Montalván Celi, Henry Fernando
Contents
1. type alert output alert_syslog LOG_AUTH LOG_ALERT output database log mysql user snort dbname snort host localhost 1 EXAMPLE RULE FOR REDALERT RULETYPE redalert tcp HOME_NET any gt EXTERNAL_NET 313371 msg Someone is being LEET flags A Include classification amp priority settings Note for Windows users You are advised to make this an absolute path such as c snort etc classification config include classification config Include reference systems Note for Windows users You are advised to make this an absolute path such as c snort etc reference config include reference config FERRER EE Step 5 Configure snort with config statements See the snort manual for a full set of configuration references config flowbits_size 64 New global ignore_ports config option from Andy Mullican config ignore_ports lt tcp udp gt lt list of ports separated by whitespace gt config ignore_ports tcp 21 6667 6671 1356 config ignore_ports udp 1 17 53 THHHEHHHHHHHBHHHHHHHHBHHHBHHHHHHHHHHHHHHBHHHHHHBHHHHHHBHHBHHHBHHBHHBHHHHHBE Step 6 Customize your rule set Up to date snort rules are available at http www snort org The snort web site has documentation about how to write your own custom snort rules Include all relevant rulesets here The following rulesets are disabled by default web attacks backd2. netmask HwALIAS_MASK_FOR_NAT up let z 1 fi Ensure proper NATing is performed for all honeypots iptables t nat A POSTROUTING m physdev physdev out HwINET_IFACE s host j SNAT to source tempPub i iptables t nat A PREROUTING m physdev physdev in HwWINET_IFACE d tempPub Si j DNAT to destination host let i 1 done else logger p localO info rc firewall enabling bridged mode fi Let s figure out dns if z HWDNS_HOST then if z HWHPOT_PRIV_IP_FOR_NAT then bridge mode default HwDNS HOST HwHPOT PUBLIC IP else nat mode HwDNS HOST HwHPOT PRIV IP FOR NATJ fi fi Enable ip forward echo 1 proc sys net ipv4 ip forward 3t Forward Chain Some of these rules may look redundant but they allow us to catch other protocols Internet gt honeypot This logs all inbound new connections and we must specifically allow all inbound traffic because the default policy for forwarding traffic will be drop This will ensure if something goes wrong with outbound connections we default to drop Fh HE HEHEHE HE Also in case we have something listening to the QUEUE we will send all packets via the QUEUE 3t Since this is a bridge we want to allow broadcast By default we allow all inbound traffic including broadcast We also want to allow outbound broadcast such as NetBIOS but we do not want to count it as an o
3. 3 5 2 Cuentas de usuario Para aumentar el nivel de interacci n se pueden a adir cuentas de usuario con diferentes grados de complejidad de la contrase a con la esperanza de que un hacker pueda romper la contrase a esto podr a atraer a algunos de los piratas inform ticos especialmente calificados que encuentran dif cil romper en tales sistemas 3 6 EL HONEYPOT WINDOWS Se seleccion Windows XP Profesional como Sistema Operativo para el Honeypot Windows 3 6 1 Servicios Internet Information Services IIS ofrece una serie de servicios para ordenadores que funcionan bajo plataforma Windows Los servicios levantados en este Honeypot son HTTP FTP SMTP Estos servicios convierten a este ordenador en un Servidor de Internet en el cual se pueden publicar p ginas web Aprovechando este servicio se decidi configurar un entorno virtual de aprendizaje EVA en la plataforma Moodle 1 9 2 con la finalidad de simular un servicio real de la UTPL Actividades realizadas para la simulaci n Y Establecer una interfaz gr fica similar al entorno de la UTPL como por ejemplo los colores y el logo Y Crear cursos Se crearon varios cursos con temas como los que ofrece la universidad como por ejemplo el del Taller Web 2 0 que abarca a varios paralelos debido a la afluencia de estudiantes que tiene Y Asignar roles a usuarios Administrador y Tutor de curso Y Crear listado de estudiantes Se crearon usuarios tipo estudiantes
4. B Series1 3870 2343 1287 681 Q e Q e Q S Q E Q E SS a Figura 13 Alertas ICMP registradas en el Honeywall 4 7 2 Otras alertas Otras alertas que tambien se generaron son intentos de ataques a las aplicaciones de los Honeypots El Honeypot Windows recibi m s conexiones por lo que las alertas fueron emitidas de este sistema operativo Los servicios como el servidor web IIE Internet Information server mysql son los que reportaron intentos de vulnerabilidad Otras alertas son intentos de propagaci n en la red como el Code Red y Sql Slammer que son menos eficaces a la hora de comprometer plenamente una LAN En el ANEXO G se describe el comportamiento de cada una de las atertas encontradas Tabla 10 Otras alertas MS SQL Worm propagation attempt MS SQL Worm propagation attempt OUTBOUND MS SQL version overflow attempt 1 NETBIOS SMB DS IPC unicode share access 2 NETBIOS SMB DS srvsvc NetrPathCanonicalize unicode little endian overflow attempt 3 i i El siguiente grafico muestra alertas adicionales al ICMP que se resgistraron en el Honeywall Otras Alertas B Series1 Figura 14 Otras alertas registradas en el Honeywall 4 7 3 Direcci n IP de alertas De la mayor cantidad de alertas que se reportaron la mayor a provienen de Asia espec ficamente de China Seguidamente algunas IP s Dominios de China Tabla 11 Direcciones IP de alertas Direcci n Domini
5. efficient Used with barnyard the new alert log processor most of the overhead for logging and alerting to various slow storage mechanisms such as databases or the network can now be avoided Check out the spo_unified h file for the data formats Two arguments are supported filename base filename to write to current time t is appended limit maximum size of spool file in MB default 128 output alert_unified filename snort alert limit 128 output log_unified filename snort log limit 128 prelude log to the Prelude Hybrid IDS system profile Name of the Prelude profile to use default is snort Snort priority to IDMEF severity mappings high lt medium lt low lt info These are the default mapped from classification config info 4 low 3 medium 2 high anything below medium output alert_prelude output alert_prelude profile snort profile name You can optionally define new rule types and associate one or more output plugins specifically to that type This example will create a type that will log to just tcpdump ruletype suspicious type log output log_tcpdump suspicious log EXAMPLE RULE FOR SUSPICIOUS RULETYPE suspicious tcp HOME_NET any gt HOME_NET 6667 msg Internal IRC Server This example will create a rule type that will log to syslog and a mysql database ruletype redalert
6. 2 INSTALACI N DEL HONEYWALL 2 1 Cambiar la secuencia de arranque del computador para que inicie con el CD 2 2 Inserte el CD del Honeywall 2 3 Presione Enter Figura 1 Pantalla de inicio de instalaci n del Honeywall 2 4 Seguidamente se inicia con el formateo y copiado de archivos necesarios Welcome to CentOS Formatting Formatting home file system lt Tab gt lt Alt Tab gt between elements i lt Space gt selects i F12 gt next screen Figura 2 Progreso de instalaci n Formateo Welcome to CentOS Copying File Transferring install image to hard drive lt Tab gt lt Alt Tab gt between elements lt Space gt selects i lt F12 gt next screen Figura 3 Progreso de instalaci n Transferencia de archivos 2 5 Inicio del proceso de instalaci n Welcome to CentOS Package Installation Name Size Summary Install Starting Starting install process This may take several minutes lt Tab gt lt Alt Tab gt between elements lt Space gt selects Figura 4 Inicio de instalaci n 2 6 Luego de finalizar la instalaci n retire el CD y presione Enter 3 ACCESO AL SISTEMA Para ingresar a la administraci n como usuario root obligadamente se debe iniciar antes como usuario roo la contrase a para estos usuarios es honey por defecto Honeywall roo 1 4 hu 28898425114538 Kernel 2 6 18 128 1 6 e15 on an i686 localhost login roo Password Last login
7. 3 5 3 6 Introducci n Caracter sticas de Hardware y Software sss Implementaci n El Gateway Honeywall sssssssssssee mee 3 4 1 Seguridad del Honeywall c ccceeee snert errer ee eeeeeeeeaeeeeeees El Honeypot LINUX 3 5 1 Servicios 3 5 2 CUENTAS de USUA O desarro El Honeypot WINDOWS 0 ccceee cece eset meer mener eterni 3 6 1 Servicios 3 6 2 Otros servicios 20 21 21 22 23 23 25 28 28 28 29 30 30 31 31 31 33 34 35 35 35 38 38 39 39 40 40 41 41 41 41 42 3 7 Restauraci n y copia de seguridad backup 2 6 ceeeeeeeeeeeeeeee eens 3 8 Plan de Pruebas cote te stud inntenddidvebsdadaraceuecanmessgaes dotes 3 9 Problemas y ajUSTOS ooococcccccccoccccnoncncoconononcnnononancnnonenancnanconenancnnnnss 3 9 1 3 9 2 3 9 3 3 9 4 Puesta en marcha de la interfaz Walleye sssssss Instalaci n de Sebek Cliente en distribuciones Ubuntu Instalaci n de Sebek Cliente en plataformas Windows Herramientas de an lisis Walleye esses 3 10 Procesos de mantenimiento seseeeee Renee CAP TULO IV RECOLECCI N DE DATOS Y AN LISIS DE TR FICO EAU iot rece M eR ER E Rib tedden 4 2 Herramientas de an lisis de datos utilizadas s esses 4 3 An
