SEGURIDAD EN REDES CON LINUX

Laboratorio N 5

HONEYPOT
Tecsup

HONEYPOT LINUX

OBJETIVOS
Crear una plataforma virtual de Servidores.
Personalizar servicios trampa.

EQUIPOS
1 Computadora.

PROCEDIMIENTO

PARTE 1
Activaremos e instalacin del HONEYPOT. Los software a usar se
encuentra en la maquina virtual en el directorio /honeypot

MAQUINA VIRTUAL PREPARADA HONEYPOT

1. (HP) Se ha preparado una Maquina Virtual CENTOS SERVER:
Descomprima Linux Honey PCC.rar
Active la maquina virtual.
En la maquina virtual en vez del CTRL + ALT + DEL use
CTRL + ALT + INSERT
La maquina virtual esta configurada con los siguientes datos:
IP: 192.168.90.112
GW: 192.168.90.1
DNS: 192.168.65.43

Al activar la maquina virtual:

Nota: Si aparece nuevo dispositivo detectado, seleccionar:
<Ninguna modificacin>

Login: root
Password: tecsup

Nota: Para instalar el HONEY se necesita diversas libreras. En la

maquina virtual ya estn instaladas estas libreras y el software
HONEY.

INSTALACION DE SOFTWARE (NO REALIZARLO, Saltar al punto 7 )

2. (HP) Libreras a instalar: libdnet-1.10-2.el4.kb.i386.rpm , libdnet-
devel-1.10-2.el4.kb.i386.rpm, libevent-1.1a-2.el4.kb.i386.rpm,
libevent-devel-1.1a-2.el4.kb.i386.rpm

Instale aplicando el comando: # rpm ivh <librera>

Programa: arpd-0.2-4.el4.rf.i386.rpm
Funcin: Permitir mapear los broadcast.
Instalar el programa: # rpm ivh arpd-0.2-4.el4.rf.i386.rpm

3. (HP) Instalar el programa Honey:

Programa: honeyd.tgz
Descomprimir y compilar:
# tar zxvf honeyd.tgz
# cd honeyd
# ./configure
# make
# make install

-1-
Tecsup

4. (HP) Trasladar los SCRIPT de emulacin de servicios:

Del directorio descomprimido de honeyd, traslade el directorio scripts:
# cp f R scripts /usr/local/share/honeyd

En el directorio soft , existe otros SCRIPTS que lo traslade:

# cd /soft
# cp *.sh /usr/local/share/honeyd/scripts

5. (HP) Generar el archivo de eventos:

# touch /var/log/honeyd.log
# chmod 777 /var/log/honeyd.log

En una nueva ventana de consola, mantenga la visualizacin del Log

permanente:
# tail f /var/log/honeyd.log

6. (HP) Honeyd emulara los servicios. Se recomienda que los Servicios reales del
Sistema Operativo Linux se desactiven para evitar conflictos:

Detener los SERVICIOS de WEB y TELNET

# service httpd stop
# chkconfig httpd off

# vi /etc/xinetd.d/telnet
Disable=yes

# service xinetd restart

PARTE 2
Generaremos los Equipos Ficticios (Win01, Lin01) que figura en el
diagrama, con algunos servicios emulados.

LISTA DE EMULACION DE SISTEMAS OPERATVIOS

Nota: Honeyd permite la emulacin de varios Sistemas, podemos observar

esta relacin visualizando el archivo nmap.prints

7. (HP) Visualic los diversos Sistemas Operativos que puede emular HONEY, para
mostrar su presencia a la red. En la imagen muestra la emulacin de Windows
2000 Server SP3

# cd /usr/local/share/honeyd
# vi nmap.prints

Mencione algunos Sistemas Operativos encontrados? _______________

-2-
Tecsup

Windows 2000 SP3

Windows 2000 professional
Windows 2000 withc servide pack3
Windows XP Pro with SP1

EMULACION WINDOWS

CONFIGURACION
8. (HP) Personalizaremos para que HONEY emule un WINDOWS:

Crear el archivo de configuracin con la personalizacin de la emulacin

# cd /usr/local/share/honeyd
# vi config.red

Nota: Respetar las maysculas y minsculas del archivo de

configuracin.

# Creando un perfil windows

create windows01

#
set windows01 personality Microsoft Windows 2000 Server SP3

set windows01 default tcp action reset

set windows01 default udp action reset

# Relacionando las ips virtuales al perfil Windows

bind 192.168.90.113 windows01

Activando el software arpd para que responde a los BROADCAST de la

RED 192.168.90.0:
# arpd -i eth0 192.168.90.0/24

-3-
Tecsup

Activando honeyd
# honeyd -l /var/log/honeyd.log -f config.red 192.168.90.113

Nota: Al ejecutar honeyd, asegure que al final aparezca la

palabra Honeyd starting as background process. Si hubiera
error, le mostrara en que numero de lnea del archivo
config.red esta el error. Revselo y vuelva a ejecutar la
activacin de honeyd.

tai

En una nueva ventana de consola, mantenga la visualizacin del Log

permanente:
# tail f /var/log/honeyd.log

PRUEBAS

-4-
Tecsup

9. (I2) Realizaremos pruebas de comprobacin del Equipo Ficticio:

