Hasta ahora hemos hablado mucho de Snort, Wireshark, Sniffers y su detección, distintas auditorías, representación y visualización gráfica de tráfico de red, monitorización de red, filtrado pcap, etc, etc.
En esta nueva serie vamos a estudiar otro tipo de herramientas: los HoneyPots. Como siempre desde un punto de vista eminentemente práctico, teoría, la impresincible para entender que son, tipo y como funcionan. Iremos, como siempre, desde lo más básico e iremos avanzando poco a poco. Practicaremos con OpenVAS para realizar las pruebas.
En esta ocasión vermos algo de teoría y HoneyBot.
Como se trata de ver las herramientas de forma práctica, vamos a ver solo algo de teoría, muy básico, para poder entender como funcionan estas aplicaciones.
HoneyPots. Qué son, para que sirven.
Los HoneyPots son un tipo de herramientas que simulan servicios y/o aplicaciones, normalmente vulnerables, en un entorno controlado para registrar y analizar cualquier tipo de actividad que pueda infundir sospecha.
Se trata de atraer a posibles atacantes para analizar lo ataques realizados contra los servicios y aplicaciones simulados. Ahí está el verdadero objetivo de los HoneyPost; el estudio de las técnicas de ataque para optimizar y reforzar las medidas de seguridad del entrono, digamos, productivo o real, de nuestra infraestructura informática / sistemas / red. Además, al ser los HoneyPots sistemas que atraen a los atacantes, es posible «distraerlos» para que no interfieran en el entrono real productivo, es por ello, y tal como os he apuntado, que el entorno HoneyPot debe estar protejido, separado del entrono real.
Como clasificar los HoneyPots. La interactividad.
A pesar de que, como en otro tipo de herrameintas como los IDS (tienen variadas formas de clasificación), se podría clasificar según su situación por ejemplo (sería bastante lógico), la mejor manera de diferenciar estos tipos de aplicaciones es por la interactividad. Es decir, hasta que nivel deja interactuaral atacante con el HoneyPot. Entonces clasificamos, según este factor por:
- Baja interacción. La simulación de servicios y/o aplicaciones permiten a los atacantes interactuar con el sistema de forma muy limitada.no es posible el compromiso total del sistema. Solo simulan un aplicación o servicio a través de la herramienta HoneyPot. Desventaja: podemos decir que la cantidad / calidad de los datos recogidos son limitados. Ventaja. Entre otras que son aplicaciones de facil instalación y mantenimiento.
- Alta interacción. El atacante podría interactuar con el sistema donde se HoneyPot si no está bien configurado / controlado. La instalación y mantenimiento son más complejos. Desventaja: la retricciones al posible atacante son menores y mayor el compromiso real del sistema. Ventaja: La recopilación de información es mayor en cantidad y calidad.
Dónde colocar el HoneyPot.
Básicamente hay dos formas de ubicar el HoneyPot:
- En un entrono cerrado, aislado y separado de cualquier sistema de producción.
- Dentro de una red o entrono real de producción.De esta forma tenemos que reforzar y afinar las medidas de seguridad en el acceso a los sistemas HoneyPots.
Bien, creo que con esto es suficiente para, aunque sea de forma básica, entender que son los HoneyPots. Vamos ya con la parte practica. Para ello instalaremos un sencillo HoneyPot: HoneyBOT.
Físico / Virtual.
Los HoneyPots pueden ejecutarse tanto en sistemas físicos, más usados por HoneyPots de alta interacción, como en entornos virtuales. En etos últimos podríamos tener varios honeypots en una misma máquina física.
HoneyBOT. Instalación. Configuración. Pruebas.
Descargaremos este HoneyPot desde aquí: http://www.atomicsoftwaresolutions.com/HoneyBOT_017.exe
Cómo funciona.