8. Se ha intentado instalar en algunas versiones como Ubuntu 7 0 Server Ubuntu 8 0 La posible soluci n a este inconveniente ser a compilar el Kernel a nuestras necesidades Actualmente se est probando con un Sebek Cliente para la distribuci n CentOS 5 0 que adem s es la plataforma en la que corren la mayor a de los servidores de la UTPL 3 9 3 Instalaci n de Sebek Cliente en plataformas Windows Al instalar versiones de Sebek Cliente menores a 3 0 3 en la m quina Windows causa inconvenientes como Y Inestabilidad en el sistema operativo en ocasiones bloque ndolo por completo a causa de un volcado de memoria a nivel del Kernel Y Reinicia el computador cada 2 o 3 minutos aproximadamente Y Colgar el computador cada 2 0 3 minutos aproximadamente Este problema es causado porque el m dulo de Sebek se instala como parte del Kernel de Windows Cuando esto sucede lo que se hace es desinstalar Sebek Cliente a nivel de consola como se indica en el manual de instalaci n y desinstalaci n de Sebek Cliente en plataformas Windows En el ANEXO C encuentra con m s detalle la instalaci n de Sebek en plataformas Windows Existen versiones actuales de Sebek Cliente 3 0 4 las cuales causan inestabilidad al sistema pero en menor proporci n reinicia el sistema ocasionalemente siendo normal este comportamiento en las m quinas con plataforma Windows Cabe se alar que se obtiene el mismo comportamiento en todas las plat
9. UNIVERSIDAD TECNICA PARTICULAR DE LOJA La Universidad Cat lica de Loja Escuela de Ciencias de la Computaci n ESTUDIO DE TR FICO DE ATAQUES A LA RED DE LA UTPL MEDIANTE UN PROTOTIPO DE HONEYPOT TESIS PREVIA A LA OBTENCI N DEL T TULO DE INGENIERO EN SISTEMAS INFORM TICOS Y COMPUTACI N Autor Henry Fernando Montalvan Celi Director Msc Maria Paula Espinoza Loja Ecuador 2009 CESION DE DERECHO Yo Henry Fernando Montalvan Celi declaro conocer y aceptar la disposici n del Art 67 del Estatuto Org nico de la Universidad T cnica Particular de Loja que en su parte pertinente textualmente dice Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones trabajos cient ficos o t cnicos y tesis de grado que se realicen a trav s o con el apoyo financiero acad mico o institucional operativo de la Universidad Henry F Montalv n C Msc Maria Paula Espinoza DOCENTE INVESTIGADOR DE LA ESCUELA DE CIENCIAS DE LA COMPUTACION DE LA UNIVERSIDAD TECNICA PARTICULAR DE LOJA CERTIFICA Que una vez concluido el trabajo de investigaci n con el tema ESTUDIO DE TR FICO DE ATAQUES A LA RED DE LA UTPL MEDIANTE LA IMPLEMENTACI N DE UN PROTOTIPO DE HONEYPOTS previa la obtenci n del t tulo de Ingeniero en Sistemas Inform ticos y Computaci n realizado por el se or Henry Fernando Montalv n Celi egresado de la Escuela de Ciencias de la Computaci n haber dirigido su
10. el mayor tiempo posible De esta forma se consigue ralentizar considerablemente el proceso de b squeda de nuevos objetivos y por tanto el de infecci n de nuevas m quinas 1 2 8 4 Honeyd 10 Honeyd es una herramienta potente es un software de virtualizaci n que permite dise ar una Honeynet relativamente compleja con un grado de realismo muy elevado sin necesidad de utilizar costosos recursos de hardware Honeyd puede instalarse en los principales sistemas operativos basados en UNIX Linux BSD Solaris Permite emular servicios de red sistemas operativos a nivel de stack TCP IP e incluso redes locales completas con equipos que funcionan como servidores estaciones de trabajo o elementos de interconexi n routers Con Honeyd es posible construir un entorno de red virtual con una arquitectura arbitraria La configuraci n recomendada de Honeyd impide el acceso a la m quina en la que se instala s lo son visibles los hosts virtuales definidos en los ficheros de configuraci n de la aplicaci n A continuaci n se incluye una breve lista de los sistemas operativos que es capaz de emular Linux Windows 95 98 NT 2000 Me XP Cisco IOS Mac OS Sega Dreamcast Ka RRS UE Para poder llevar a cabo la emulaci n de equipos Honeyd se adue a de direcciones IP no utilizadas en la red mediante un procedimiento denominado IP takeover de esta forma consigue simular la presencia de un conjunto de maquinas en un determinado ra
11. option is not set we use the mac address of the indev device If we don t set this option we will default to sending resets via raw socket which needs an ipaddress to be assigned to the int config layer2resets 00 06 76 DD 5F E3 FEB HH Step 2 Configure dynamic loaded libraries If snort was configured to use dynamically loaded libraries those libraries can be loaded here Each of the following configuration options can be done via the command line as well Load all dynamic preprocessors from the install path Same as command line option dynamic preprocessor lib dir dynamicpreprocessor directory usr lib snort 2 6 1 5_dynamicpreprocessor Load a specific dynamic preprocessor library from the install path same as command line option dynamic preprocessor lib dynamicpreprocessor file usr local lib snort dynamicpreprocessor libdynamicexample so Load a dynamic engine from the install path Same as command line option dynamic engine lib dynamicengine usr lib snort 2 6 1 5_dynamicengine libsf_engine so Load all dynamic rules libraries from the install path Same as command line option dynamic detection lib dir dynamicdetection directory usr local lib snort_dynamicrule Load a specific dynamic rule library from the install path same as command line option dynamic detection lib dynamicdetection file usr local lib snort
12. 0 com netstat exe TCP HPWIN2000 1030 gandalf utplinux org microsoft ds TIME WAIT 0 com netstat exe TCP HPWIN2000 1699 123 80 12 108 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1700 108 0 183 90 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1701 145 55 150 89 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1702 185 39 179 124 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1703 138 114 203 121 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1704 77 17 248 81 tmi telenormobil no microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1705 17 30 251 53 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1706 79 60 154 2 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1707 169 19 185 14 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1708 7 72 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1709 net microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1710 laget se microsoft ds 0 com netstat exe TCP HPWIN2000 1711 196 64 48 15 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1712 191 83 81 46 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1713 resnet21 125 housing hawa11 edu microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1714 206 15 202 56 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1715 ads1 67 66 148 1 dsl st smo swbell net microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1716 197 93 66 117 microsoft ds SYN SENT 0 com netstat exe TCP HPWI
13. 183 691 1260 200 459 1090 38 636 674 116 366 482 Accesos por los Puertos TCP mayo agosto 2009 B Series1 3615997 36625 20225 14963 3302 1717 1260 1090 1040 674 482 375 1 Alertas recibidas El total de alertas recibidas ha sido de 50254 estan divididas en dos grupos las alertas tipo ICMP y las alertas tipo MS SQL NetBios etc Tabla 21 Otras alertas MS SQL Worm propagation attempt MS SQL Worm propagation attempt OUTBOUND MS SQL version overflow attempt NETBIOS SMB DS IPC unicode share access NETBIOS SMB DS srvsvc NetrPathCanonicalize unicode little endian overflow attempt WEB IIS view source via translate header BAD TRAFFIC tcp port 0 traffic SNMP request tcp SNMP AgentX tcp request SNMP trap tcp Total Tabla 22 Alertas ICMP ICMP Destination Unreachable Communication Administratively Prohibited ICMP PING Cyberkit 2 2 Windows ICMP redirect host ICMP redirect net ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited ICMP PING NMAP ICMP webtrends scanner ICMP Destination Unreachable Communication with Destination Network is Administratively Prohibited ICMP PING speedera ICMP Source Quench ICMP PATH MTU denial of service 2 Direcciones IP que han accedido a los Honeypots Las direcciones IP se aladas con rojo est n reportadas en listas negras de Spam la manera en la que han accedido es v a DLS y Dial Up Las direcciones de