PING
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.90.113

-5-
Tecsup

LANGUARD
En la parte inferior izquierda, visualizara un icono de la letra K: Clic a
K > Backtrack > Vulnerability Identification >
Security Scanner > GFI Languard 2.0

Ingrese la IP en el campo target:

El software comenzara a realizar consultas a la IP y obtendr la informacin:

Ya cayo en la trampa

EVENTOS
(HP) En el archivo de eventos monitoreado se habr detectado el
requerimiento:

EMULACION DE SERVICIOS

-6-
Tecsup

CONFIGURACION
10.(HP) Agregaremos al archivo config.red la emulacin de servicio de WEB
IIS. Agregue lo resaltado:

# Creando un perfil windows

create windows01

# Simulando un determimado Sistema operativo

set windows01 personality Microsoft Windows 2000 Server SP3

# Aperturando los puertos ficticios

add windows01 tcp port 80 "/usr/local/share/honeyd/scripts/web.sh"
set windows01 default tcp action reset
set windows01 default udp action reset

# Relacionando las ips virtuales al perfil Windows

bind 192.168.90.113 windows01

ACTIVACION
11. (HP) Aplique los nuevos cambios en el archivo. Es necesario anular el anterior
proceso con el comando killall:

# killall honeyd
# honeyd -l /var/log/honeyd.log -f config.red 192.168.90.113
PRUEBAS
11.(I2) Realizaremos pruebas de comprobacin del los Servicios:

PING
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.90.113

LANGUARD
En la parte inferior izquierda, visualizara un icono de la letra K: Clic a
K > Backtrack > Vulnerability Identification >
Security Scanner > GFI Languard 2.0

Ingrese nuevamente la IP en el campo target luego <Enter>

El software comenzara a realizar consultas a la IP y obtendr la informacin:

Ya cayo otra vez en la trampa

VISITANDO PGINA WEB

(I2) Va el navegador FireFox visite: http://192.168.90.113

-7-
Tecsup

EVENTOS
(HP) En el archivo de eventos monitoreado se habr detectado el
requerimiento:

EMULACION LINUX {192.168.90.114 }

CONFIGURACION
12.(HP) Personalizaremos para que HONEY emule tambin un LINUX con los
Servicio de SMTP (Sendmail) y de POP3:
Edite el archivo config.red
Al final del archivo agregaremos las siguientes lneas que agregara la
presencia de un Linux.

# Creando un perfil Linux

create linux01

# Simulando un determinado Sistema operativo

set linux01 personality Linux 2.4.20

# Aperturando los puertos ficticios

add linux01 tcp port 25 "/usr/local/share/honeyd/scripts/smtp.sh"
add linux01 tcp port 110 "/usr/local/share/honeyd/scripts/pop3.sh"

set linux01 default tcp action reset

set linux01 default udp action reset

# Relacionando las ips virtuales al perfil Linux

bind 192.168.90.114 linux01

ACTIVACION
11. (HP) Aplique los nuevos cambios en el archivo. Es necesario anular el anterior
proceso con el comando killall

-8-
Tecsup

# killall honeyd
# honeyd -l /var/log/honeyd.log -f config.red
192.168.90.113 192.168.90.114

ARCHIVO DE EVENTOS DE POP3

Nota: Los scripts que emulan los Servicios, guardan la actividad
realizada en archivos de eventos personales. El Script POP3 guarda en
el archivo pop3-.log que deber estar ubicado en /tmp/honeyd

13.(HP) Crear el directorio, el archivo y los permisos respectivos:

# cd /tmp
# mkdir honeyd
# cd honeyd
# touch pop3-.log
# chmod 666 pop3-.log

En una nueva ventana de consola active el monitoreo de este archive:

# tail -f /tmp/honeyd/pop3-.log

-9-
Tecsup

PRUEBAS
14.(I2) Realizaremos pruebas de comprobacin del los Servicios:

PING
Envi un ping, deber obtener respuesta: # ping -c 2 192.168.90.114

LANGUARD
Ingrese la IP en el campo target luego <Enter> :

El software comenzara a realizar consultas a la IP y obtendr la informacin:

Ya cayo en la trampa

ACCESO SERVICIO DE POP3

En la consola realice una conexin al puerto 110:

# telnet 192.168.90.114 110

Nota: Lo que esta enmarcando son los comandos que realiza un

cliente correo cuando se conecta al servicio de correo para
obtener sus correos. Realice el ingreso de estos comandos
manualmente. Nos validaremos con la cuenta lechuga y password
fresca. Observara que el SCRIPT que emula el Servicio de POP3
responde a los comandos como si fuera un Servicio REAL. Pero es
una TRAMPA (La cuenta no existe)

- 10 -
Tecsup

EVENTOS
(HP) En el archivo de eventos de pop3-.log visualizara la actividad:

Tarea:

1. Crear una red ficticia que simule a la siguiente red (delimitada por las lneas
punteadas):

El Virtual Honeypot3 ser un Windows Server 2008 Standard Edition con los
servicios Web (IIS) y SMTP.
El virtual Honeypot1 ser un Linux 5.x 6.x el cual tendr el servicio Telnet.
Los Virtual Honeypot 2 y 4 sern Windows XP con los puertos TCP y UDP
abiertos segn correspondan como sistemas operativos Windows.

- 11 -