Single Honeypot

Neste artigo, vou mostrar como instalar e configurar o Single Honeypot. Um Honeypot simula portas e serviços rodando
para enganar o invasor. Assim, tudo que ele fizer, estará gerando Log no nosso sistema.

[ Hits: 13.765 ]

Por: Ricardo Longatto em 15/02/2012


Introdução



Bom, antes de começar, vou resumir o que é um Honeypot (Pote de mel).

Como o proprio nome ja diz, é como um pote de mel para pegar abelhas, ou melhor, funciona como uma armadilha para os invasores, pois ele simula portas abertas e serviços rodando no sistema.

Quando o invasor rodar um 'portscan', terá como resultado falsas portas e serviços rodando; enquanto isso, ele loga tudo que o invasor fizer no sistema.

Existem varios níveis de Honeypots:
  • Baixa Interatividade: Serviços Falsos – Listener TCP/UDP – Respostas Falsas
  • Média Interatividade: Ambiente falso – Cria uma ilusão de domínio da máquina
  • Alta Interatividade: S.O. com serviços comprometidos – Não perceptível ao atacante

O Single Honeypot é um Honeypot de baixa interatividade, pois simula portas e serviços falsos.

Instalação

A instalação do Single Honeypot é muito simples.

Vamos acessar a página abaixo e clicar em: Download
Após o download, vamos no diretório que baixamos e descompactamos o arquivo "shoneypot-0.2.tar.gz", com o seguinte comando:

tar xzvf shoneypot-0.2.tar.gz

Agora entramos no diretorio "shoneypot" com:

cd shoneypot

E vamos instalar o Script com o seguinte comando:

# sh install.sh

Pronto! Já temos o Shoneypot instalado.

Mais ainda não acabou, agora vamos configurá-lo.

Configuração

O Single Honeypot permite simularmos 'ftp', 'http', 'smtp', 'pop3', Shell, etc.

Agora, vamos renomear 2 arquivos do nosso sistema, e criá-los novamente. Para isso, faremos:

# mv /etc/services /etc/services_original
# mv /etc/inetd.conf /etc/inetd.conf_original


Vamos criar os arquivos novos para o funcionamento do Single Honeypot. Criando o "/etc/services"

# vi /etc/services

Com o seguinte conteúdo:

shpot 6635/tcp
shpot-ftp 21/tcp
shpot-smtp 25/tcp
shpot-http 80/tcp
shpot-pop3 110/tcp
shpot-shell 514/tcp


Podemos fechar o arquivo e salvá-lo como: wq

Agora vamos criar o "/etc/inetd.conf". O "inetd.conf" tem o seguinte formato:
<service_name> <sock_type> <proto> <flags> <user> <server-path> <args>

Sendo assim, nosso "inetd.conf" devera ficar assim:

shport stream tcp nowait nobody /usr/local/shport/logthis logthis
shport-ftp stream tcp nowait nobody /usr/local/shport/logthis logthis ftp
shport-smtp stream tcp nowait nobody /usr/local/shport/logthis logthis smtp
shport-http stream tcp nowait nobody /usr/local/shport/logthis logthis http
shport-pop3 stream tcp nowait nobody /usr/local/shport/logthis logthis pop3
shport-shell stream tcp nowait nobody /usr/local/shport/logthis logthis shell


Pronto! Nosso Honeypot já está criado. Porém, ainda podemos alterar alguns parâmetros no arquivo "/usr/local/shpot/thp.conf".

No caso, ele contém vários tipos de Banners de respostas. As portas que abrimos ( Ex.: WEB(http)), pode 'falar' que está rodando Apache 'versão tal', ou, Microsoft iis 5.0, etc...

Aí basta alterar o que for de gosto de vocês, e após as alterações, reiniciar a máquina. Assim que ela ligar novamente, seu Honeypot já estará rodando.

Para fazer um teste, basta rodar um SCAN, como por exemplo (logue-se como Root):

# nmap -v -sV ip

E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".

Referências


Bom, por enquanto é só isso. Espero que tenham gostado e que seja útil para alguém.

Ricardo Longatto

   

Páginas do artigo
   1. Introdução
Outros artigos deste autor

Brute force de senhas no Linux com loncrack

Leitura recomendada

MaraDNS: Simples - Seguro - Robusto (parte 3)

Segurança Física (Parte 2)

ARP Poisoning: compreenda os princípios e defenda-se

Integridade dos arquivos do sistema

Impedindo o compartilhamento de conexão

  
Comentários
[1] Comentário enviado por andregyn em 15/02/2012 - 18:34h

Muito bom !! rodando o honeypot e rodando um denyhosts, ja fica com uma maquina bem segura.

[2] Comentário enviado por fernandoborges em 16/02/2012 - 10:49h

Parabéns pelo excelente artigo!

[3] Comentário enviado por ricardolongatto em 16/02/2012 - 11:27h

valew galera, em breve estarei postando mais alguns artigos relacionados a ids, ips e segurança.
abraço

[4] Comentário enviado por josef em 17/02/2012 - 06:44h

Parabéns, direto e objetivo...bom mesmo. 10

[5] Comentário enviado por kurtz01 em 21/02/2012 - 11:28h

Legal cara parabéns.

[6] Comentário enviado por fabgcruz em 24/02/2012 - 10:04h

bacana

[7] Comentário enviado por ricardolongatto em 24/02/2012 - 21:23h

valew galera

[8] Comentário enviado por .chr em 29/02/2012 - 19:59h

Bom matérial. Direto e claro.

Alguém possui outros matériais sobre o assunto? Estou bastante interessado.

[9] Comentário enviado por douglassenai em 10/06/2013 - 17:17h

seguinte cara, nao consegui dar este comando # mv /etc/inetd.conf /etc/inetd.conf_original
pois dz q o diretório não foi encontrado... mesmo crindo e editando o arquivo, nao vai...
e tbm esse daki... E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".

[10] Comentário enviado por ricardolongatto em 10/06/2013 - 18:39h

hum que distro voce esta usando?
na epoca que usava eu estava no debian lenny, mas creio que funcione normal nas outras versoes, no caso voce pode procurar e ver se dentro de etc existe os arquivos inetd.conf etc, ou dar um find / -name inetd.conf.
para testar é so dar ftp (enter) open (enter) ipdohoneypot e ele faz a conexao os logs voce ve em /var/log/shpot/

qualquer duvida só falar

Abraço

[11] Comentário enviado por fabiorfeijo em 16/07/2015 - 13:08h

oi, tb tive o mesmo problema citado acima o inetd.conf (tem tem esse arquivo), criei no diretorio citado. Gostaria de um exemplo do:/usr/local/shpot/thp.conf" como configurar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts