Linux slogan
Visite também: BR-Linux.org · Dicas-L · Doode · NoticiasLinux · SoftwareLivre.org · UnderLinux



» Screenshot
Linux: RedHat9+BlackBox
Por spyhunt3r
» Login
Login:
Senha:

Se você ainda não possui uma conta, clique aqui.

Esqueci minha senha



Artigo

Single Honeypot
Linux user
ricardolongatto
15/02/2012
Neste artigo, vou mostrar como instalar e configurar o Single Honeypot. Um Honeypot simula portas e serviços rodando
para enganar o invasor. Assim, tudo que ele fizer, estará gerando Log no nosso sistema.
Por: Ricardo Longatto
[ Hits: 5917 ]
Conceito: 8.1   4 voto(s)4 voto(s)4 voto(s)4 voto(s)4 voto(s) + quero dar nota ao artigo

Introdução

Bom, antes de começar, vou resumir o que é um Honeypot (Pote de mel).

Como o proprio nome ja diz, é como um pote de mel para pegar abelhas, ou melhor, funciona como uma armadilha para os invasores, pois ele simula portas abertas e serviços rodando no sistema.

Quando o invasor rodar um 'portscan', terá como resultado falsas portas e serviços rodando; enquanto isso, ele loga tudo que o invasor fizer no sistema.

Existem varios níveis de Honeypots:
  • Baixa Interatividade: Serviços Falsos – Listener TCP/UDP – Respostas Falsas
  • Média Interatividade: Ambiente falso – Cria uma ilusão de domínio da máquina
  • Alta Interatividade: S.O. com serviços comprometidos – Não perceptível ao atacante

O Single Honeypot é um Honeypot de baixa interatividade, pois simula portas e serviços falsos.

Instalação

A instalação do Single Honeypot é muito simples.

Vamos acessar a página abaixo e clicar em: Download
Após o download, vamos no diretório que baixamos e descompactamos o arquivo "shoneypot-0.2.tar.gz", com o seguinte comando:

$ tar xzvf shoneypot-0.2.tar.gz

Agora entramos no diretorio "shoneypot" com:

$ cd shoneypot

E vamos instalar o Script com o seguinte comando:

# sh install.sh

Pronto! Já temos o Shoneypot instalado.

Mais ainda não acabou, agora vamos configurá-lo.

Configuração

O Single Honeypot permite simularmos 'ftp', 'http', 'smtp', 'pop3', Shell, etc.

Agora, vamos renomear 2 arquivos do nosso sistema, e criá-los novamente. Para isso, faremos:

# mv /etc/services /etc/services_original
# mv /etc/inetd.conf /etc/inetd.conf_original


Vamos criar os arquivos novos para o funcionamento do Single Honeypot. Criando o "/etc/services"

# vi /etc/services

Com o seguinte conteúdo:

shpot 6635/tcp
shpot-ftp 21/tcp
shpot-smtp 25/tcp
shpot-http 80/tcp
shpot-pop3 110/tcp
shpot-shell 514/tcp


Podemos fechar o arquivo e salvá-lo como: wq

Agora vamos criar o "/etc/inetd.conf". O "inetd.conf" tem o seguinte formato:
<service_name> <sock_type> <proto> <flags> <user> <server-path> <args>

Sendo assim, nosso "inetd.conf" devera ficar assim:

shport stream tcp nowait nobody /usr/local/shport/logthis logthis
shport-ftp stream tcp nowait nobody /usr/local/shport/logthis logthis ftp
shport-smtp stream tcp nowait nobody /usr/local/shport/logthis logthis smtp
shport-http stream tcp nowait nobody /usr/local/shport/logthis logthis http
shport-pop3 stream tcp nowait nobody /usr/local/shport/logthis logthis pop3
shport-shell stream tcp nowait nobody /usr/local/shport/logthis logthis shell


Pronto! Nosso Honeypot já está criado. Porém, ainda podemos alterar alguns parâmetros no arquivo "/usr/local/shpot/thp.conf".

No caso, ele contém vários tipos de Banners de respostas. As portas que abrimos ( Ex.: WEB(http)), pode 'falar' que está rodando Apache 'versão tal', ou, Microsoft iis 5.0, etc...

Aí basta alterar o que for de gosto de vocês, e após as alterações, reiniciar a máquina. Assim que ela ligar novamente, seu Honeypot já estará rodando.

Para fazer um teste, basta rodar um SCAN, como por exemplo (logue-se como Root):

# nmap -v -sV ip

E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".

Referências


Bom, por enquanto é só isso. Espero que tenham gostado e que seja útil para alguém.

Ricardo Longatto

   




Páginas do artigo
   1. Introdução

Outros artigos deste autor
Nenhum artigo encontrado.

Leitura recomendada

Comentários
[1] Comentário enviado por andregyn em 15/02/2012 - 18:34h:

Muito bom !! rodando o honeypot e rodando um denyhosts, ja fica com uma maquina bem segura.


[2] Comentário enviado por fernandoborges em 16/02/2012 - 10:49h:

Parabéns pelo excelente artigo!


[3] Comentário enviado por ricardolongatto em 16/02/2012 - 11:27h:

valew galera, em breve estarei postando mais alguns artigos relacionados a ids, ips e segurança.
abraço


[4] Comentário enviado por josef em 17/02/2012 - 06:44h:

Parabéns, direto e objetivo...bom mesmo. 10


[5] Comentário enviado por kurtz01 em 21/02/2012 - 11:28h:

Legal cara parabéns.


[6] Comentário enviado por fabgcruz em 24/02/2012 - 10:04h:

bacana


[7] Comentário enviado por ricardolongatto em 24/02/2012 - 21:23h:

valew galera


[8] Comentário enviado por .chr em 29/02/2012 - 19:59h:

Bom matérial. Direto e claro.

Alguém possui outros matériais sobre o assunto? Estou bastante interessado.


[9] Comentário enviado por douglassenai em 10/06/2013 - 17:17h:

seguinte cara, nao consegui dar este comando # mv /etc/inetd.conf /etc/inetd.conf_original
pois dz q o diretório não foi encontrado... mesmo crindo e editando o arquivo, nao vai...
e tbm esse daki... E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".


[10] Comentário enviado por ricardolongatto em 10/06/2013 - 18:39h:

hum que distro voce esta usando?
na epoca que usava eu estava no debian lenny, mas creio que funcione normal nas outras versoes, no caso voce pode procurar e ver se dentro de etc existe os arquivos inetd.conf etc, ou dar um find / -name inetd.conf.
para testar é so dar ftp (enter) open (enter) ipdohoneypot e ele faz a conexao os logs voce ve em /var/log/shpot/

qualquer duvida só falar

Abraço



Contribuir com comentário


  
Para executar esta ação você precisa estar logado no site, caso contrário, tudo o que for digitado será perdido.
Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL
Site hospedado por:

Viva o Linux

A maior comunidade Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda em Linux.