14. 3 Direcciones IP de origen Las direcciones listadas a continuaci n son algunas las direcciones origen hacia los Honeypots est n ordenadas de acuerdo al n mero de paquetes transmitidos hacia los Honeypots El tipo de conexi n utilizado es via DSL Tabla 4 Direcciones IP que han accedido a los Honeypots Direcci n origen Paquetes Organizaci n Pa s 200 24 16 20 24080 nat20 udea edu co Uni de Antioquia 91 189 88 40 175483 drescher canonical com 91 189 88 31 43832 leningradskaya canonical com 201 224 79 231 34031 Cable amp Wireless Panam 200 0 29 66 26611 Universidad T cnica Particular de Loja 66 232 143 55 22762 Hostway KR 80 82 113 61 22656 ns magicserve co uk 194 109 20 90 1342 XS4ALL Servers Pa ses Bajos 161 53 178 240 1271 CARNet backbone Croacia 58 213 155 162 1039 CHINANET jiangsu province network China 195 18 164 194 938 BaneTele AS oslo no eu undernet org Noruega eerie O uci M NNNM lllo MANNI prats o AAA 0 am LU I MM ME UC NENNEN Eurocentro 85 185 146 4 2455 Information Technology Company ITC 78 24 53 211 2095 MEDIANET ALIT SRL Moldova pa ASA AA MANN 208 83 20 130 tampa fl us undernet org tampa fl us undernet org EEUU 218 8 52 7 CNCGROUP Heilongjiang province network 81 195 21 45 ppp21 45 pppoe mtu net ru ZAO MTU Intel 69 16 172 34 mesa az us undernet org Easynews EEUU 69 16 172 40 irc3 easynews com Easynews EEUU 221 231 104 134 CHINANET jiangsu province netw
15. EEUU Ucrania Venezuela Venezuela Corea Colombia EEUU EEUU 199 109 4 74 NYSERNET EEUU 124 160 44 218 192 42 152 97 200 75 249 189 CNC Group Zhejiang province network University of Minnesota Cable Onda China EEUU Panama 61 141 8 5 66 97 28 66 83 110 67 225 83 149 193 129 150 99 188 153 210 7 32 25 198 22 64 34 200 35 205 107 58 9 26 165 189 105 165 137 189 68 165 219 200 32 116 217 217 165 18 97 199 109 9 46 200 0 25 60 74 213 177 75 207 210 143 186 207 68 183 120 95 58 139 75 61 151 254 122 218 108 238 140 200 74 140 142 201 30 152 196 200 112 138 242 200 90 77 212 92 46 178 97 95 58 143 103 209 210 249 181 200 41 59 147 200 49 17 15 38 104 58 6 82 138 56 170 92 46 182 155 95 58 138 85 200 112 148 113 202 170 127 165 196 218 29 69 200 119 18 182 ChinaNet Guangdong Province Network ORANO Emirates Telecommunications Corporation Network of the Center of Scientific osaka dc rm ge 5 2 0 109 sinet ad jp Research and Educationa Advanced Network New Zeala Lodden Technology Supercable True Internet Co Tele Norte Leste Participa es S A TELECOMUNICACOES DE SAO PAULO Emirates Telecommunications Corporation Coop de Emp Multiples Sudecor NYSERNET Ministerio de Cultura CUBARTE Momentum Advanced Solution Harvard NOX Router to Router 30 s Microsoft Corp JSC Kazakhtelecom Pavlodar Affiliate Beijing Arctic Ice Sci Tech Developing Co Ltd WA
16. If you wish to define multiple HTTP ports use the following convention when customizing your rule set as part of Step 6 below This should not be done here as the rules files may depend on the classifications and or references which are included below var HTTP_PORTS 80 include somefile rules var HTTP_PORTS 8080 include somefile rules var HTTP_PORTS 80 Ports you want to look for SHELLCODE on var SHELLCODE_PORTS 80 Ports you do oracle attacks on var ORACLE_PORTS 1521 other variables AIM servers AOL has a habit of adding new AIM servers so instead of modifying the signatures when they do we add them to this list of servers var AIM_SERVERS 64 12 24 0 23 64 12 28 0 23 64 12 161 0 24 64 12 163 0 24 64 12 200 0 24 205 188 3 0 24 205 188 5 0 2 4 205 188 7 0 24 205 188 9 0 24 205 188 153 0 24 205 188 179 0 24 205 188 248 0 24 Path to your rules files this can be a relative path Note for Windows users You are advised to make this an absolute path such as c snort rules var RULE_PATH etc snort rules Configure the snort decoder Sa i M 3t Snort s decoder will alert on lots of things such as header truncation or options of unusual length or infrequently used tcp options Stop generic decode events config disable_decode_alerts Stop Alerts on experimental TCP options config disable_tcpopt_experimental_alerts S
17. and we don t log them as outbound connections in bridge mode the firewall sees all packets therefore we have to make sure it doesn t log packets incorrectly and give false positives If you do not want to see this log comment out the logging rule You will still need the ACCEPT rule to ensure they honeypots can talk to eachother freely iptables A FORWARD m physdev physdev in HwWLAN_IFACE physdev out HwLAN_IFACE j LOG log level debug V log prefix Honeypot gt Honeypot iptables A FORWARD m physdev physdev in HwLAN IFACE physdev out HwLAN_IFACE j ACCEPT moved this section out of fencelist check need it all the time AAH This portion of the script will ensure that established or related connections that were allowed continue to work If these lines are not here only the first packet of each connection that hasn t reached the limit will be allowed in because we are dropping all outbound connections by default if 9 HWQUEUE yes then iptables A FORWARD m physdev physdev in HwLAN_IFACE m state state RELATED ESTABLISHED j QUEUE else iptables A FORWARD m physdev physdev in HwWLAN_IFACE m state state RELATED ESTABLISHED Y j ACCEPT fi HHH 2nd ROACHMOTEL Feature Check see other check in forward section above Following test is to see if we are running in roach motel mode where attackers can check into the motel hon
18. communicate with the Sebek Server Interface NVIDIA nForce Networking Controller lt Atr s Cancelar Ayuda Figura 9 Configuraci n de la red Seleccione la interface clic en Siguiente Sebek Configuration Wizard Configuration Program Name Configuration Program Name Sebek will hide itself from all applications except the special configuration program Specify the filename of the configuration program The Windows verison of Sebek hides itself while running To reconfigure Sebek you must run the a specially named configuration program If Sebek detects a program with this special name it will not hide itself from that program Please specify the name of the program you will use to configure Sebek Do NOT add the exe extension to the name of the program NOTE The default value below is the current name of this configuration program The Maximum length of the filename is 12 characters File Name Configuratio This Program coca ane Figura 10 Nombre del programa de Configuraci n Clic en Siguiente Sebek Configuration Wizard Configuration Program Name Completing the Sebek Configuration Wizard The Configuration you have created is shown below Please verify the options you have selected File Location C WINDOWS system32 drivers SEBEF Destination MAC FF FF FF FF FF FF Destination IP 0 0 0 0 Destination Port 1101 Magic Value 3489660928 Network Interface 004C3144 8D2
19. n como su t rmino lo describe proporciona una interacci n limitada entre el atacante y el Honeypot La cantidad de informaci n recogida es limitada y simplemente se puede obtener b sicamente lo siguiente Y Hora y fecha de ataque Y Direcci n IP de origen y puerto de origen de la conexi n Y Direcci n IP de destino y puerto destino de la conexi n 7 Estos tipos de Honeypots trabajan nicamente emulando servicios y sistemas operativos La actividad del atacante se encuentra limitada al nivel de emulaci n del Honeypot La ventaja de un Honeypot de Baja Interacci n radica principalmente en su simplicidad ya que estos tienden a ser f ciles de utilizar y mantener con un riesgo m nimo 8 El proceso de implementaci n de un Honeypot de Baja Interacci n consiste en instalar un software de emulaci n de sistema operativo elegir el sistema operativo y el servicio a emular establecer una estrategia de monitoreo y dejar que el programa opere por si solo de manera normal Los servicios emulados mitigan el riesgo de penetraci n conteniendo la actividad del intruso que nunca tiene acceso al sistema operativo real donde puede atacar o da ar otros sistemas 8 Entre algunos ejemplos de Honeypots de Baja Interacci n tenemos los siguientes 1 Specter 9 Consiste en un PC dedicado y el software de Specter Es un Honeypot inteligente basado en sistemas de detecci n de intrusos vulnerables y atractivos a los atacantes este sis
20. n de estrategias que permitan tener un grado adecuado para protegerse pero teniendo en cuenta la creaci n de recursos de investigaci n Un nuevo concepto de seguridad para mantener una red integra es que se debe considerar que se debe proteger y principalmente de quien Una Honeynet tiene como objetivo reunir informaci n sobre la actividad del intruso De esta manera seremos capaces de detectar una vulnerabilidad antes de que sea explotada adem s de conocer los riesgos a los cuales nuestros sistemas de producci n est n expuestos El administrador podr utilizar y aplicar este conocimiento en la configuraci n de sus herramientas y equipos de seguridad como son los firewall IDS etc El presente proyecto de Tesis consiste en implementar un Honeypot especial denominado Honeynet en la red de la Universidad T cnica Particular de Loja con la finalidad de capturar y analizar tr fico en la red y poder establecer patrones de ataques Durante la etapa de investigaci n se fueron elaborando documentos que relatan el estado y resultados del proyecto como Implementaci n de una Honeynet para estudio de tr fico en la red de la UTPL Honeynet como apoyo a la Investigaci n de Seguridad de Redes en Entornos Universitarios los cuales fueron publicados y expuestos en las conferencias del INFOSecurity2008 en Quito y en el Primer Congreso Internacional de Computaci n y Telecomunicaciones en la cuidad de Lima Per ESTRUCTURA DE LA TESIS La estr