Su funcionamiento es simple. Lo que hace HoneyBot es simular una serie de servicios que escuchan en los puertos TCP/UDP. Veremos que lo hace a través de 1334 puertos / sockets abiertos, aunque podemos añadir nuevos servivios. Estos puertos permanecen a la escucha, pero solo eso, no hay servicio real alguno detrás, con lo que las respuestas a una conexión a estos puertos es bastante limitada, es decir, existe poca interacción con el servicio simulado. De ahí la clasificación, como hemos visto, de honeyPot de baja interacción.
Una vez que intentamos conectar con un determinado servicio, por ejemplo http, HoneyBot recopila la información de bytes recibidos y enviados, peticiones de conexión SYN, resets, finalización de conexión FIN, tipo de petición y datos contenidos en el GET y devolverá, en este caso, un error 404.
Configuración.
Al abrir la aplicación aparecerá una ventana para configurar una serie de aspectos muy sencillos y entendibles. Buscará actualizaciones y listo para empezar.
Abajo vemos, en la pestaña de configuración Email – Alert , como podemos configurar avisos mediante envio de correos.
La ventana principal.
A la izquierda vemos, una vez que HoneyBOT detecta alguna conexión, hacia que puerto/servicios (Ports) y en Remote, desde que IP se realiza. En este caso las pruebas las realicé desde el interior deuna red local de pruebas.
En la derecha, vemos la información de marcas de tiempo, IP Remota, Puerto remoto usado para la conexión, servicio / puerto conectado, protocolo y los bytes enviados.
NOTA: Abajo vemos 80 Records (las conexiones recogidas) y Sockets, que son los puertos a la escucha que están simulado los servicios. Este último está en valor 0. Esto es así porque para ver configuraciones ,etc hay que parar el «servicio» (icono rojo con la x).
Las pruebas.
Vemos en Ports los puertos de servicio que se han usado para trastear los servicios simulados tras ellos. En este caso vemos SSH, Telnet, HTTP, etc.
En el caso de la conexión SSH vemos, si hacemos click primero en el puerto (22) y luego, a la derecha en cualquiera de las conexiones realizadas:
Vemos que se realizó desde la IP 192.168.1.5 una conexión al puerto 22. La dirección del flujo es en el sentido cliente – servidor. el servidor envió una petición de conexión TCP / SYN y al no recibir nada desde el servidor, se envió un TCP / FIN para terminar la conexión. Aquí la interacción es prácticamente nula.
NOTA: La peticiones de inicio de una conexión TCP lo vimos aquí: Análisis capturas tráfico de Red. Interpretacion segmento TCP (II). Establecimento conexión TCP.
sobre el cierre o finalización de conexiones TCP lo vimos aquí: Wireshark / Tshark. Finalización o cierre de una conexión TCP.
Vamos ahora a una conexión Telnet:
Vemos ahora que existe una petición de conexión TCP / SYN y que responde (TX) el servicio simulado. El cliente intruduceun usuario y password yel servicio simulado en HoneyBOT responde con un Login Failed. Aquí existe algo más de interacción pero solo hasta aquí. Vemos también que el servidor envía (TX) al cliente un TCP / FIN para cerrar la conexión.
Si ahora la prueba la realizamos contra el servicio HTTP (puerto 80) con una herramienta de auditoría como W3af:
Vemos que, a parte de la petición de conexión, se envia (RX), desde el cliente, una petición GET manipulada, esta se ha guardado para su posterior análisis. La respuesta de servidor / servicio simulado, es un código 404 (no se encuentra el objeto o página..). Ante cualquier petición GET el servicio simulado de HoneyBOT siempre responderá con un código 404.
Para mayor información sobre método GET y códigos de error: Wireshark / Tshark. Filtros HTTP.
Los logs de HoneyBOT:
Podemos ir almacenando y recuperando los logs de conexiones e información recopilada:
======================
Y hasta aquí por hoy, iremos avanzando en próximo capítulos, veremos como realizar pruevas con OpenVAS, etc…
Seguridad y Redes 
Serán pruebas y no pruevas!