Enganando invasores com Honeyperl
Honeyperl é uma ferramenta de segurança produzida por brasileiros, trata-se de um conjunto de fake servers que simulam com perfeição diversos servidores falsos para enganar invasores.
[ Hits: 34.295 ]
Por: Leandro Totino Pereira em 19/10/2006
Configurando o Honeyperl
Agora devemos executar o "verify.pl" para ver se os módulos Perl estão todos instalados para executar o Honeyperl:
# cd /usr/local/honeyperl-0.0.7.1
# perl verify.pl
Se apareceu algo assim:
+ Testando Módulos necessários para Fakesquid 0.0.3
- strict -> OK
- IO::Socket -> OK
- Term::ANSIColor -> OK
Módulos OK
Ocorreu tudo certo, vamos para próxima parte. Se deu erro faça os download dos módulos Perl e instale-os.
Agora vamos editar o principal arquivo de configuração do Honeyperl, o honeyperl.conf, que fica em /usr/local/honeyperl-0.0.7.1/conf/. Use seu editor de texto preferido.
# cd /usr/local/honeyperl-0.0.7.1
# perl verify.pl
Se apareceu algo assim:
+ Testando Módulos necessários para Fakesquid 0.0.3
- strict -> OK
- IO::Socket -> OK
- Term::ANSIColor -> OK
Módulos OK
Ocorreu tudo certo, vamos para próxima parte. Se deu erro faça os download dos módulos Perl e instale-os.
Agora vamos editar o principal arquivo de configuração do Honeyperl, o honeyperl.conf, que fica em /usr/local/honeyperl-0.0.7.1/conf/. Use seu editor de texto preferido.
#############
#Seção 1 #
#############
#Domínio que será utilizado pelos fakes
dominio=honeypot.com.br #Domínio que será utilizado pelos servidores falsos
#Email utilizado nos fakes
email=admin@honeypot.com.br # um e-mail falso de sua preferência
#Usuário utilizado
usuario=root # usuário que executará o honeyperl
#Deseja ver as mensagens no terminal?
#opções:(sim/yes)/(nao/no)
terminal=sim # define para mostrar ou não mensagens dos ataques no terminal
#Deseja ativar firewall
#opções:(sim/yes)/(nao/no)
firewall=nao # se deseja ativar o firewall ou não ,recomendo que não porque o motivo é atrair os "invasores" e não bloquear eles, mas se você quer pareça mesmo com um servidor de verdade ativa-o
#Os sistemas disponíveis para utilização de firewall:
#pode-se ter linux22, linux24 ou openbsd
#openbsd : trabalha com PF
#linux24 : IPTables Kernel 2.4 e 2.6
#linux22 : ipchains Kernel 2.2
so=linux24 # aqui podemos definir se o firewall vai ser configurado com OpenBSD,ipchains ou iptables
#############
#Seção 2 #
#############
#Fakes a serem iniciados
fakesquid:squid:conf/fakesquid.conf:3128:Squid Emul
fakesmtp:smtp:conf/fakesmtp.conf:25:Smtp emul
fakehttpd:httpd:conf/httpd.conf:80:Httpd emul
fakepop3:pop3:conf/pop3.conf:110:Pop3 emul
fakeecho:echo::7:Echo emul
fakeftp:ftp:conf/fakeftp.conf:21:Ftp emul
fakepit:pit::20001:Pit emul
#Exemplo estrutura dos fakes:
#nomedofake:modulo(serviço):arquivo de configuração:porta tcp:comentario(opcional)
#Seção 1 #
#############
#Domínio que será utilizado pelos fakes
dominio=honeypot.com.br #Domínio que será utilizado pelos servidores falsos
#Email utilizado nos fakes
email=admin@honeypot.com.br # um e-mail falso de sua preferência
#Usuário utilizado
usuario=root # usuário que executará o honeyperl
#Deseja ver as mensagens no terminal?