21. physdev xxxx syntax for linux kernel 2 6 4 Modified 2 15 05 by Allen Harper to incorporate a fence list concept to bound outbound connections from hitting a list of IPs PATH sbin usr sbin usr local sbin bin usr bin letc rc d init d functions letc rc d init d hwfuncs sub hw setvars Note that load modules gets called each time the firewall is started stopped In reality modules only need to be loaded once not each time this script is run so it doesn t make sense to do this here All of this should be done in a separate startup script that is run only once very early in the boot process and not here In addition there is a check to see if queueing is configured in order to determine if the queue module needs to be loaded This should probably just be done regardless as the loading of the module when not used should not be an issue These changes won t be made now however as this needs to be thought out and done carefully Attempting to reload the modules won t hurt anything load_modules THHHHHHHI Load all required IPTables modules Ismod grep ipchain IPCHAINS if SIPCHAINS 0 then echo echo Dooh IPChains is currently running IPTables is required by echo the rc firewall script IPChains will be unloaded to allow echo IPTables to run It is recommened that you permanently echo disable IPChains in the etc rc d startup scripts
22. 11 2 Ingrese la direcci n IP de destino de los paquetes Sebek por defecto 0 0 0 0 Figura 57 Direcci n IP de destino 0 0 0 0 11 3 Ingrese el puerto UDP de destino de los paquetes Sebek por defecto 1101 Figura 58 Puerto UDP de Sebek 1101 11 4 Del men de opciones de registro elegir el literal 4 Figura 59 Opciones de registro del paquete Sebek 11 5 El proceso de instalaci n y configuraci n ha terminado Figura 60 Pantalla de finalizaci n del proceso ANEXO G Analisis de datos ETAPA 1 Reporte de los datos obtenidos durante los meses de Febrero y Marzo Se utiliz la herramienta Wireshark para realizar el an lisis de los archivos pcap capturados Los datos obtenidos durante estos meses est n divididos de la siguiente manera 1 Paquetes por Protocolos TCP UDP ICMP Tabla 1 Paquetes por Protocolo Protocolo Num SS 1570489 728654 L mm TOTAL 2309898 Paquetes TCP UDP ICMP El Num Paquetes aa TCP UDP ICMP Figura 1 Muestras por paquetes hacia los protocolos durante la etapa 1 2 Cantidad de paquetes por Protocolo TCP y UDP Conexiones a trav s de los diferentes puertos TCP Tabla 2 Conexiones a puertos TCP ident 113 1530 netbios ssn 139 1031 http alt 8080 Puerto TCP 6667 microsoft ds 445 epmap 135 1530 1031 o o csd monitor 3072 1024 X11 6000 ms sql s 1433 ssc agent 2967 ra
23. 1997 Escrito por Fred Cohen DTK es una colecci n de scripts de Perl y C de c digo fuente que emula una gran variedad de servicios de escucha Su principal objetivo es enga ar a los atacantes humanos DTK utiliza una estrategia sencilla basada en la simulaci n de servicios de red comunes en apariencia vulnerables El objetivo que se persigue es mantener ocupado al atacante con un sistema que no representa ning n riesgo desde el punto de vista de los servicios de negocio ofrecidos para ello se le proporciona un m todo f cilmente identificable de comprometer el sistema con esto se gana que el intruso este m s tiempo intentando vulnerar alg n sistema logrando rastrear y captutar sus acciones de ataque 1 2 8 3 LaBrea Tarpit 19 Es OpenSource disponible para los principales sistemas operativos Windows UNIX Solaris BSD LaBrea no realiza ning n de tipo de simulaci n su objetivo no es enga ar a un atacante humano sino detener al robot de red utilizado por los worms para detectar nuevos objetivos Esta utilidad se adue a de direcciones IP no utilizadas en la red e instala en ellas servidores virtuales Estos servidores responden a los intentos de conexi n en los puertos m s habituales para la propagaci n de gusanos por ejemplo puerto 80 en el caso del gusano CodeRed Sin embargo en lugar de presentar al cliente el comportamiento esperado del servicio al que accede la utilidad intenta mantener la conexi n abierta idle
24. 3 6 2 Otros servicios MySQL 5 0 Gestor de base de datos Su licencia es gratuita permite la interacci n Web es r pida flexible estable robusta y f cil de utilizar Abre el puerto 3306 Todos los servicios de Windows que se cargan por defecto no fueron modificados para que sean explotados por los atacantes Puerto 135 Puerto 137 Puerto 138 Puerto 139 TCP UDP UDP TCP para el Servicio de Remote Procedure Call RPC para el Servicio de nombres de NetBIOS para Netlogon y Browsing de NetBIOS P para la sesi n NET USE de NetBIOS SOON US Todos estos servicios tienen algunas fallas de seguridad 3 7 RESTAURACI N Y COPIA DE SEGURIDAD BACKUP Despu s de la instalaci n y configuraci n de todo se utiliz Symantec Ghost para crear una imagen de los Honeypots Una imagen del sistema es una copia comprimida de todo el sistema almacenado como un archivo Estas im genes de los sistemas Honeypots se copian en un CD ROM de arranque Si se compromete un Honeypot la imagen le ayudar en la restauraci n Tambi n Ghost puede ser usado para crear y Ghost Herramienta que permite guardar las im genes de las m quinas t picas y duplicarlas r pidamente guardar una imagen de un sistema comprometido el cual puede ser guardado para un posterior an lisis detallado 3 8 PLAN DE PRUEBAS Cada vez que se activ una Honeynet fue imprescindible hacer que pase por una serie de pruebas las cuales garantiz
25. 73 CHINANET Anhui province network China 120 59 185 97 134 Mahanagar Telephone Nigam Ltd India 112 81 216 5 12 Sjofartsverket Suecia 107 89 43 216 97 SC Bluelink SRL Rumania 105 Las direcciones subrayadas son algunas direcciones que han sido reportadas como Maliciosas y son parte de listas negras Se han utilizado algunas paginas de Internet como www ip2location com www xbl soamhaus org www web dnsbl sorbs net para identificar el origen dominios tipo de conexi n y en qu listas negras est n declaradas las direcciones IP que se han registrado en el Honeywall En el ANEXO G se muestra en detalle las p ginas utilizadas y el listado de direcciones IP que se registraron en todo este tiempo de recolecci n de datos El tipo de conexi n a Internet m s utilizado es la v a DSL EL pa s origen de las direcciones lp en la Honeynet UTPL son Brasil Estados Unidos pa ses de Asia y Europa La UNAM muestra resultados en su web que pa ses de Asia son las direcciones mas capturadas concluy ndose que desde Asia se realizan escaneos a las redes de Am rica 4 7 ALERTAS RECIBIDAS El n mero total de alertas emitidas por el Snort y mostradas en la interfaz Walleye fueron de 29069 las que dividiremos en dos grupos las alertas ICMP y Otras alertas Las ICMP se las agrupa porque existen muchas alertas de intento de explotar vulnerabilidades de este tipo Las otras alertas son intentos de accesos a las m quinas 4 7
26. Arquitectura Honeynet Generaci n I 16 Las Honeynets de esta generaci n fueron las primeras que implantaron el control y la captura de datos con medidas simples pero eficientes La Figura 1 representa el esquema gr fico de este tipo de arquitectura El prop sito de las Honeynets de Generaci n era capturar la cantidad m xima de actividad de los atacantes pero esta arquitectura no es eficaz a la hora de actuar puede ser f cilmente detectado por los atacantes avanzados EI control de los datos es realizado mediante la utilizaci n de un firewall de capa tres entre los Honeypots y la Internet El firewall funciona como un gateway en modo NAT Network Address Traslation y controla todo el tr fico de entrada y de salida La captura de datos se realiza mediante capas como se mencion anteriormente y son transferidos a un equipo remotamente 7 1 2 5 2 Generaci n Il 2nd Generation Honeynet Version 0 2 Honeynet Sensor Diagram T QO Production Production Production Sensor consists of a single systern functioning as both Data Control and Data Capture requirements It consists of three interfaces Two of the interfaces are layer2 outlined in RED acting as a switch which segments a production network The third interface has an IP stack for remote connectivity This is for both Data Collection and administation Interface A Layer2 interface segmenting production network e Honeynet Sen
