ARTCULOS SOBEHONEYPOTS.

LVARO PAZ.

Tarros de miel. En este post no voy hablar de apicultura, aunque el titulo se acerque mucho a este mundo, voy haceruna pequea introduccin de los Honeypots, y recomendar algn software Honeypots y documentacin para iniciarse en este tema.

Los Honeypots como su traduccin al castellano indica son tarros de miel para atraer abejas, pero en el terreno de la seguridad informtica, son servidores (tarros de miel) que emulan tener muchas vulnerabilidades para atraer ataques informticos (abejas) y registrarlos para su posterior estudio.

Los Honeypots se usan sobre todo para estudiar ataques en una red. Los tarros de miel son tambin muy usados para la deteccin temprana de ataques. Pero hay que tener bien claro que un Honeypot no se puede usar como elemento de proteccin contra ataques.

Los tarros de miel se deben usar con mucha precaucin en redes empresariales debido a que sus caractersticas (atraer atacantes) pueden poner en peligro la red, cuando el Honeypot es tomado por el atacante, puede ser usado para comprometer la seguridad de otros elementos de la red o para atacar otros sistemas fuera de la red, como por ejemplo: envi masivo de spam, ataques de denegacin de servicio...

Para iniciarse en este tema recomiendo dos Honeypots gratuitos para Windows muy fciles de usar: Multipot y Honeyboot. Para los que quieran profundizar en el tema, les dejo documentacin muy interesante (en ingles) y una recomendacin el honeypot Nepenthes para Linux.

Multipot para Windows:http://labs.idefense.com/software/malcode.php#more_multipot

Honeybot para Windows:http://www.atomicsoftwaresolutions.com/honeybot.php

Nepenthes para Linux:http://nepenthes.mwcollect.org/

Software Honeypot de honeypots.net:http://www.honeypots.net/honeypots/products

Amplia documentacin sobre Honeypots de honeypots.net:http://www.honeypots.net/honeypots/links

Infocus: Defeating Honeypots: System Issues, Part 1http://www.securityfocus.com/infocus/1826

Infocus: Defeating Honeypots: System Issues, Part 2http://www.securityfocus.com/infocus/1828

Enmascarar sistema para evitar OS Fingerprinting. El OS Fingerprinting es una tcnica que cosiste en analizar las huellas que deja un sistema operativoen sus conexiones de red. Est basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexin en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.

Lo ms habitual para evitar esta tcnica es implementar IDS (sistema de deteccin de intrusos). Pero algunas veces un IDS no detecta esta tcnica y aunque la detecte si no es un IDS reactivo (que responde a la actividad sospechosa reprogramando los cortafuegos para que bloquee trfico que proviene de la red del atacante) nos sirve para evitarla.

Existe otra forma de evitar ests ataques que consiste en enmascarar nuestro sistema, o bien modificando los valores TCP/IP o utilizar sistemas operativos virtuales con una filosofa parecida a los honeypots.

Modificar valores TCP/IP en Windows:

Time To Live (TTL). En sistemas Windows tiene un valor de 128. Para modificarlo se usa elregedit y en HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ se crea o se modifica una nueva variable DWORD con el nombre DefaultTTL y se introduce el valor deseado. Por ejemplo: 64 el usado para sistemas Linux.

Modificar el tamao de la ventana. Usando el regedit en HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces se crea o se modifica una nueva variable DWORD con el nombre TcpWindowSize y se introduce el valor deseado.

Desactivar paquetes ICMP Redirects.Con el regedit en HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ se crea o se modifica una nueva variable DWORD con el nombre EnableICMPRedirects y se introduce el valor 0 (por defecto est a 1).

Es recomendable antes de hacer estas modificaciones hacer una copia de seguridad del registro de Windows, debido a que estas modificaciones pueden afectar a la conectividad del sistema a los diferentes servicios.

Modificar valores TCP/IP en sistemas Linux:

Time To Live (TTL). En sistemas Linux tiene un valor de 64. Para modificarlo usamos el comando echo 128 > /proc/sys/net/ipv4/ip_default_ttl, introducimos 128 porque es el valor por defecto de Windows.

Desactivacin de TCP TIMESTAMP. Utilizamos el comando echo 0 > /proc/sys/net/ipv4/tcp_timestamps.