#opções:(sim/yes)/(nao/no)
terminal=sim # define para mostrar ou não mensagens dos ataques no terminal
#Deseja ativar firewall
#opções:(sim/yes)/(nao/no)
firewall=nao # se deseja ativar o firewall ou não ,recomendo que não porque o motivo é atrair os "invasores" e não bloquear eles, mas se você quer pareça mesmo com um servidor de verdade ativa-o
#Os sistemas disponíveis para utilização de firewall:
#pode-se ter linux22, linux24 ou openbsd
#openbsd : trabalha com PF
#linux24 : IPTables Kernel 2.4 e 2.6
#linux22 : ipchains Kernel 2.2
so=linux24 # aqui podemos definir se o firewall vai ser configurado com OpenBSD,ipchains ou iptables
#############
#Seção 2 #
#############
#Fakes a serem iniciados
fakesquid:squid:conf/fakesquid.conf:3128:Squid Emul
fakesmtp:smtp:conf/fakesmtp.conf:25:Smtp emul
fakehttpd:httpd:conf/httpd.conf:80:Httpd emul
fakepop3:pop3:conf/pop3.conf:110:Pop3 emul
fakeecho:echo::7:Echo emul
fakeftp:ftp:conf/fakeftp.conf:21:Ftp emul
fakepit:pit::20001:Pit emul
#Exemplo estrutura dos fakes:
#nomedofake:modulo(serviço):arquivo de configuração:porta tcp:comentario(opcional)
Pronto, a parte mais difícil acabou. Agora vamos configurar os " fakes servers".
Páginas do artigo
1. Introdução2. Configurando o Honeyperl
3. Configurando os fakes
4. Executando e testando
Outros artigos deste autor
Montando e desvendando redes no Linux
Instalando e configurando o VNC
Squid + proxy transparente + autentificação + SSL
Leitura recomendada
Wow! O que esta câmera de segurança está fazendo aí?
Descobrindo chave WPA2 com Aircrack-ng
Desenvolvimento Web - Simples dicas de segurança
Fazendo sua conexão remota por SSH mais segura
Comentários
[1] Comentário enviado por fsouzza em 19/10/2006 - 16:04h
Não entendi... Depois de extrair, mover para o /etc e rodar o verify.pl de dentro do /usr/local/honeyperl-0.0.7.1 ????
Não estaria tudo no /etc/honeyperl-0.0.7.1 ???
Não entendi... Depois de extrair, mover para o /etc e rodar o verify.pl de dentro do /usr/local/honeyperl-0.0.7.1 ????
Não estaria tudo no /etc/honeyperl-0.0.7.1 ???
[2] Comentário enviado por tatototino em 19/10/2006 - 17:30h
desculpe é um pequeno erro
é para /usr/local
como descrevi abaixo
mv honeyperl-0.0.7.1 /usr/local
é pq eu tinha feito o artigo baseado honeyperl 0.0.5 aí eu atualizei para nova versão a 0.0.7 e não percebi esse pequeno erro
mas então é para /usr/local e não para /etc
flw
desculpe é um pequeno erro
é para /usr/local
como descrevi abaixo
mv honeyperl-0.0.7.1 /usr/local
é pq eu tinha feito o artigo baseado honeyperl 0.0.5 aí eu atualizei para nova versão a 0.0.7 e não percebi esse pequeno erro
mas então é para /usr/local e não para /etc
flw
[3] Comentário enviado por Ragen em 19/10/2006 - 18:13h
Olá amigo,
Gostaria de salientar alguns pontos:
"simulam com perfeição diversos servidores falsos para enganar invasores".
Não simulam com perfeição. Há varios modos de detectar um honey pot - Na H2HC (hackers to hackers conference, 1º edição) o SkyNet45 palestrou justamente sobre isso.
E o honeypot deve ser usado com EXTREMA cautela, pois "somente" (Talvez soe meio radical, mas é como eu penso) engana "kiddies".
Em outras palavras, significa que se você invez de "enganar", pregra uma placa no seu servidor "Meu hackeie, estou vulnerável". E como diz o ditado: "Quem procura acha".
[]'s
Ragen
Olá amigo,
Gostaria de salientar alguns pontos:
"simulam com perfeição diversos servidores falsos para enganar invasores".
Não simulam com perfeição. Há varios modos de detectar um honey pot - Na H2HC (hackers to hackers conference, 1º edição) o SkyNet45 palestrou justamente sobre isso.