27. HWUDPRATE amp amp HWUDPRATE gt 0 then Create UDP handling chain iptables N udpHandler fi if n HwICMPRATE amp amp HwICMPRATE gt 0 then Create ICMP handling chain iptables N icmpHandler fi if n SHwOTHERRATE amp amp SHWOTHERRATE gt 0 then Create other protocol handling chain iptables N otherHandler fi Lockdown Policy lockdown_policy iptables P FORWARD DROP Set default policy to drop all Typically this is done before anything else This may need some logic to prevent temporarily dropping packets when this script is called to just restart the firewall rules when they are updated default_policy iptables P FORWARD DROP iptables P INPUT DROP iptables P OUTPUT DROP Set firewall rules allowing localhost access localhost_policy iptables A INPUT i lo ACCEPT iptables A OUTPUT o lo j ACCEPT Set firewall rules allowing access to the management interface management_policy THHHHHHBHHHHHHHHHHHHHHHHHHHBHHHHE MANAGEMENT INTERFACE RULES THHHHHHBHHHHHHHHHHHHHHHHHHHBHHHHE if HWMANAGE_IFACE none amp amp n HwMANAGE_IFACE then Make sure HwSSHD PORT is in the list of allowed ports and that we don t have any duplicate ports local portlist for iin SHWALLOWED TCP IN HwSSHD PORT do echo i done sort uniq for port in portlist do if HWMANAGER any then iptables A INPU
28. Thu Aug 6 89 58 56 on ttyl roo localhost 1 su root Password Iroot localhost rool _ Figura 5 Accediendo al sistema 4 CONFIGURACION DE LAS VARIABLES 4 1 Iniciar la configuraci n ingresando al directorio dlg y ejecutando la aplicaci n Jdialogmenu sh 4 2 En el men principal seleccionar la opci n 4 Honeywall Configuration para iniciar las configuraciones Figura 6 Men principal Configuraci n Honeywall Figura 7 Configuraci n inicial 4 3 En el m todo de configuraci n inicial se tienen tres opciones FLOPPY El Honeywall permite cargar configuraciones existentes almacenadas en un disquete DEFAULTS Se cargan las configuraciones por defecto INTERVIEW Elegir si se va a configurar por primera vez Figura 8 M todo de configuraci n inicial 4 4 Se recomienda leer el documento Know your enemy Honeynets Figura 9 Mensaje de inicio de configuraci n inicial 4 5 Ingrese las direcciones IP s de todos los Honeypots separadas por un espacio Figura 10 Ingreso de direcciones IP 4 6 Ingrese la Red que se va a utilizar en la Honeynet Figura 11 Ingreso de la red 4 7 Ingrese la direcci n de Broadcast correspondiente a la red de la Honeynet Figura 12 Ingreso de la direcci n de Broadcast 4 8 Configuraci n de la interfaz de administraci n remota Management Int Figura 13 Configuraci n de interfaz de administraci n 4 9 Ingresar el nombre de
29. and buff overflow This preprocessor normalizes telnet negotiation strings from telnet and ftp traffic It looks for traffic that breaks the normal data stream of the protocol replacing it with a normalized representation of that traffic so that the content pattern matching keyword can work without requiring modifications It also performs protocol correctness checks for the FTP command channel and identifies open FTP data transfers FTPTelnet has numerous options available please read 3t README ftptelnet for help configuring the options for the global telnet ftp server and ftp client sections for the protocol THHHER Per Step 2 set the following to load the ftptelnet preprocessor 3t dynamicpreprocessor full path to libsf_ftptelnet_preproc so gt or use commandline option dynamic preprocessor lib full path to libsf ftptelnet preproc so preprocessor ftp telnet global V encrypted traffic yes inspection type stateful preprocessor ftp telnet protocol telnet V normalize V ayt attack thresh 200 This is consistent with the FTP rules as of 18 Sept 2004 CWD can have param length of 200 3t MODE has an additional mode of Z compressed Check for string formats in USER amp PASS commands 3t Check nDTM commands that set modification time on the file preprocessor ftp telnet protocol ftp server default def max param len 100 alt max param len 200 CWD cmd validity MODE
30. and enable echo IPTables instead ipchains F rmmod ipchains fi Add iptables target LOG modprobe ipt_LOG Add iptables QUEUE support Experimental Check this variable setting using the API to make sure it works on a non configured system if hw_get HwQUEUE yes then Insert kernel mod modprobe ip queue 3t check to see if it worked if not exit with error Ismod grep q ip queue IPQUEUE if SIPQUEUE 1 then echo echo It appears you do not have the ip_queue kernel module compiled echo for your kernel This module is required for Snort Inline and echo QUEUE capabilities You either have to disable QUEUE or compile echo the ip_queue kernel module for your kernel This module is part echo of the kernel source exit fi These are commented out since the script used to dump all output to dev null anyway That had the negative side effect of preventing the Starting firewall note to come through which was needed echo Enabling Snort Inline capabilities make sure Snort Inline is echo running in Q mode or all outbound traffic will be blocked fi Support for connection tracking of FTP and IRC modprobe ip_conntrack_ftp modprobe ip conntrack irc Fake a PID file in var run to support hwctl and Makefile hwctl create_pidfile echo ENABLED gt var run rc firewall pid touch var lock subsys rc firewall Make sure the fake PID file in va
31. burst 1 s host V j LOG log level debug V log prefix Drop TCP gt HwTCPRATE attempts iptables A FORWARD p tcp m physdev physdev in HwLAN_IFACE V m state state NEW s host j DROP This rule is for Mike Clark in order to give him RELATED information For example this will tell him the data channel related to an ftp command channel of a connection iptables A FORWARD p tcp m physdev physdev in HwLAN_IFACE V m state state RELATED s host j tepHandler fi UDP see TCP comments above if HwUDPRATE gt 0 then iptables A FORWARD p udp m physdev physdev in HwLAN_IFACE m state state NEW m limit limit HwUDPRATE HWSCALE limit burst HwUDPRATE s host j udpHandler iptables A FORWARD p udp m physdev physdev in HwLAN_IFACE m state state NEW m limit limit 1 HwSCALE limit burst 1 s host V j LOG log level debug log prefix Drop udp gt HWUDPRATE attempts iptables A FORWARD p udp m physdev physdev in HwWLAN_IFACE m state state NEW s host j DROP fi ICMP see TCP comments above if HwICMPRATE gt 0 then iptables A FORWARD p icmp m physdev physdev in HwLAN_IFACE m state state NEW m limit limit HwICMPRATE HwSCALE V limit burst HwICMPRATE s host j icmpHandler iptables A FORWARD p icmp m physdev physdev in HwLAN IFACE m state state NE
32. compromised honeypot send spoofed packets Stops most outbound DoS attacks However we might want to allow our honeypots to use dhcp to get an ip while in bridge mode if z SHwHPOT_PRIV_IP_FOR_NAT then bridge mode iptables A FORWARD m physdev physdev in HwLAN_IFACE p udp sport 68 d 255 255 255 255 dport 67 j LOG log level debug log prefix DHCP OUT REQUEST iptables A FORWARD m physdev physdev in HwLAN_IFACE p udp sport 68 d 255 255 255 255 dport 67 j ACCEPT fi now handle dns packets from honeypots for srvr in HwDNS_SVRS do for host in HwDNS_HOST do iptables A FORWARD p udp m physdev physdev in HwLAN_IFACE s host d srvr dport 53 j LOG log level debug V log prefix Legal DNS iptables A FORWARD p tcp m physdev physdev in HwLAN_IFACE s host d srvr dport 53 j LOG log level debug V log prefix Legal DNS iptables A FORWARD p udp m physdev physdev in HwLAN_IFACE V s host d srvr dport 53 j ACCEPT iptables A FORWARD p tcp m physdev physdev in HwLAN_IFACE s host d srvr dport 53 j ACCEPT done done end 1st check for roach motel fi if n HWHPOT_PRIV_IP_FOR_NAT then LIMIT_IP HWHPOT_PRIV_IP_FOR_NAT else LIMIT_IP HWHPOT_PUBLIC_IP fi Count and limit all other outbound connections This will ensure we don t restrict Honeypots talking to each other
33. comunicarse con servidores de canales de Chat para establecer comunicaci n IRC Seguidamente se muestra los servidores de chat que intentaron ser accedidos Diemen NL EU Undernet Org Oslo2 NO EU undernet org Oslo2 NO EU undernet org Zagreb HR Eu UnderNet org Trondheim NO EU Undernet org Tampa FL US Undernet org Borning Lordx Borning users undernet org LU RR m BK Born2Love born Profi users undernet org Para acceder a estos servidores se utilizaron los siguientes Nicks para intentar establecer comunicaciones y autenticarse como usuarios v AUTH 3240 Y NewHacks 1207 Y RaydeN 1206 Y Lordx 922 Y Born2love 886 Y Distrus 813 Y RaydeN 485 Y Lordx 461 Y _orn2love 445 v En la segunda etapa se observ la mayor cantidad de accesos al protocolo 445 TCP del Honeypot Windows con respecto a las otras etapas como se muestra en la Figura 10 se obtuvieron las respectivas alertas que indican los intentos de conexi n hacia estos estas vulnerabilidades afectan a la familia de Sistemas Operativos Windows que es la plataforma de escritorio mas usada en el mundo y tiene los puertos mas vulnerables en este caso el puerto TCP 445 fue el punto de ataques La cantidad de conexiones simultaneas sobre el puerto 445 que esta relacionada con el servicio para compartir recursos e intercambio de archivos han generado 37956 alertas ICMP Destination Unreachable Communication Administratively Prohibited lo que significa que
