp nowait nobody /usr/local/shport/logthis logthis http
shport-pop3 stream tcp nowait nobody /usr/local/shport/logthis logthis pop3
shport-shell stream tcp nowait nobody /usr/local/shport/logthis logthis shell
Pronto! Nosso Honeypot já está criado. Porém, ainda podemos alterar alguns parâmetros no arquivo "/usr/local/shpot/thp.conf".

No caso, ele contém vários tipos de Banners de respostas. As portas que abrimos ( Ex.: WEB(http)), pode 'falar' que está rodando Apache 'versão tal', ou, Microsoft iis 5.0, etc...

Aí basta alterar o que for de gosto de vocês, e após as alterações, reiniciar a máquina. Assim que ela ligar novamente, seu Honeypot já estará rodando.

Para fazer um teste, basta rodar um SCAN, como por exemplo (logue-se como Root):

# nmap -v -sV ip

E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".



Creditos: vivaolinux

Nota:

0 comentários:

Postar um comentário

Proibido palavras ofensivas, racistas ou descriminatórias.

[Seu Comentário será liberado no máximo em 24horas]