Enganando invasores com Honeyperl

Honeyperl é uma ferramenta de segurança produzida por brasileiros, trata-se de um conjunto de fake servers que simulam com perfeição diversos servidores falsos para enganar invasores.

tatototino

Por Leandro Totino Pereira em 19/10/2006

Hits: 35.677 Categoria: Linux Subcategoria: Segurança

Parte 3: Configurando os fakes

Os arquivos dos servidores falsos (fake servers) se localizam diante nossa configuração em /usr/local/honeyperl-0.0.7.1/conf/. Os arquivos de configuração dos "fake servers" é onde configuramos a emulação dos servidores falsos, simplificando, esses são os arquivos essenciais em que você escolhe como enganar os invasores com informações falsas.

Colocando a mão na massa:

Editando o arquivo Fakesquid.conf (arquivo de configuração do falso Squid). Os parâmetros são os seguintes:

$bugsquid="Squid/2.4 Stable3"; #define a versão do servidor squid falso, você pode por qualquer versão

Editando o arquivo fakesmtp.conf (arquivo de configuração do falso SMTP). Os parâmetros são os seguintes:

$serveemul = "sendmail" #indica que servidor falso de e-mail o honeyperl irá emular
$logdir="/etc/honeyperl-005/logs/smtp"; # define o local onde será guardados os logs do servidor smtp falso

Editando o arquivo httpd.conf (arquivo de configuração do falso httpd ou apache). Os parâmetros são os seguintes:

our $httpd="Apache/1.3.27"; # define a versão do servidor falso do apache

Editando o arquivo pop3.conf (arquivo de configuração do fakepop3). Os parâmetros são os seguintes:

serveremul="qpopper"; #define que servidor de pop3 irá emular
$logdir = "logs/pop3.log"; # define o local do arquivo de log do servidor pop3 falso

Editando o arquivo fakeftp.conf (arquivo de configuração do fakepop3). Os parâmetros são o seguinte:

%programaftp="wuftp"; # define pra ele emular o server wuftp, a opção não pode ser mudada porque ele só emula esse por enquanto

$conteudoftp="total 4x0dx0adrwxrwx-w- 2 root root 4096 Fev 2 00:08 pubx0dx0a"; #define o conteúdo da pasta ftp quando logar

Agora só falta executar e testar.

Páginas do artigo

   1. Introdução
   2. Configurando o Honeyperl
   3. Configurando os fakes
   4. Executando e testando

Outros artigos deste autor

Squid + proxy transparente + autentificação + SSL

Instalando e configurando o VNC

Montando e desvendando redes no Linux

SSH completo (passo a passo)

Leitura recomendada

Deface: A arte de desconfigurar sites

TinyOS

Acesso Remoto: Configurando e Iniciando o Servidor Telnet e SSH

Escondendo banners de serviços

Criptografar arquivos importantes no seu Linux

Comentários

#1 Comentário enviado por fsouzza em 19/10/2006 - 16:04h

Não entendi... Depois de extrair, mover para o /etc e rodar o verify.pl de dentro do /usr/local/honeyperl-0.0.7.1 ????

Não estaria tudo no /etc/honeyperl-0.0.7.1 ???

#2 Comentário enviado por tatototino em 19/10/2006 - 17:30h

desculpe é um pequeno erro

é para /usr/local

como descrevi abaixo

mv honeyperl-0.0.7.1 /usr/local

é pq eu tinha feito o artigo baseado honeyperl 0.0.5 aí eu atualizei para nova versão a 0.0.7 e não percebi esse pequeno erro

mas então é para /usr/local e não para /etc

flw

#3 Comentário enviado por Ragen em 19/10/2006 - 18:13h

Olá amigo,

Gostaria de salientar alguns pontos:

"simulam com perfeição diversos servidores falsos para enganar invasores".

Não simulam com perfeição. Há varios modos de detectar um honey pot - Na H2HC (hackers to hackers conference, 1º edição) o SkyNet45 palestrou justamente sobre isso.

E o honeypot deve ser usado com EXTREMA cautela, pois "somente" (Talvez soe meio radical, mas é como eu penso) engana "kiddies".

Em outras palavras, significa que se você invez de "enganar", pregra uma placa no seu servidor "Meu hackeie, estou vulnerável". E como diz o ditado: "Quem procura acha".

[]'s

Ragen

#4 Comentário enviado por tatototino em 19/10/2006 - 21:18h

eu quiz dizer "simulam com perfeição diversos servidores falsos para enganar invasores" com a simples base

vc pode implementar qualquer honeypot com o netcat com a opção -e executando um programinha em qualquer porta e jogando pra um log ou tb fazendo um programinha de 20 a 30 linhas que abra uma porta e execute alguma coisa parecido com um servidor , mas fazendo assim não fik parecido ou tão igual com um servidor verdadeiro

e coloquei invasores pq nem todo mundo sabe o é " kiddies"

honeypot tem a função de enganar mas nem todo mundo acaba sendo enganado, como disse ele tem a função de vc analizar certos ataques que serão sofridos para posteriormente se pervenir

é isso aí

flww

#5 Comentário enviado por pogo em 20/10/2006 - 09:15h

Ok, vc implementou o seu honeypot simulando um FTP, por exemplo, pra enganar algum espertão da rede.... mas como vc vai chamar a atenção dele para o honeypot e não para o servidor real?