34. de red generados por la red trampa debe pasar por un dispositivo switch que pueda ser apagado por el administrador de red en caso de emergencia Para que los Honeypots dentro de las Honeynet puedan ser visibles por todo el mundo cada uno debe ser configurado usando una IP p blica con los principales puertos abiertos TCP UDP que son proporcionadas por los administradores de red de la UTPL inclusive algunos no tradicionales y que son usado para realizar ataques esto permitir llamar m s la atenci n recolecci n de mayor cantidad de datos y mayor interacci n con los atacantes Hardware Se necesitan los siguientes equipos para la red con los requisitos m nimos revisados en el punto 3 2 Un Swith o Hub Dos computadores que serviran como Honeypots un computador que desempe e el papel de Honeywall con tres interfaces de red un equipo adicional que sirva para administraci n remota y se debe tomar en cuenta que los datos que se recolecten requieren gran capacidad de almacenamiento por lo que es indispensable discos duros externos adicionales de m nimo 200GB y el espacio f sico para montar esta infraestructura 1 2 5 ARQUITECTURAS DE UNA HONEYNET La arquitectura de las Honeynets ha ido mejorando con el avance del tiempo dando lugar a dos generaciones de Honeynets denominadas Generacion y Generacion II 1 2 5 1 Generaci n I Internet Honeynet H5 yIOMJSN oAneisiulupwy Log Alert Server Figura 1
35. de una Honeynet en una organizaci n es el permiso de la misma para el proyecto En este caso se debe contar con un permiso expl cito de la Universidad para monitorear capturar y analizar el tr fico que llega a la Honeynet debido a que esto puede incluir informaci n ajena a la detecci n de amenazas en la red conversaciones por mensajero instant neo transferencia de archivos etc Para el presente proyecto debemos tratar los temas de legalidad privacidad y seguridad tomando en cuenta que no somos propietarios de la red donde se desea implantar la Honeynet Este permiso da sustento al proyecto y el reconocimiento al mismo como un recurso de investigaci n 1 2 7 FUNCIONAMIENTO DE LA HONEYNET El funcionamiento de la Honeynet puede explicarse de forma simple ud crea una red parecida a una pecera donde puede ver todo lo que ocurre dentro de ella Igual que a un pez puede observar a un hackers interactuar con su entorno virtual Adem s al igual que en una pecera puede poner all todo lo que quiera Esta red controlada se convierte en su Honeynet Las actividades capturadas le ense an las herramientas t cticas y motivos de la comunidad blackhaf 13 Con sta tecnologia se simulan sistemas reales en producci n por lo que cualquier tr fico que se genera desde y hacia la Honeynet es sospechoso y podr a conducir a un posible ataque por tanto cualquier interacci n con este sistema deber ser registrado para su posterior a
36. desde el nucleo para ello utilizaban una llamada a sys_read troyanizada Este sistema registraba las pulsaciones en un fichero oculto y las exportaba a trav s de la red de forma que pareciera un tr fico UDP cualquiera como NetBIOS Este proceso era complejo f cil de detectar a trav s del uso de rastreadores por ejemplo sniffers y ten a un rendimiento limitado por esta raz n se hac a m s dif cil recolectar otro tipo de datos que no fueran pulsaciones de teclas La siguiente y actual versi n de Sebek versi n 2 fue dise ada no s lo para recolectar pulsaciones de teclas sino para todos los datos que pasaran por sys_read Recolectando todos los datos se ha extendido la capacidad de monitorizaci n a toda actividad dentro del equipo trampa incluyendo las pulsaciones de teclas Si se copia un fichero al equipo trampa Sebek ver y registrar el fichero obteniendo una copia id ntica Si un intruso lanza un cliente de IRC o de correo Sebek ver sus mensajes Un objetivo secundario es el hacer a Sebek m s dif cil de detectar en ocultar el tr fico de los registros para ocultarlos completamente de un blackhat as cuando uno de ellos ejecute un rastreador para detectar tr fico sospechoso sea incapaz de detectar el tr fico perteneciente a Sebek Sebek tambi n proporciona la habilidad de monitorizar los trabajos internos del equipo trampa de forma transparente en comparaci n con las anteriores t cnicas de caja negra Si un intrus
37. dynamicrule libdynamicexamplerule so THHHEHHHHHHHBHHHHHHHHBHHHHHHHHBHHHBHHHHHBHHHHHBHHBHHBE Step 3 Configure preprocessors General configuration for preprocessors is of the form preprocessor lt name_of_processor gt lt configuration_options gt Configure Flow tracking module The Flow tracking module is meant to start unifying the state keeping mechanisms of snort into a single place Right now only a portscan detector is implemented but in the long term many of the stateful subsystems of snort will be migrated over to becoming flow plugins This must be enabled for flow portscan to work correctly See README flow for additional information preprocessor flow stats_interval 0 hash 2 frag2 IP defragmentation support This preprocessor performs IP defragmentation This plugin will also detect people launching fragmentation attacks usually DoS against hosts No arguments loads the default configuration of the preprocessor which is a 60 second timeout and a 4MB fragment buffer The following comma delimited options are available for frag2 timeout seconds sets the number of seconds that an unfinished fragment will be kept around waiting for completion if this time expires the fragment will be flushed memcap bytes limit frag2 memory usage to number bytes default 4194304 ttl limit number difference of ttl to accept without alerting mi
38. en http Awww honeyd org KFSensor Advanced Windows Honeypot System 2003 Disponible en http www keyfocus net kfsensor PatriotBox Honey Pot Server for Windows 2006 Disponible en http www alkasis com fuseaction products info amp id 20 Know Your Enemy Honeynets 2006 Disponible en http old honeynet org papers honeynet Symantec ManTrap 2004 Disponible en https www arabtrust com partner symantec mantrap html CARVAJAL A 2007 Introducci n a las t cnicas de ataque e investigaci n Forense un enfoque pragm tico Colombia 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 VERDEJO G 2004 Cap tulo 4 Seguridad en Redes IP Honeypots y Honeynets Ley de comercio electr nico firmas electr nicas y mensajes de datos 2008 Disponible en http www conatel gov ec site_conatel index php option com_contentg8view article amp catid 48 3Anormas del sector amp id 98 3Aley de comercio electronico firmas electronicas y mensajes de datos amp ltemid 103 amp limitstart 17 The Deception Toolkit Home Page and Mailing List Disponible en htto www all net dtk dtk html LaBrea Sticky Honeypot and IDS Disponible en http labrea sourceforge net labrea info html Conoce a tu enemigo Honeynets Genll 2003 Disponible en http his sourceforge net honeynet papers gen2 RAJAN S Intrusion detection and the use of deception system
39. informaci n del tr fico de red Y Permite solicitar informaci n sobre Honeypots individuales Walleye Y Presenta una visi n general de las actividades del atacante Y Exporta tr fico de red en formato pcap Y Permite modificar algunas configuraciones del Honeywall v Analiza la informaci n capturada de paquetes en formato pcap v Analiza protocolos Wireshark Y Examina datos de una red en tiempo real Y Presenta el flujo reconstruido de una sesi n de TCP Y Vista global de conexiones y paquetes Y Extracci n de flujo y descifrar comunicaciones basadas en ASCII v Analizar protocolos de comunicaci n de Internet m s comunes como HTTP speyener v Resumen de flujo de conexiones entrantes y salientes v Extracci n de pulsaciones de teclado de paquetes Sebek versi n 2 y 3 Y Identificaci n y an lisis de tr fico IRC 4 3 AN LISIS DE DATOS OBTENIDOS EN LA HONEYNET Los Honeypots est n en l nea desde el mes de febrero del 2009 Seis meses de registro han producido interesantes y significativos resultados En aproximadamente 6 meses los Honeypots registraron 4345170 conexiones 15604 direcciones IP diferentes trataron de conectarse de alguna forma a los Honeypots En general se produjeron escaneos de puertos simult neamente en ambos Honeypots lo que indica que los escaneos fueron generados por scripts o herramientas autom ticas de rastreo desde una misma direcci n IP o desde varias direcciones IP Cabe destacar que el an lisi