E o honeypot deve ser usado com EXTREMA cautela, pois "somente" (Talvez soe meio radical, mas é como eu penso) engana "kiddies".
Em outras palavras, significa que se você invez de "enganar", pregra uma placa no seu servidor "Meu hackeie, estou vulnerável". E como diz o ditado: "Quem procura acha".
[]'s
Ragen
[4] Comentário enviado por tatototino em 19/10/2006 - 21:18h
eu quiz dizer "simulam com perfeição diversos servidores falsos para enganar invasores" com a simples base
vc pode implementar qualquer honeypot com o netcat com a opção -e executando um programinha em qualquer porta e jogando pra um log ou tb fazendo um programinha de 20 a 30 linhas que abra uma porta e execute alguma coisa parecido com um servidor , mas fazendo assim não fik parecido ou tão igual com um servidor verdadeiro
e coloquei invasores pq nem todo mundo sabe o é " kiddies"
honeypot tem a função de enganar mas nem todo mundo acaba sendo enganado, como disse ele tem a função de vc analizar certos ataques que serão sofridos para posteriormente se pervenir
é isso aí
flww
eu quiz dizer "simulam com perfeição diversos servidores falsos para enganar invasores" com a simples base
vc pode implementar qualquer honeypot com o netcat com a opção -e executando um programinha em qualquer porta e jogando pra um log ou tb fazendo um programinha de 20 a 30 linhas que abra uma porta e execute alguma coisa parecido com um servidor , mas fazendo assim não fik parecido ou tão igual com um servidor verdadeiro
e coloquei invasores pq nem todo mundo sabe o é " kiddies"
honeypot tem a função de enganar mas nem todo mundo acaba sendo enganado, como disse ele tem a função de vc analizar certos ataques que serão sofridos para posteriormente se pervenir
é isso aí
flww
[5] Comentário enviado por pogo em 20/10/2006 - 09:15h
Ok, vc implementou o seu honeypot simulando um FTP, por exemplo, pra enganar algum espertão da rede.... mas como vc vai chamar a atenção dele para o honeypot e não para o servidor real?
[]'s!
Ok, vc implementou o seu honeypot simulando um FTP, por exemplo, pra enganar algum espertão da rede.... mas como vc vai chamar a atenção dele para o honeypot e não para o servidor real?
[]'s!
[6] Comentário enviado por tatototino em 20/10/2006 - 09:49h
pogos então
essa é a charada, vc coloca servidores reais mesclados com varios servidores falsos parecendo hiper vulneraveis ou tb se vc quiser só os poe osservidores falsos
um exemplo vc tem só um servidor web real e um de e-mail, aí vc poderá chamar atenção abrindo uma porta ftp na versão mas antiga que tem, claro que o "invasor" vai tentar alguma coisa pela porta ftp
os servidores falsos vc pode configurar para aparecer como versão 0.1 do pior servidor que tem no arquivo de configuração , sendo que para os invasores esses servidores são super hiper vulneraveis
os invasores não vão trocar por exemplo um servidor ruimftp 0.2 por um apache 2.3 né
pogos então
essa é a charada, vc coloca servidores reais mesclados com varios servidores falsos parecendo hiper vulneraveis ou tb se vc quiser só os poe osservidores falsos
um exemplo vc tem só um servidor web real e um de e-mail, aí vc poderá chamar atenção abrindo uma porta ftp na versão mas antiga que tem, claro que o "invasor" vai tentar alguma coisa pela porta ftp
os servidores falsos vc pode configurar para aparecer como versão 0.1 do pior servidor que tem no arquivo de configuração , sendo que para os invasores esses servidores são super hiper vulneraveis
os invasores não vão trocar por exemplo um servidor ruimftp 0.2 por um apache 2.3 né
[7] Comentário enviado por y2h4ck em 20/10/2006 - 10:48h
Veja bem tatatotino,
Ano passado publiquei um artigo sobre o honeyperl, se vc olhar no site do projeto verá que tem um link la quebrado pois devido o problema no vivaolinux o artigo se perdeu ...