Desactivacin del tamao de la ventana. Utilizamos el comando echo 0 > /proc/sys/net/ipv4/tpc_window_scaling.

Activar ICMP REDIRECTS. Utilizamos los comandos: echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects para aceptar ests paquetes y echo 0 >

/proc/sys/net/ipv4/conf/all/send_redirects para enviarlos.

Tambin se recomienda hacer copias de seguridad ya que modificar estos parmetros puede afectar a la conectividad del sistema.

Utilizar sistemas operativos virtuales.

La siguiente tcnica no nos permite ocultar o cambiar completamente nuestro SO, pero nos va permitir ocultarlo en aspectos concretos de conexiones. Esta idea est siendo aplicada en el tema de los honeypots y consiste en hacer creer a los atacantes que hay mquinas de un SO especfico (el virtual) y ocultar tu SO real para atraerlos.

La herramienta que emplearemos es honeyd, de Niels Provos. Una de sus grandes caractersticas es que podemos asignar a cada una de nuestros dispositivos virtuales el SO que queramos. Esa personalidad tambin se especifica con un fichero normal de firmas de SO de Nmap, permitindonos convertirnos en el SO que queramos.

Un ejemplo practico:

Tenemos un servidor Linux que queremos que responda como: si fuera Sistema Solaris si se intenta conectar un Windows con el, que es un Windows 2000 server SP2 si se conectan desde un rango de Ip asignado y que es un router si se conectan a determinadas horas desde 12:00am a 5:00am.

En primer lugar instalamos honeyd, y despus configuramos el archivo honeyd.conf:El servidor tiene la ip 192.168.1.100.

Archivo honeyd.conf:

##### Honeyd Configuration File #####

###### Start with default template. If you don't assign specifc ### behavior to a specific IP address, Honeyd defaults to the ### 'default' template. You must have a template with the name### 'default'.

### Default Templatecreate default# Set default behaviorset default personality "Windows NT4 / Win95 / Win98"set default default tcp action resetset default default udp action resetset default default icmp action open

# Add specific servicesadd default tcp port 139 openadd default tcp port 137 openadd default udp port 137 openadd default udp port 135 open

### We now have the rest of our templates and honeypot behavior### ### Port Behavior ### TCP (default is Open) ### - Open: Respond with Syn/Ack, establish connection ### - Block: Drop packet and do not reply ### - Reset: Respond with RST ### - Tarpit: Sticky connection ### ### UDP (default is Closed) ### - Open: No response ### - Block: Drop packet and do not reply ### - Reset: Respond with ICMP port error message ### ### ICMP (default is Open) ### - Open: Reply to ICMP packets ### - Block: Drop packet and do not reply ###

### Tarpit Template### Insecure and open Mac box designed to tarpit worms/autorooters

### Solaris Spam Relaycreate relayset relay personality "Solaris 2.6 - 2.7"set relay default tcp action resetset relay default udp action resetadd relay tcp port 25 "perl scripts/unix/general/smtp.pl"add relay tcp port 111"perl scripts/unix/general/rpc/bportmapd --proto tcp --host scripts/unix/general/rpc/hosts/solaris-2.7 --srcip $ipsrc --dstip $ipdst --srcport $srcport --dstport $dport --logfile /var/log/honeyd --logall"add relay tcp port 8080 "perl scripts/unix/general/proxy.pl"add relay udp port 111"perl scripts/unix/general/rpc/bportmapd --proto udp --host scripts/unix/general/rpc/hosts/solaris-2.7 --srcip $ipsrc --dstip $ipdst --srcport $srcport --dstport $dport --logfile /var/log/honeyd --logall"bind 192.168.1.120 relay