[]'s!

#6 Comentário enviado por tatototino em 20/10/2006 - 09:49h

pogos então

essa é a charada, vc coloca servidores reais mesclados com varios servidores falsos parecendo hiper vulneraveis ou tb se vc quiser só os poe osservidores falsos

um exemplo vc tem só um servidor web real e um de e-mail, aí vc poderá chamar atenção abrindo uma porta ftp na versão mas antiga que tem, claro que o "invasor" vai tentar alguma coisa pela porta ftp

os servidores falsos vc pode configurar para aparecer como versão 0.1 do pior servidor que tem no arquivo de configuração , sendo que para os invasores esses servidores são super hiper vulneraveis

os invasores não vão trocar por exemplo um servidor ruimftp 0.2 por um apache 2.3 né

#7 Comentário enviado por y2h4ck em 20/10/2006 - 10:48h

Veja bem tatatotino,

Ano passado publiquei um artigo sobre o honeyperl, se vc olhar no site do projeto verá que tem um link la quebrado pois devido o problema no vivaolinux o artigo se perdeu ...

A finalidade real de um honeypot é ter estatisticas fidedignas em relação ao nível e tipos de ataques que sua rede é submetida. Quando implementa-se um honeypot visamos ter em nosso segmento um servidor não em produção que apenas coletará informações, sendo assim teremos estatisticas do tipo:

- Que tipo de ataque nossa rede é acometida
- Qual a frequencia dos ataques
- Quais as redes de onde a maioria dos ataques são oriundos
- Quais ativos de minha infra-estrutura devem ser melhor quantificados.

Um portsentry escutando em várias portas é um otimo honeypot pois:

- É mais seguro que um ambiente falso que pode contar com falhas de segurança, e isto seria contra a estratégia de segurança que vc pretende implementar uma vez que seu honeypot seria o Weak-Point.

Como sendo um artigo sobre segurança voce deve levar vários fatores em relação ao projeto:

Você conhece bem o sistema?
Você garante que ele não tem falhas?
Você colocou o sistema de honeypot junto a uma infra-estrutura de servidor, acredito que faltou a criação de um ambiente CHroot para aumentar a segurança.

Se não levarmos em conta estes principios acima não seremos objetivos e não teremos exito em nossa empreitada. Não concorda ??

- Mais simples pois teremos apenas que abrir portas e gerar logs. Simplicidade é um fator importante em uma politica de segurança uma vez que:
sistemas mais simples são mais faceis de gerenciar;
Sendo mais simples de gerenciar falhas são mais dificeis de acontecer;
Aplicando o conceito de Weak-Point + Simplicity temos que quanto mais simples mais seguro e mais objetivo.

- Mais eficiente no sentido quantificativo.

Em todo caso o artigo ficou interessante.

Obrigado.

Anderson

#8 Comentário enviado por doliver em 20/10/2006 - 19:55h

Kra seu artigo foi show, para mtas pessoas que não conhecem bem o projeto honeypot acho que deu uma esclarecida na mente das pessoas.

Quanto a discussão acima é bem que verdade que esse tipo de tecnica so engana iniciantes, um kra experiente sabe como um server se comporta e iria detectar a presença de honey facilmente pq ele não responderia do modo esperado por ele;
Mas não deixa de ser mais uma bareira contra eles.

Parabéns pelo artigo.

#9 Comentário enviado por balani em 21/10/2006 - 11:05h

kra muito seu artigo.

#10 Comentário enviado por balani em 24/10/2006 - 00:07h

Eu tenho uma duvida, talvez seja besteira, como é melhor a utilização dele no meu fw ou num server separada?

#11 Comentário enviado por tatototino em 24/10/2006 - 06:59h

tanto faz

você deve pensar assim

onde vou executar ele para sofrer mais ataques,essa é a intensão do honey ser atacado

flww

#12 Comentário enviado por balani em 25/10/2006 - 12:28h

VlW pela dica!!!

#13 Comentário enviado por Gilmar_GNU/Slack em 06/02/2007 - 14:19h

Mais mesmo assim eles naum poderiam usar o Net-bus para pegar o Root ?
mais a sempre uma porbabilidade de que esse tipo de ataque aconteça... mais claro que eles são Usuaria de UNix ou Mac in tosh ! mais como o sistema Lnux tem ummbom firewall ai e complicado invadir ! mais ainda tem a pobabilidade de mudança de proxi e ainda tem o tor que pode ajudar no porcesso de mudar o caminho da maquina !

#14 Comentário enviado por tatototino em 06/02/2007 - 16:42h

Netbus não funciona no Linux, mesmo se funcionasse nunca poderia pegar o usuário root, ele é um torjan, ou seja, ele só faz uma conexão reversa como o comando nc (netcat) muito usado pelo kiddies.
E a configuração básica do iptables (bloquear tudo e liberar só que você quiser), barra os trojans e tentativas de conexões reversas.

flw

#15 Comentário enviado por gdtec em 11/10/2010 - 20:06h

Os links informados não dão mais acesso ao download da ferramenta. Você possui algum link alternativo. Estou com dificuldades de encontrar essa versão em questão.
Aguardo..

Parte 3: Configurando os fakes

Páginas do artigo

Outros artigos deste autor

Leitura recomendada

Comentários

Contribuir com comentário