A finalidade real de um honeypot é ter estatisticas fidedignas em relação ao nível e tipos de ataques que sua rede é submetida. Quando implementa-se um honeypot visamos ter em nosso segmento um servidor não em produção que apenas coletará informações, sendo assim teremos estatisticas do tipo:
- Que tipo de ataque nossa rede é acometida
- Qual a frequencia dos ataques
- Quais as redes de onde a maioria dos ataques são oriundos
- Quais ativos de minha infra-estrutura devem ser melhor quantificados.
Um portsentry escutando em várias portas é um otimo honeypot pois:
- É mais seguro que um ambiente falso que pode contar com falhas de segurança, e isto seria contra a estratégia de segurança que vc pretende implementar uma vez que seu honeypot seria o Weak-Point.
Como sendo um artigo sobre segurança voce deve levar vários fatores em relação ao projeto:
Você conhece bem o sistema?
Você garante que ele não tem falhas?
Você colocou o sistema de honeypot junto a uma infra-estrutura de servidor, acredito que faltou a criação de um ambiente CHroot para aumentar a segurança.
Se não levarmos em conta estes principios acima não seremos objetivos e não teremos exito em nossa empreitada. Não concorda ??
- Mais simples pois teremos apenas que abrir portas e gerar logs. Simplicidade é um fator importante em uma politica de segurança uma vez que:
sistemas mais simples são mais faceis de gerenciar;
Sendo mais simples de gerenciar falhas são mais dificeis de acontecer;
Aplicando o conceito de Weak-Point + Simplicity temos que quanto mais simples mais seguro e mais objetivo.
- Mais eficiente no sentido quantificativo.
Em todo caso o artigo ficou interessante.
Obrigado.
Anderson
Veja bem tatatotino,
Ano passado publiquei um artigo sobre o honeyperl, se vc olhar no site do projeto verá que tem um link la quebrado pois devido o problema no vivaolinux o artigo se perdeu ...
A finalidade real de um honeypot é ter estatisticas fidedignas em relação ao nível e tipos de ataques que sua rede é submetida. Quando implementa-se um honeypot visamos ter em nosso segmento um servidor não em produção que apenas coletará informações, sendo assim teremos estatisticas do tipo:
- Que tipo de ataque nossa rede é acometida
- Qual a frequencia dos ataques
- Quais as redes de onde a maioria dos ataques são oriundos
- Quais ativos de minha infra-estrutura devem ser melhor quantificados.
Um portsentry escutando em várias portas é um otimo honeypot pois:
- É mais seguro que um ambiente falso que pode contar com falhas de segurança, e isto seria contra a estratégia de segurança que vc pretende implementar uma vez que seu honeypot seria o Weak-Point.
Como sendo um artigo sobre segurança voce deve levar vários fatores em relação ao projeto:
Você conhece bem o sistema?
Você garante que ele não tem falhas?
Você colocou o sistema de honeypot junto a uma infra-estrutura de servidor, acredito que faltou a criação de um ambiente CHroot para aumentar a segurança.
Se não levarmos em conta estes principios acima não seremos objetivos e não teremos exito em nossa empreitada. Não concorda ??
- Mais simples pois teremos apenas que abrir portas e gerar logs. Simplicidade é um fator importante em uma politica de segurança uma vez que:
sistemas mais simples são mais faceis de gerenciar;
Sendo mais simples de gerenciar falhas são mais dificeis de acontecer;
Aplicando o conceito de Weak-Point + Simplicity temos que quanto mais simples mais seguro e mais objetivo.
- Mais eficiente no sentido quantificativo.
Em todo caso o artigo ficou interessante.
Obrigado.
Anderson
[8] Comentário enviado por doliver em 20/10/2006 - 19:55h
Kra seu artigo foi show, para mtas pessoas que não conhecem bem o projeto honeypot acho que deu uma esclarecida na mente das pessoas.
Quanto a discussão acima é bem que verdade que esse tipo de tecnica so engana iniciantes, um kra experiente sabe como um server se comporta e iria detectar a presença de honey facilmente pq ele não responderia do modo esperado por ele;
Mas não deixa de ser mais uma bareira contra eles.
