it-swarm.dev

Configurare un honeypot

Ho un computer di riserva in giro a casa mia, quindi ho deciso di trasformarlo in un honeypot. Finora ho installato Windows XP (nessun service pack) su di esso e ho impostato le regole sul mio router per inoltrare (alcune) porte all'honeypot. Poiché il mio router non supporta DMZ , Devo creare manualmente le regole. Attualmente, inoltro TCP porte 80, 100-140 e 1000-1500 (ho scelto quei valori praticamente in modo casuale). Sull'honeypot, uso Wireshark per monitorare il traffico di rete.

Tuttavia, l'honeypot non sembra infettarsi. Ricevo solo pochissimo traffico dall'esterno.

Che cosa sto facendo di sbagliato? Devo inoltrare altre porte? Devo in qualche modo pubblicizzare la mia presenza su Internet?

Grazie per qualsiasi input!

P.S .: Conosco i pericoli legati all'esecuzione di un honeypot all'interno di una rete domestica.

16
ryyst

Se vuoi solo compromettere la tua macchina honeypot e far parte di una botnet, dovrai eseguire servizi vulnerabili sulla macchina. I servizi vulnerabili che scegli dovranno corrispondere alle porte che hai inoltrato alla macchina honeypot e dovranno anche corrispondere ai servizi che i worm stanno attivamente cercando di sfruttare.

Per un sistema operativo Windows XP, le porte di inoltro 137, 138, 139 e 445 dovrebbero generare un notevole traffico di attacchi. Queste porte sono per NetBIOS e Samba e ricevono tutte un flusso costante di traffico dal Internet.

La porta di inoltro 80 sarà utile solo se si esegue un server Web sul computer honeypot. Puoi andare in due direzioni con un web server; eseguire una versione precedente del demone HTTP stesso che presenta vulnerabilità note o eseguire una versione corrente e quindi eseguire un'applicazione Web vulnerabile come una versione precedente di Wordpress o phpMyAdmin su di esso.

Puoi semplicemente provare a eseguire i servizi e sperare che siano vulnerabili e che i worm stiano cercando di sfruttarli, ma potrebbe essere più efficace cercare i servizi che i worm specifici prendono di mira ed eseguirli.

L'altra direzione per risolvere questo problema è abilitare la registrazione sul punto di ingresso e vedere quale traffico ti sta colpendo. Sospetto che vedrai molto traffico sulle porte che ho menzionato sopra, ma probabilmente vedrai anche traffico su altre porte. Scopri cosa per cui vengono utilizzate le porte esegui quel servizio sul tuo computer.

Ci sono alcune cose che aggiungerei a questo riguardo agli honeypot:

Lo scopo di un honeypot è studiare cosa fa l'attaccante o il worm una volta che compromette un host. Ti consigliamo di impostare un monitoraggio e una registrazione completi sulla casella stessa in modo da ottenere effettivamente alcune informazioni utili dall'esercizio. È anche importante sapere quando sei stato compromesso. La maggior parte degli honeypot vengono eseguiti all'interno di macchine virtuali al fine di offrire un modo semplice per confrontare lo stato corrente della macchina con una copia valida nota. Non è adeguato farlo dall'interno dell'honeypot perché i rootkit possono modificare gli stessi strumenti che stai usando per fare il confronto.

Ti consigliamo di monitorare tutto il traffico da e verso la macchina honeypot. Con questo intendo catture di pacchetti completi. Il modo normale per farlo è con una porta di spanning sul tuo switch, ma probabilmente può essere fatto nell'hypervisor di VM se il tuo switch non ha questa capacità. Normalmente non lo faresti all'interno dell'honeypot.

Hai detto di essere consapevole dei pericoli legati al funzionamento del tuo honeypot all'interno della tua rete domestica. Presumo che ciò significhi che sei anche consapevole delle precauzioni che dovrai prendere prima di metterlo online. In particolare, configurare la rete e il firewall in modo che la macchina honeypot non possa contattare il resto della rete locale. È inoltre buona norma prestare attenzione a quali connessioni in uscita gli consentono di avviare Internet. La prima cosa che proverà spesso a scaricare è un rootkit e i programmi di lavoro che probabilmente ti interessano, tuttavia la prossima cosa è spesso iniziare ad attaccare più bersagli, e questo non è qualcosa che normalmente vorresti consentire.

Esistono anche strumenti specifici per la creazione di honeypot . Questi strumenti includono hypervisor intero e VM che consentono tutte le cose che ho menzionato sopra. Sullo stesso sito è possibile trovare strumenti per la registrazione, il monitoraggio e l'analisi e anche un carico di informazioni su come eseguire un honeypot e chi probabilmente vedrai attaccarlo.

17
Ladadadada

Quello che hai creato è un honeypot ad alta interazione, cioè un sistema live in attesa di essere compromesso e successivamente analizzato da un investigatore foresico (che ovviamente sei tu). Vorrei iniziare con un honeypot basato su Linux, a bassa interazione. Crea un filesystem virtuale e servizi fasulli che possono far credere agli aggressori (o al loro strumento automatizzato) che si tratti di un sistema "reale", mentre eseguirai semplicemente un servizio honeypot. Uno strumento molto semplice per configurare e rilevare le sonde è Kippo , un honeypot SSH. Ho sviluppato uno strumento di visualizzazione anche per questo che potrebbe interessarti (e ovviamente avrai una bella presentazione dei tuoi dati). Un altro noto honeypot a bassa interazione è honeyd , ma è un po 'più difficile da configurare, a seconda di ciò che si intende fare ovviamente (honeyd può simulare un'intera architettura di rete con router, server, postazioni di lavoro, ecc.).

7
Ion

Mentre la maggior parte di quelle risposte sono corrette, mi sembra che manchino alcune informazioni.

Innanzitutto vorrei chiarire che dipende dal tipo di Honeypot che stai installando, quindi decide se vuoi installare un monitoraggio esteso o meno come con Honeypot a bassa interazione, non vuoi fare alcuna configurazione estesa in generale . ma se stai utilizzando High-Interaction o Physical Honeypot con il suo IP, che viene utilizzato principalmente nella categoria Ricerca.

Ciò significa che qualunque cosa tu designi come honeypot, è la tua aspettativa e il tuo obiettivo che il sistema venga sondato, attaccato e potenzialmente sfruttato, Honeybot funziona aprendo oltre 1000 UDP e TCP socket di ascolto sul tuo il computer e questi socket sono progettati per imitare i servizi vulnerabili, nonché uno strumento di rilevamento e risposta, piuttosto che una prevenzione per la quale ha poco valore.

Dipende dal software che si sta utilizzando la maggior parte di essi sono con e-mail e avvisi di notifica. come honyed, mantrap, honeynets . Che è tutto meglio distribuito sui firewall.

Un'altra cosa da tenere a mente, gli Honeypot sono privi di valore se non vengono attaccati, se sei come accennato o vuoi catturare pacchetti Full, questo significa che stai offrendo a Hijack anche un abile attaccante il tuo honeypot. E se un attaccante riesce a compromettere uno dei tuoi honeypot, potrebbe provare ad attaccare altri sistemi che non sono sotto il tuo controllo. Questi sistemi possono essere posizionati ovunque in Internet e l'utente malintenzionato potrebbe utilizzare il tuo honeypot come trampolino di lancio per attaccare i sistemi sensibili.

1
amrx