40. la UTPL Especificos Dise ar e Implementar una Honeynet como un recurso de seguridad proactivo para la red Universitaria Generar un recurso de investigaci n que permita generar estad sticas reales sobre los ataques que sufren actualmente la red de datos de la Universidad Crear un portal para dar visibilidad de los resultados obtenidos y estad sticas generadas luego del an lisis de tr fico as como la publicaci n de nuevos proyectos Presentar la experiencia y resultados a trav s de capacitaciones y o participaciones INTRODUCCION En la actualidad el ataques a las redes de computadoras y los incidentes informaticos se incrementan dia a dia en mayor numero y con mayor grado de eficacia en sus objetivos La tarea principal que se ha venido realizando es la constante defensa en contra de ataques que pongan en riesgo los sistemas criticos de las organizaciones Algunos de los m todos de seguridad actuales todavia utilizados son las practicas de actualizaci n de antivirus infraestructuras que incluyen Firewalls IDS VPN etc que son tareas de defensa que son validas pero no alcanzan a mantener una seguridad altamente confiable ademas dejando a un lado la capacidad proactiva que puede ayudar en un grado considerable a la seguridad de la organizaci n La acci n reactiva en contra de estos ataques reduce la capacidad de aprender de estos mismos sucesos Por lo tanto es muy importante el estudio y la elaboraci
41. la familia de los NetBios el m s referente es el DGM Tabla 8 Accesos a puertos UDP Puertos UDP 138 netbios dgm 53 DNS 137 netbios ns 1434 ms sql m Total de Accesos por los puertos UDP m Total 486 138 netbios dgm 53 domain 137 netbios ns 1434 ms sql m Figura 12 Accesos a puertos UDP 4 6 DIRECCIONES DE IP ORIGEN Los resultados del an lisis de tr fico muestran que 204 direcciones lp s diferentes intentaron conectarse a los Honeypots desde muchos pa ses de todo el mundo Las direcciones listadas a continuaci n son algunas direcciones origen hacia los Honeypots con su respectivo pa s est n ordenadas de acuerdo al n mero de paquetes transmitidos hacia los Honeypots Tabla 6 Direcciones IP origen Direcciones Organizaci n Pa s Conex diarias 200 179 95 132 Embratel Brasil 1269 85 185 146 4 ISDP Ir n 809 194 109 21 230 XS4ALL Servers Paises Bajos 768 64 210 19 210 Global Crossing EEUU 684 85 42 132 98 ADI S P A Italia 441 217 168 95 245 NTEBB IRC Servernet Noruega 419 161 53 178 240 CARNet backbone Croacia 415 195 197 175 21 Saunalahti Group Oyj Finlandia 391 81 17 16 18 ISP Relians Rusia 333 202 32 71 80 MURATA MACHINERY LTD Jap n 290 84 74 121 36 Cablecom GmbH Zurich 270 217 31 48 106 Ignum s r o Rep Checa 265 194 42 125 194 TheCloud Reino Unido 249 220 189 222 68 Cixi jinlun Company China 123 61 191 191
42. la red y en los hosts Honeypots de Investigaci n Estos Honeypots son implementados con la finalidad de recolectar informaci n sobre las acciones de los intrusos Por lo general son administrados por instituciones educativas sin fines de lucro organizaciones de investigaci n se utilizan para tener una visi n m s clara sobre las operaciones las estrategias los motivos de ataques estudiar patrones de ataque y amenazas de todo tipo El objetivo principal es identificar las amenazas y encontrar el modo de tratar con estas de una manera eficaz Estas son dif ciles de manejar y desplegar pero son capaces de reunir una gran cantidad de informaci n Existen otros tipos de Honeypots que permiten definir un rango de posibilidades de ataques de un potencial atacante esto ayuda a entender no solo el tipo de Honeypot con el que se est trabajando sino tambi n ayuda a definir cu les de las vulnerabilidades se necesita que un atacante explote Entre estos tipos tenemos los siguientes 1 1 3 2 Por su grado de interacci n Tabla 1 Tipos de Honeypot seg n su nivel de interacci n 6 NIVEL DE INSTALACI N Y DESARROLLO Y RECOLECCI N DE NIVEL DE INTERACCI N CONFIGURACI N MANTENIMIENTO INFORMACI N RIESGO BAJO F cil F cil Limitado Bajo MEDIO Considerable Considerable Variable Medio ALTO Dif cil Alto consumo de Extensivo Alto tiempo Honeypots de Baja Interaccion Un Honeypot de baja interacci
43. les son los motivos y comportamientos de los intrusos Esto quiere decir que todo tr fico de entrada y salida as como la actividad dentro de cada equipo de la Honeynet deber ser registrado para su posterior an lisis Uno de los puntos m s importantes en la captura de datos es la descentralizaci n de los mecanismos de captura Es decir que debe existir una infraestructura de captura por capas de manera que si un sistema de captura de datos llegase a fallar no est todo perdido Otro punto importante es que por ning n motivo se debe almacenar informaci n en los Honeypots debido a que el intruso podr a darse cuenta que se encuentra dentro de un Honeypot y borrar la informaci n obtenida por el Honeypot o peor a n modificarla y as se obtendr informaci n err nea sobre el incidente 7 1 2 4 REQUERIMIENTOS DE UNA HONEYNET El objetivo de implementar la Honeynet es monitorear el tr fico de la red externa de la UTPL Los siguientes requerimientos son necesarios para implementar la red trampa Honeynet en General La honeynet debe cumplir los requisitos criticos como son el control captura an lisis y recolecci n de datos Honeynet UTPL Uno de los objetivos de la Honeynet es imitar en lo posible a la red en producci n por lo que hay que tomar en cuenta las tecnolog as de implementaci n basadas en ambientes reales Red Adicional a las medidas de Control de Datos proporcionadas por la Honeynet todo el tr fico
44. m s detallado de los puertos utilizados para el intento de explotar vulnerabilidades y conocer cu les son los m s requeridos por los intrusos Los puertos m s escaneados y que intentaron ser explotados durante todo este tiempo de recolecci n y an lisis de datos son los que perteneces al protocolo TCP que son los puertos m s vulnerables y con m s frecuencia atacados La siguiente tabla muestra los puertos con mas rastreo y que en su mayoria pertenecen al Honeypot Windows DESCRIPCION DEL PROTOCOLO TCP Tabla 7 Accesos a puertos TCP Puertos TCP 445 microsoft ds 3615997 Daytime 36625 80 http 20225 Tcpmux 14963 ident 113 3302 22 ssh 1717 1433 ms sql s 1260 135 epmap 1090 2967 ssc agent 1040 23 telnet netbios ssn 139 25 emt La gr fica describe la representaci n de los intentos de acceso por los puertos TCP Accesos por los Puertos TCP B Series1 3615997 36625 20225 14963 3302 1717 1260 1090 1040 674 482 375 Figura 11 Accesos a puertos TCP El tr fico recolectado muestra que los siguientes protocolos tuvieron actividad en la red MICROSOFT DS EPMAP IDENT MS SQL S DAYTIME TCPMUX SMTP HTTP SSH DNS NETBIOS TELNET DNS IRCD Otros resultados encontrados en proyectos afines muestran la similitud en los datos presentados En la Honeynet de la ESPOL los protocolos con m s actividad son FTP HTTP SSH DNS NETBIOS Y TELNET Coincidiendo que la mayor cantidad de tr fico es v a TCP po
45. n se basa en la identificaci n de las relaciones y despu s se almacenan todos estos datos en una base de datos llamada Hflow Los flujos de datos relacionados como Argus y Snort son relacionados en base al n mero de protocolo IP la direcci n de origen destino y el n mero de puerto de aplicaci n que entran dentro del mismo periodo de tiempo Este es un enfoque similar a la forma en que un sistema operativo determina que paquete se relaciona con que socket Hflowd Data Fusion Argus Snort kor Sebek pe Intrusion Passive Da ta Traffic iN Recorder Monitor ci n os Collector System detector libpcap Honeynet Ethemet Figura 9 Colecci n de datos y diagrama de fusi n 28 El resultado de la fusi n de datos de Hflow es un conjunto de datos unificados con relaciones identificables entre las categor as l gicas Estos datos son exportados en el formato necesario para ser cargados en una base de datos relacional 2 3 HERRAMIENTAS DE AN LISIS DE TR FICO El an lisis se lo realiza de dos maneras 1 Monitoreo y an lisis de tr fico remotamente en l nea para esto se utiliz la interfaz web Walleye que ofrece el Honeywall 2 En la segunda forma se capturan paquetes denominados PCAP del Honeywall y porteriormente se realiza el an lisis de estos con herramientas selelccionadas que permiten la lectura de este tipo de formato Se ha elegido Wireshark y Honeysnap debido a que son muy potente
46. ping a Respuesta desde Respuesta desde Settings usuariowin gt ping 200 0 30 52 200 0 30 52 con 32 bytes de datos 200 0 30 52 bytes 32 tiempo lt lm TTL 128 bytes 32 tiempo lt lm TTL 128 Respuesta desde bytes 32 tiempo lt lm TTL 128 Respuesta desde bytes 32 tiempo lt lm TTL 128 Estadsticas de ping para 200 0 30 52 Paquetes enviados Tiempos aproximados de ida y vuelta en milisegundos Mnimo cmd exe recibidos Oms Mximo 4 4 perdidos 0 0 perdidos Oms Media Oms Figura 20 Resumen obtenido de la interfaz Honeysnap Y Luego con el comando netstat a se muestran todas las conexiones y los puertos de escucha por ejemplo la direcci n 196 164 48 25 con el puerto TCP 445 su Oo 0O0O0 000050000000000000050000500000 imuue inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode inode u cum cmu exe 0 com cmd exe C Documents and SettingsNusuariowin netstat a 0 com netstat exe Conexiones activas Proto Direccin local Direccin remota Estado 0 com netstat exe TCP HPWIN2000 epmap HPWIN2000 0 LISTENING 0 com netstat exe TCP HPWIN2000 3389 HPWIN2000 0 LISTENING 0 com netstat exe TCP HPWIN2000 4825 HPWIN2000 0 LISTENING 0 com netstat exe TCP HPWIN2000 1026 HPWIN2000 0 LISTENING