Parabéns pelo artigo.
Kra seu artigo foi show, para mtas pessoas que não conhecem bem o projeto honeypot acho que deu uma esclarecida na mente das pessoas.
Quanto a discussão acima é bem que verdade que esse tipo de tecnica so engana iniciantes, um kra experiente sabe como um server se comporta e iria detectar a presença de honey facilmente pq ele não responderia do modo esperado por ele;
Mas não deixa de ser mais uma bareira contra eles.
Parabéns pelo artigo.
[10] Comentário enviado por balani em 24/10/2006 - 00:07h
Eu tenho uma duvida, talvez seja besteira, como é melhor a utilização dele no meu fw ou num server separada?
Eu tenho uma duvida, talvez seja besteira, como é melhor a utilização dele no meu fw ou num server separada?
[11] Comentário enviado por tatototino em 24/10/2006 - 06:59h
tanto faz
você deve pensar assim
onde vou executar ele para sofrer mais ataques,essa é a intensão do honey ser atacado
flww
tanto faz
você deve pensar assim
onde vou executar ele para sofrer mais ataques,essa é a intensão do honey ser atacado
flww
[13] Comentário enviado por Gilmar_GNU/Slack em 06/02/2007 - 14:19h
Mais mesmo assim eles naum poderiam usar o Net-bus para pegar o Root ?
mais a sempre uma porbabilidade de que esse tipo de ataque aconteça... mais claro que eles são Usuaria de UNix ou Mac in tosh ! mais como o sistema Lnux tem ummbom firewall ai e complicado invadir ! mais ainda tem a pobabilidade de mudança de proxi e ainda tem o tor que pode ajudar no porcesso de mudar o caminho da maquina !
Mais mesmo assim eles naum poderiam usar o Net-bus para pegar o Root ?
mais a sempre uma porbabilidade de que esse tipo de ataque aconteça... mais claro que eles são Usuaria de UNix ou Mac in tosh ! mais como o sistema Lnux tem ummbom firewall ai e complicado invadir ! mais ainda tem a pobabilidade de mudança de proxi e ainda tem o tor que pode ajudar no porcesso de mudar o caminho da maquina !
[14] Comentário enviado por tatototino em 06/02/2007 - 16:42h
Netbus não funciona no Linux, mesmo se funcionasse nunca poderia pegar o usuário root, ele é um torjan, ou seja, ele só faz uma conexão reversa como o comando nc (netcat) muito usado pelo kiddies.
E a configuração básica do iptables (bloquear tudo e liberar só que você quiser), barra os trojans e tentativas de conexões reversas.
flw
Netbus não funciona no Linux, mesmo se funcionasse nunca poderia pegar o usuário root, ele é um torjan, ou seja, ele só faz uma conexão reversa como o comando nc (netcat) muito usado pelo kiddies.
E a configuração básica do iptables (bloquear tudo e liberar só que você quiser), barra os trojans e tentativas de conexões reversas.
flw
[15] Comentário enviado por gdtec em 11/10/2010 - 20:06h
Os links informados não dão mais acesso ao download da ferramenta. Você possui algum link alternativo. Estou com dificuldades de encontrar essa versão em questão.
Aguardo..
Os links informados não dão mais acesso ao download da ferramenta. Você possui algum link alternativo. Estou com dificuldades de encontrar essa versão em questão.
Aguardo..
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
É cada coisa que me aparece! - não é só 3% (3)
Melhorando a precisão de valores flutuantes em python[AJUDA] (5)
Top 10 do mês
-
Xerxes
1° lugar - 65.919 pts -
Fábio Berbert de Paula
2° lugar - 49.902 pts -
Buckminster
3° lugar - 17.840 pts -
Mauricio Ferrari
4° lugar - 15.531 pts -
Alberto Federman Neto.
5° lugar - 14.367 pts -
Diego Mendes Rodrigues
6° lugar - 13.180 pts -
Daniel Lara Souza
7° lugar - 12.698 pts -
edps
8° lugar - 11.167 pts -
Andre (pinduvoz)
9° lugar - 10.904 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.868 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
