Single Honeypot

Neste artigo, vou mostrar como instalar e configurar o Single Honeypot. Um Honeypot simula portas e serviços rodando
para enganar o invasor. Assim, tudo que ele fizer, estará gerando Log no nosso sistema.

[ Hits: 6.832 ]

Por: Ricardo Longatto em 15/02/2012


Introdução

Bom, antes de começar, vou resumir o que é um Honeypot (Pote de mel).

Como o proprio nome ja diz, é como um pote de mel para pegar abelhas, ou melhor, funciona como uma armadilha para os invasores, pois ele simula portas abertas e serviços rodando no sistema.

Quando o invasor rodar um 'portscan', terá como resultado falsas portas e serviços rodando; enquanto isso, ele loga tudo que o invasor fizer no sistema.

Existem varios níveis de Honeypots:
  • Baixa Interatividade: Serviços Falsos – Listener TCP/UDP – Respostas Falsas
  • Média Interatividade: Ambiente falso – Cria uma ilusão de domínio da máquina
  • Alta Interatividade: S.O. com serviços comprometidos – Não perceptível ao atacante

O Single Honeypot é um Honeypot de baixa interatividade, pois simula portas e serviços falsos.

Instalação

A instalação do Single Honeypot é muito simples.

Vamos acessar a página abaixo e clicar em: Download
Após o download, vamos no diretório que baixamos e descompactamos o arquivo "shoneypot-0.2.tar.gz", com o seguinte comando:

$ tar xzvf shoneypot-0.2.tar.gz

Agora entramos no diretorio "shoneypot" com:

$ cd shoneypot

E vamos instalar o Script com o seguinte comando:

# sh install.sh

Pronto! Já temos o Shoneypot instalado.

Mais ainda não acabou, agora vamos configurá-lo.

Configuração

O Single Honeypot permite simularmos 'ftp', 'http', 'smtp', 'pop3', Shell, etc.

Agora, vamos renomear 2 arquivos do nosso sistema, e criá-los novamente. Para isso, faremos:

# mv /etc/services /etc/services_original
# mv /etc/inetd.conf /etc/inetd.conf_original


Vamos criar os arquivos novos para o funcionamento do Single Honeypot. Criando o "/etc/services"

# vi /etc/services

Com o seguinte conteúdo:

shpot 6635/tcp
shpot-ftp 21/tcp
shpot-smtp 25/tcp
shpot-http 80/tcp
shpot-pop3 110/tcp
shpot-shell 514/tcp


Podemos fechar o arquivo e salvá-lo como: wq

Agora vamos criar o "/etc/inetd.conf". O "inetd.conf" tem o seguinte formato:
<service_name> <sock_type> <proto> <flags> <user> <server-path> <args>

Sendo assim, nosso "inetd.conf" devera ficar assim:

shport stream tcp nowait nobody /usr/local/shport/logthis logthis
shport-ftp stream tcp nowait nobody /usr/local/shport/logthis logthis ftp
shport-smtp stream tcp nowait nobody /usr/local/shport/logthis logthis smtp
shport-http stream tcp nowait nobody /usr/local/shport/logthis logthis http
shport-pop3 stream tcp nowait nobody /usr/local/shport/logthis logthis pop3
shport-shell stream tcp nowait nobody /usr/local/shport/logthis logthis shell


Pronto! Nosso Honeypot já está criado. Porém, ainda podemos alterar alguns parâmetros no arquivo "/usr/local/shpot/thp.conf".

No caso, ele contém vários tipos de Banners de respostas. As portas que abrimos ( Ex.: WEB(http)), pode 'falar' que está rodando Apache 'versão tal', ou, Microsoft iis 5.0, etc...

Aí basta alterar o que for de gosto de vocês, e após as alterações, reiniciar a máquina. Assim que ela ligar novamente, seu Honeypot já estará rodando.

Para fazer um teste, basta rodar um SCAN, como por exemplo (logue-se como Root):

# nmap -v -sV ip

E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".

Referências


Bom, por enquanto é só isso. Espero que tenham gostado e que seja útil para alguém.

Ricardo Longatto

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Brute force de senhas no Linux com loncrack

Leitura recomendada

Alta disponibilidade com CARP

Quebrando chave WEP - Wired Equivalent Privacy (parte 2)

VPN em Linux com OpenVPN

Monitoramento de redes com o Zenoss

Alta Disponibilidade (High Availability) em sistemas GNU/Linux

Comentários
[1] Comentário enviado por andregyn em 15/02/2012 - 18:34h

Muito bom !! rodando o honeypot e rodando um denyhosts, ja fica com uma maquina bem segura.

[2] Comentário enviado por fernandoborges em 16/02/2012 - 10:49h

Parabéns pelo excelente artigo!

[3] Comentário enviado por ricardolongatto em 16/02/2012 - 11:27h

valew galera, em breve estarei postando mais alguns artigos relacionados a ids, ips e segurança.
abraço

[4] Comentário enviado por josef em 17/02/2012 - 06:44h

Parabéns, direto e objetivo...bom mesmo. 10

[5] Comentário enviado por kurtz01 em 21/02/2012 - 11:28h

Legal cara parabéns.

[6] Comentário enviado por fabgcruz em 24/02/2012 - 10:04h

bacana

[7] Comentário enviado por ricardolongatto em 24/02/2012 - 21:23h

valew galera

[8] Comentário enviado por .chr em 29/02/2012 - 19:59h

Bom matérial. Direto e claro.

Alguém possui outros matériais sobre o assunto? Estou bastante interessado.

[9] Comentário enviado por douglassenai em 10/06/2013 - 17:17h

seguinte cara, nao consegui dar este comando # mv /etc/inetd.conf /etc/inetd.conf_original
pois dz q o diretório não foi encontrado... mesmo crindo e editando o arquivo, nao vai...
e tbm esse daki... E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".

[10] Comentário enviado por ricardolongatto em 10/06/2013 - 18:39h

hum que distro voce esta usando?
na epoca que usava eu estava no debian lenny, mas creio que funcione normal nas outras versoes, no caso voce pode procurar e ver se dentro de etc existe os arquivos inetd.conf etc, ou dar um find / -name inetd.conf.
para testar é so dar ftp (enter) open (enter) ipdohoneypot e ele faz a conexao os logs voce ve em /var/log/shpot/

qualquer duvida só falar

Abraço


Contribuir com comentário