Configurare un honeypot

17

Ho un computer di riserva in giro a casa mia, quindi ho deciso di trasformarlo in un honeypot. Finora, ho installato Windows XP (senza service pack) su di esso e ho impostato le regole sul mio router per inoltrare (alcune) porte all'honeypot. Poiché il mio router non supporta DMZ, devo creare manualmente le regole. Attualmente, inoltro le porte TCP 80, 100-140 e 1000-1500 (ho scelto questi valori in modo abbastanza casuale). Sull'honeypot, utilizzo Wireshark per monitorare il traffico di rete.

Tuttavia, l'honeypot non sembra essere stato infettato. Ricevo solo pochissimo traffico dall'esterno.

Che cosa sto sbagliando? Devo inoltrare altre porte? Devo in qualche modo pubblicizzare la mia presenza su Internet?

Grazie per qualsiasi input!

P.S .: So dei pericoli legati all'esecuzione di un honeypot all'interno di una rete domestica.

    
posta ryyst 28.12.2011 - 11:21
fonte

3 risposte

18

Se vuoi solo ottenere la tua macchina honeypot compromessa e parte di una botnet, dovrai eseguire servizi vulnerabili sulla macchina. I servizi vulnerabili che scegli dovranno abbinare le porte che hai inoltrato alla macchina honeypot e dovranno anche abbinare i servizi che i worm stanno attivamente cercando di sfruttare.

Per una macchina Windows XP, l'inoltro delle porte 137, 138, 139 e 445 dovrebbe farti avere un sacco di traffico d'attacco. Queste porte sono per NetBIOS e Samba e ricevono tutti un flusso costante di traffico da Internet.

La porta di inoltro 80 sarà utile solo se si sta eseguendo un server Web sulla macchina honeypot. Puoi andare in due direzioni con un server web; eseguire una vecchia versione del daemon HTTP stesso che ha vulnerabilità note o eseguire una versione corrente e quindi eseguire un'applicazione Web vulnerabile come una versione precedente di Wordpress o phpMyAdmin.

Puoi semplicemente provare a eseguire i servizi e sperare che siano vulnerabili e che i worm stiano cercando di sfruttarli, ma potrebbe essere più efficace cercare i servizi che i worm specifici hanno come target ed eseguire quelli.

L'altra direzione per risolvere questo problema è abilitare la registrazione sul tuo punto di ingresso e vedere quale traffico ti sta colpendo. Sospetto che vedrai molto traffico sulle porte che ho menzionato sopra, ma probabilmente vedrai il traffico anche su altri porti. Scopri quali le porte sono utilizzate per una corsa quel servizio sulla tua macchina.

Ci sono alcune cose che vorrei aggiungere a questo riguardo agli honeypot:

Lo scopo di un honeypot è studiare cosa fa l'attaccante o il worm una volta compromesso un host. Dovrai impostare un monitoraggio completo e la registrazione sulla scatola stessa in modo da ottenere alcune utili informazioni dall'esercizio. È anche importante che tu sappia quando sei stato compromesso. La maggior parte degli honeypot viene eseguita all'interno di macchine virtuali al fine di offrire un modo semplice per confrontare lo stato corrente della macchina con una copia nota. Non è sufficiente farlo dall'interno dell'honeypot perché i rootkit possono modificare gli stessi strumenti che si stanno utilizzando per fare il confronto.

Dovrai monitorare tutto il traffico da e verso la macchina honeypot. Con questo intendo le acquisizioni di pacchetti completi. Il modo normale per farlo è con una porta spanning sul tuo switch ma probabilmente può essere fatto nell'hypervisor della VM se il tuo switch non ha questa capacità. Normalmente non lo faresti all'interno di honeypot.

Hai detto di essere consapevole dei pericoli insiti nell'esecuzione del tuo honeypot all'interno della rete domestica. Presumo che questo significhi anche che sei consapevole delle precauzioni che dovrai prendere prima di metterlo online. Nello specifico, configurazione della rete e del firewall in modo che la macchina honeypot non possa contattare nessuno del resto della rete locale. Inoltre, è buona norma prestare attenzione a quali connessioni in uscita è possibile consentire l'avvio a Internet. La prima cosa che tenterà spesso di fare è scaricare un rootkit e i programmi worker che probabilmente ti interessano, tuttavia la prossima cosa è spesso iniziare ad attaccare più target, e questo non è qualcosa che normalmente vorresti permettere.

Esistono anche strumenti specifici per la creazione di honeypot . Questi strumenti includono interi hypervisor e stack VM che abilitano tutte le cose che ho menzionato sopra. Sullo stesso sito puoi trovare strumenti per la registrazione, il monitoraggio e l'analisi e anche un carico di informazioni su come eseguire un honeypot e chi è probabile che vedano l'attacco.

    
risposta data 28.12.2011 - 12:09
fonte
7

Quello che hai creato è un honeypot ad alta interazione, cioè un sistema live che attende di essere compromesso e successivamente analizzato da un investigatore foresics (che sei tu, ovviamente). Vorrei iniziare con un honeypot basato su linux, a bassa interazione. Crea un filesystem virtuale e servizi falsi che possono far sì che gli attaccanti (o il loro strumento automatico) credano che questo sia un sistema "reale", mentre eseguirai un servizio honeypot. Uno strumento molto semplice per impostare e catturare le sonde è Kippo , un honeypot SSH. Ho sviluppato anche uno strumento di visualizzazione che potrebbe interessarti (e ovviamente avrai una buona presentazione dei tuoi dati). Un altro honeypot noto a bassa interazione è honeyd , ma è un po 'più difficile da configurare, a seconda di cosa intendi fare naturalmente (honeyd può simulare un'intera architettura di rete con router, server, workstation, ecc.)

    
risposta data 30.12.2011 - 10:35
fonte
1

Sebbene la maggior parte di queste risposte sia corretta, mi sembra che manchino alcune informazioni.

Per prima cosa vorrei chiarire che dipende dal tipo di Honeypot che si sta installando, quindi decide se si desidera installare un monitoraggio esteso o meno come con Honeypot a bassa interazione, non si vuole fare alcun configurazione in generale. ma se si utilizza High-Interaction o Honeypot fisico con il proprio IP che viene utilizzato principalmente nella categoria Ricerca.

Ciò significa che qualunque cosa tu definisca come honeypot, è tua aspettativa e obiettivo di far sondare il sistema, attaccarlo e potenzialmente sfruttarlo, Honeybot funziona aprendo oltre 1000 socket di ascolto UDP e TCP sul computer e questi socket sono progettati per imitare i servizi vulnerabili. Inoltre è uno strumento di rilevamento e risposta, piuttosto che di prevenzione, di cui ha un piccolo valore.

Affidati al software che stai utilizzando, la maggior parte di questi sono dotati di e-mail e avvisi di notifica. come honyed, mantrap, honeynets . Che è tutto meglio distribuito su firewall.

Un'altra cosa da tenere a mente, gli Honeypot sono inutili se non vengono attaccati, se sei come detto vuoi o vuoi catturare pacchetti Full , significa che stai anche dando un abile attaccante possibilità di dirottare il tuo honeypot. E se Se un attaccante riesce a compromettere uno dei tuoi honeypot, potrebbe provare ad attaccare altri sistemi che non sono sotto il tuo controllo. Questi sistemi possono essere posizionati ovunque su Internet e l'attaccante potrebbe usare il tuo honeypot come trampolino di lancio per attaccare i sistemi sensibili.

    
risposta data 26.04.2015 - 14:28
fonte

Leggi altre domande sui tag