### Standard Windows 2000 computer

create win2kset win2k personality "Windows 2000 server SP2"set win2k default tcp action resetset win2k default udp action resetset win2k default icmp action blockset win2k uptime 3567set win2k droprate in 13add win2k tcp port 21 "sh scripts/win32/win2k/msftp.sh $ipsrc $sport $ipdst $dport"add win2k tcp port 25 "sh scripts/win32/win2k/exchange-smtp.sh $ipsrc $sport $ipdst $dport"add win2k tcp port 80 "sh scripts/win32/win2k/iis.sh $ipsrc $sport $ipdst $dport"add win2k tcp port 110 "sh scripts/win32/win2k/exchange-pop3.sh $ipsrc $sport $ipdst $dport"add win2k tcp port 143 "sh scripts/win32/win2k/exchange-imap.sh $ipsrc $sport $ipdst $dport"add win2k tcp port 389 "sh scripts/win32/win2k/ldap.sh $ipsrc $sport $ipdst $dport"add win2k tcp port 5901 "sh scripts/win32/win2k/vnc.sh $ipsrc $sport $ipdst $dport"add win2k udp port 161 "perl scripts/unix/general/snmp/fake-snmp.pl public private --config=scripts/unix/general"# This will redirect incomming windows-filesharing back to the sourceadd win2k udp port 137 proxy $ipsrc:137add win2k udp port 138 proxy $ipsrc:138add win2k udp port 445 proxy $ipsrc:445add win2k tcp port 137 proxy $ipsrc:137add win2k tcp port 138 proxy $ipsrc:138add win2k tcp port 139 proxy $ipsrc:139add win2k tcp port 445 proxy $ipsrc:445bind 192.168.1.130 win2k

### Cisco routercreate routerset router personality "Cisco IOS 12.1(5)-12.2(1)"set router default tcp action resetset router default udp action resetset router uid 32767 gid 32767set router uptime 1327650add router tcp port 23 "perl scripts/router/cisco/router-telnet.pl"add router tcp port 80 openadd router udp port 161 "perl scripts/unix/general/snmp/fake-snmp.pl public private --config=scripts/unix/general"bind 192.168.1.254 router

###### We now have our dynamic template, which creates different ### virtual honeypots based on the attacker, including OS. Honeyd### has passive fingerprinting capabilities built into it. You

### can see which OS types it can passively fingerprint in the ### file pf.os. ### ### NOTE: You can make the dynamic template your default template### with 'dynamic default'. Also, the dynamic template must### go after all the other templates it is using, as such ### the dynamic template should go last. ###

### Dynamic honeypotdynamic magichostadd magichost use relay if source os = "windows"add magichost use win2k if source ip = 192.168.1.0/28add magichost use router if time between 12:00am - 5:00ambind 192.168.1.100 routerone

Existen mas configuracin y documentacin en la pagina web del proyecto honeyd.

Modificar los valores TCP/IP en ambos sistemas operativos puede tener problemas de conectividad y no funcionar algunos servicios, si se quiere realizar esta tcnica se necesita probar que los servicios que se ofrecen funcionan al hacer las modifcaciones, adems no garantiza que no sean detectados. Usar honeyd dentro de sus limitaciones es la mejor opcin y camufla perfectamente el sistema.

Ms informacin y descarga de honeyd:http://www.honeyd.org/

Seguridad SCADA: Honeypot para simular redes SCADA. Es muy difcil recrear un honeypot de una red SCADA dado la variedad de despliegues de redes industriales y la falta de una arquitectura estndar. Otro de los factores que dificultan simular estas redes, es que utilizan muchos protocolos de red diferentes y topologas muy complejas. En SCADA HoneyNet Project podemos encontrar complementos para el honeypot Honeyd que nos permiten simular una variedad de redes industriales tales como arquitecturas de SCADA, de DCS, y de PLC.

Con Honeyd es posible simular varios dispositivos industriales basados en IP en un mismo anfitrincomo por ejemplo: un servidor de Modbus/TCP en el puerto 502 y EtherNet/IP en los puertos 44818/2222. Y de esta forma recoger datos sobre los ataques que se producen a dichos dispositivos.

Para completar este honeypot necesitamos simular conexiones serie debido a que muchos dispositivos industriales utilizan RS-232/485, es posible, utilizando el modulo programado en python llamado pySerial. De esta forma presentamos un interfaz de protocolo a un atacante que se conecte por el puerto serie.

Este honeypot no solo nos puede servir de estudio de ataques que puede sufrir una red industrial, aplicando las cualidades de Honeyd nos permite utilizarlo como tcnica de camuflaje ante ataques de Fingerprinting. Ya que entre las opciones de Honeyd es posible configurar que solo responda a un rango de IP determinado o que responda en una franja horaria concreta.

