HoneyPots

Table of Contents

1 Introducció

1.1 Què és un honeypot?

És un programari que implementa o simula un servei vulnerable amb l'intenció d'atraure els possibles atacants.

1.2 Tipus de honeypots

Es divideixen en tres nivells d'interacció:

Interacció baixa
Tan sols simula els procés d'autenticació (login). Són útils per detectar atacants dins de la xarxa.
Interacció mitja
Permeten l'autenticació i simulen un servei funcional, permetent estudiar les intencions i l'operativa del atacant dins del servei simualt. Tanmateix, al ser simulat aquest servei no té un impacte real, tant en l'equip com en l'exterior.
Interacció alta
Són un servei totalment funcional i permeten veure tota la interacció de l'atacant amb el servei i la resta de la xarxa. Aquests tipus de honeypots no són recomanables si es deixen sense vigilància ja que permetrien ser utilitzats de forma normal per un atacant i que aquest els aprofiter per fer altres activitats delictives.

1.3 Utilitat d'un honeypot

Bàsicament podem donar dos utilitats a un honeypot:

Alerta d'atacant
Ens pot ser útil per aixecar una alarma conforme tenim un atacant dins de la xarxa, que fins ara no hem detectat per altres mitjans.
Estudi d'operatives d'atacs
Pot ser extremadament útil per estudiar el comportament d'un atacant, les seves intencions, les eines que utilitza, etc… Aquesta utilitat tan sols es dona en honeypots de nivell d'interacció mig o alt.

2 Laboratori amb TPotCE

2.1 Projecte TPotCE

Aglutina varis honeypots, permet enviar resultats a la comunitat i a més implementa eines d'anàlisis i visualització molt potents.

2.2 Muntatge

2.2.1 Descàrrega

Hi han varies versions, la més sencilla d'instal·lar és la ISO pre-compilada.

2.2.2 Configuració de la VM

Requereix molts recursos per funcionar bé, us recomano una VM amb:

  • Cores: 3 cores
  • RAM: 5MB
  • HD: 40Gb
  • Xarxa: Adaptador pont.

    requisits.png

2.2.3 Instal·lació

El procés d'instal·lació és el de una Debian normal, però el primer cop que reinicieu haureu de crear el password per a la compta d'usuari tsec i un nou usuari per a poder accedir via web.

2.2.4 Configuració del router

Cal redirigir els ports dels honeypots que ens interessin des del router cap al honeypot. En l'exemple de sota veureu que es redirigeix el port 22 cap al honeypot. Cal notar que cada router és diferent, per tant haureu d'esbrinar com fer-ho amb el de casa vostre.

router.png

2.2.5 Configuració del tallafocs

Per maximitzar la seguretat, sobretot si teniu intenció de deixar-ho desatés, fora bó afegir regles al tallafocs del vostre router per evitar noves connexions sortints provinents del honeypot. Amb iptables això seria quelcom com:

iptabels -A FORWARD -m state --state NEW -s <ip_honeypot> -j DROP

2.2.6 Verificació

Per verificar que el honeypot està realment escoltant al port 22 i a Internet podem obrir el seu panell de Kibana alhora que utilitzem la web de WhatIsMyIP tot escanejant el nostre port 22. A la web ens ha d'apareixer com obert i al panell de Kibana ens ha d'apareixer una connexió.

2.3 Anàlisis de resultats

Un cop tinguem el honeypot desplegat podrem accedir a la seva webmitjançant l'enllaç que ens proporciona en el banner d'inici de la VM.

ip.png

Accedint amb l'usuari i password que hem creat en el procés de post-instal·lació podrem accedir a tots els panells d'informació. Aquí ens interessa Kibana que és el graficador de les estadístiques, i dins d'aquest el Dashboard corresponent a Cowrie que és el honeypot que hem expossat a Internet, i per tant l'únic que estarà rebent atacs.

Configurarem aquesta pantalla per a que mostri els resultats de l'últim any i que s'auto refresqui cada minut, tot aixó desde l'icona de calendari / rellotge.

cowrie.gif

És interessant veure varies coses a nivell de resultats. El primer de tot és adonar-nos de l'estona que passa entre que expossem el honeypot i el moment en que començem a rebre atacs. Això ens ha de fer adonar de el nivell d'expossició tenen TOTS els serveis que oferim externament des de la nostra xarxa.

Per altre banda deixem unes hores actiu el honeypot i després analitzem els resultats tot fixant-nos en coses com:

  • Origen dels atacs (país).
  • IPs d'origen dels atacs (màquines compromesses, sortides de TOR, reputació, etc).
  • Usuaris i password dels atacs.
  • Comandes utilitzades un cop dins del sistema.
  • Arxius pujats.

analisis.gif

3 [ ] ToDo

  • [ ] Com modificar usuaris p¡/ passwords cowrie.

Date: \today

Author: Raul Gimenez Herrada

Created: 2021-02-15 dl. 12:17

Validate