Ms informacin y descarga de SCADA HoneyNet Project:http://scadahoneynet.sourceforge.net/

Ejemplo de simulacin de un PLC:http://scadahoneynet.sourceforge.net/plc.html

Modulo pySerial escrito en python de simulacin de RS-232/485:http://pyserial.sourceforge.net/

Honeypot para SSH. Se trata de Kippo un honeypot para SSH diseado para registrar ataques de fuerza bruta y la interaccin del atacante en el mismo. Kippo se inspira, pero no est basado en Kojoney.

Algunas caractersticas interesantes:

Simula un sistema de ficheros completo que se asemeja a una instalacin de Debian 5.0, con

capacidad de agregar y quita archivos. La posibilidad de agregar archivos a ese sistema de ficheros falso permite que el atacante

pueda ver archivos tales como /etc/passwd, solo se incluye un contenido mnimo del archivo.

Registros de la sesin del atacante son almacenados en un formato compatible con UML para la respuesta fcil con sincronizaciones originales.

Kippo salva los archivos transferidos con el wget para la inspeccin posterior.

Kippo est probado en las plataformas: Debian, CentOS, FreeBSD y Windows 7. Y necesita de los siguientes componentes para su funcionamiento: Python 2.5+, Twisted 8.0+, PyCrypto y interface Zope.

Ms informacin y descarga de Kippo en:http://code.google.com/p/kippo/

Despliegue rpido y fcil de Honeypot con maquina virtual. Desplegar un entorno Honeypot de una forma rpida y fcil es posible con HoneyDrive una maquina virtual (OVA) con Xubuntu 12.04 edicin de escritorio de 32 bits, que contiene varios paquetes de software honeypot como: honeypot Kippo SSH, Dionaea honeypot malware, Honeyd, Glastopf honeypot web junto con Wordpot y Thug honeyclient.

Adicionalmente incluye scripts y utilidades pre-configurados, tiles para analizar, visualizar y procesar los datos capturados como: Kippo-Graph, Honeyd-Viz y muchos ms. Por ltimo, muchos otros tiles de seguridad, informtica forense y herramientas relacionados con el malware tambin estn presentes en la distribucin.

Caractersticas:

Distribuido en un solo archivo OVA, listo para ser importado. LAMP completo instalado (Apache 2 y MySQL 5), adems de herramientas como

phpMyAdmin. Kippo SSH honeypot, adems Kippo -Graph, Kippo2MySQL y otros scripts tiles. Dionaea honeypot malware, adems DionaeaFR y otros scripts. Honeypot de malware Amn y scripts. Honeypot Kojoney SSH y scripts. Honeypot web Glastopf, junto con Wordpot WordPress honeypot. Honeyd, adems Honeyd2MySQL, Honeyd-Viz y otras secuencias de comandos tiles. LaBrea honeypot, Honeypot Tiny, emulador IIS y INetSim. Honeyclient Thug para el anlisis de los ataques de lado cliente, junto con el colector de

malware mwcrawler. Un paquete completo de seguridad, herramientas forenses y herramientas anti-malware para

la monitorizacin de la red, cdigo shell malicioso y anlisis de PDF, como ntop, p0f, EtherApe, nmap, DFF, Wireshark, ClamAV, ettercap, Automater, UPX, pdftk, Flasm, pdf-parser, Pyew y dex2jar.

Plugins de Firefox preinstalados, adems de software adicional til, como GParted, Terminator, Adminer, VYM y Xpdf.

Una vez descargado el archivo, simplemente hay que importar la maquina virtual (el software sugerido para su uso: Oracle VM VirtualBox). Tambin es posible utiliza HoneyDrive en productos de VMware (Estaciones de trabajo, ESXi , etc) siguiendo esta instrucciones: Configuracin HoneyDrive en VMware.

Ms informacin y descarga HoneyDrive:http://sourceforge.net/projects/honeydrive/

ARTCULOS SOBE HONEYPOTS.LVARO PAZ.Tarros de miel.Enmascarar sistema para evitar OS Fingerprinting.Seguridad SCADA: Honeypot para simular redes SCADA.Honeypot para SSH.Despliegue rpido y fcil de Honeypot con maquina virtual.