47. potencialmente vulnerable tiene una prioridad de 2 Ver Anexo 4 Vulnerabilidades encontradas Data Sebek Son varias las direcciones que desde el Honeypot realizan conexiones hacia afuera con el puerto TCP 445 como destino algunas de las direcciones encontradas en Data Sebek son 192 26 232 5 101 37 188 33 196 119 92 100 96 125 203 40 42 35 35 104 51 80 56 93 33 62 72 80 Realizando un filtrado en el Wireshark en el que se pide que todas las direcciones que tengan como origen la direcci n 200 0 30 50 y como destino 0 0 0 0 y el puerto de origen sea el UDP 1101 se obtiene los siguientes datos 7 lmEe saaemm w emsim ES Ns me are Destination Prato exper nfo E 300 00 IF 9d 9s 1d 4s 00 ad c9 d3 ac ad 08 00 45 00 polo 00 30 85 cf 40 00 B0 06 bo le cB 00 le 32 76 6c pozo 5f sb 06 Bb Ol bd ed df b7 ab 00 00 00 00 70 02 ooso 40 00 59 42 00 00 02 04 05 b4 Ol Ol 04 02 Figura 12 Data Wireshark de los paquetes Sebek encontrados Lo que confirma que el puerto utilizado como destino desde el Honeypot hacia afuera es el TCP 445 desde los Honeypots se ha generado una cantidad considerable de alertas especialmente de tipo ICMP Desde el Honeypot 200 0 30 50 se ingresa al host 192 26 232 5 con el puerto TCP 445 y con el comando svchost exe Type 2 Counter 145351 Time Jul 6 2009 11 48 45 889978880 Parent Process 1D 1075620 Process ID 11
48. with a high volume spam sending trojan it is participating or facilitating a botnet sending spam or spreading virus spam trojans ATTENTION if you simply repeatedly remove this IP address from the CBL without correcting the problem the CBL WILL eventually stop letting you delist it and you will have to contact us directly This is the rustock spamBOT You MUST patch your system and then fix remove the trojan Do this before delisting or you re most likely to be listed again almost immediately If this IP is a NAT firewall gateway you MUST configure the NAT to prevent outbound port 25 connections to the Internet except from your real mail servers Please see our recommendations on NAT firewalls The Microsoft MSRT Malicious Software Removal Tool stands a good chance of being able to find remove the malicious software If you can find which machine s the malware is on Request delisting of 200 0 29 3 lt lt Back to CBL homepage Figura 27 B squeda de direcciones IP registradas en listas negras Tabla 23 Direcciones IP registradas en el Honeywall 64 210 19 210 Global Crossing 200 179 95 132 Embratel Brasil 1269 210 901 85 185 146 4 ISDP 809 194 109 21 230 XS4ALL Servers Pa ses Bajos 768 81 17 16 18 ISP Relians 208 83 20 130 Desync Networks EEUU 199 109 4 34 NYSERNET EEUU 198 108 92 131 MichNet EEUU E Conex Direcciones Organizaci n hee Diarias 64 18 128 86 RackVibe LLC
49. 1 Alertas ICMP La mayor a de las alertas a las que se hace referencia son alertas de tipo ICMP las mismas que tienen un tipo y un c digo definido por este protocolo El protocolo ICMP fue el que obtuvo m s intentos de accesos esto se concluye por la cantidad de alertas que hay a este protocolo el an lisis de estas alertas indican que son rastreos que realizan los atacantes a redes escogidas al azar con herramientas automatizadas con el fin de encontrar m quinas con vulnerabilidades y explotar las mismas En el ANEXO G se explica el funcionamiento de cada alerta su nivel de riesgo su prioridad y el an lisis detallado de la data que se obtiene de los archivos Pcap A continuaci n se muestra una lista con las alertas m s importantes y que se obtuvieron con mayor frecuencia durante el an lisis de tr fico de la Honeynet Tabla 9 Alertas ICMP Descripci n ICMP Destination Unreachable EN Communication Administratively 21110 Prohibited 1 ICMP PING Cyberkit 2 2 Windows 2 ICMP redirect host 3 ICMP redirect net 4 808 ICMP Destination Unreachable Communication with Destination Host is 328 Administratively Prohibited 5 ICMP PING NMAP ICMP webtrends scanner ICMP Destination Unreachable Communication with Destination Network is Administratively Prohibited ICMP PING speedera Total o 4 cs 1 El siguiente gr fico muestra las alertas ICMP m s comunes registradas en el Honeywall Alertas ICMP
50. 1621 Time Aug 26 2009 03 44 49 085590016 Parent Process ID 458 Process ID 2724 196 64 48 15 microsoft ds SYN_SENT r n Figura 19 Data Wireshark de los paquetes Sebek encontrados Analizando estos datos en el Honeysnap se tiene como resultado Y Se verifica que exista conectividad desde el Honeypot haciendo una petici n de ping tanto al Honeypot como a la puerta de enlace 66 pid 1040 uid 0 fd 0 inode O 66 pi 040 u d inod f noi fd 0 inod fd 0 inode 0 0 fd 0 inode o fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode o fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 fd 0 inode 0 0 fd 0 inode O com com cmd exe KC Copyright 1985 2001 Microsoft Corp com cmd exe com P versin 5 1 2600 Documents and Settings usuar jowin gt ping 200 0 30 49 30 com Haciendo ping a 200 0 30 49 con 32 bytes de datos com Respuesta desde 200 0 30 49 bytes 32 tiempo 1ms TTL 255 com Respuesta desde 200 0 30 49 bytes 32 tiempo 1ms TTI com Respuesta desde 200 0 30 49 bytes 32 tiempo 1ms TTI com Respuesta desde 200 0 30 49 bytes 32 tiempo 1ms TTL 255 com Estadsticas de ping para 200 0 30 49 Paquetes enviados recibidos 4 perdidos 0 0 perdidos com ping s Tiempos aproximados de ida y vuelta en milisegundos Mnimo ms Mximo ims Media 1ms com cmd exe C Documents and Haciendo
51. 169 92 46 182 42 74 213 177 181 200 231 59 9 125 89 77 122 198 104 184 58 67 38 100 97 221 201 148 165 195 2 12 148 205 213 118 5 66 109 25 148 74 3 205 220 91 124 19 15 200 90 65 145 200 71 170 213 147 46 254 110 200 106 221 145 192 5 89 102 192 5 89 22 Pacific Northwest Gigapop State Board of Regents GS Information Network Co Ltd Oakland Schools Micropic Ltda Corp of the City of Toronto Colsecor Ltda DANTE Ltd Tele2 A S IP networking on DFN s Wissenschaftsnetz X WiN Pittsburgh Supercomputing Center Intelig Telecomunicac es Ltda CNCGROUP Liaoning province network JSC TKT Brandon University University of Northern Colorado 1 amp 1 Internet JSC Kazakhtelecom Pavlodar Affiliate JSC Kazakhtelecom Pavlodar Affiliate Momentum Advanced Solution FC Consultoria Informatica e Com rcio Ltda ChinaNet Guangdong Province Network Verio Web Hosting Chicago Admin CNCGROUP Liaoning province network Cable amp Wireless Telecommunication Services GmbH WiscNet Galaxyvisions 74 3 205 220 reverse gogrid com Ukrtelecom IP access network CANTV Servicios Venezuela TELCEL BANDA ANCHA 1XRTT Seoul National University SUPERCABLE TELECOMUNICACIONES Harvard University Harvard University EEUU EEUU Japon EEUU Brasil Canada Argentina Reino Unido Dinamarca Alemania EEUU Brasil China Rusia Canada EEUU EEUU Kazakstan Kazakstan Canada Brasil China EEUU EEUU China Europa EEUU
52. 2 1934 3031 ICMP redirect host 3 0 1284 ICMP redirect net 4 0 808 ICMP Destination Unreachable Communication with Destination Host is 0 328 Administratively Prohibited 5 ICMP PING NMAP 39 65 ICMP webtrends scanner 13 13 ICMP Destination Unreachable Communication with Destination Network 0 11 is Administratively Prohibited ICMP PING speedera 0 4 Total 26654 A continuaci n se explica el funcionamiento de cada alerta con respecto al total de alertas reportadas durante este tiempo se hace referencia a continuaci n solamente a las alertas subrayadas esto debido a que el n mero de estas alertas es considerable La mayor a de las alertas a las que se hace referencia son alertas de tipo ICMP las mismas que corresponden a un tipo y un c digo establecidos por este protocolo Alertas 1 y 5 Y ICMP Destination Unreachable Communication Administratively Prohibited 1 Y ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited 5 Estas alertas son de tipo 3 y c digos 13 y 10 respectivamente el c digo 3 Destination Unreachable es un tipo de error que se presenta cuando un host recibe el mensaje de un enrutador intermedio lo que significa que este router considera el destino inalcanzable o el servicio al que quiere acceder no est disponible si este mensaje es recibido desde el host destino quiere decir que el protocolo al que se intent acceder no est activo en aquel momento El
53. 3 0 MHZ Y 1GB de memoria RAM v 80 GB de capacidad de almacenamiento en disco Software a instalar Para la implementaci n se considera un equipo Honeywall en el cual se instal la herramienta Honeywall versi n 1 4 hw 2009 que para la captura de datos trae instalado Sebek Server En cada uno de los Honeypots se instal el siguiente software Y Equipo Windows Sebek cliente Win32 3 0 3 captura de datos Y Equipo Linux Sebek cliente Linux 2 1 7 captura de datos 3 3 IMPLEMENTACI N El dise o preliminar tal como lo muestra la Figura 7 Cap tulo 4 estar conformado por un equipo Honeywall Gateway que har de pasarela de capa 2 que actuar como puente y este es totalmente transparente al atacante que no tiene conocimiento de qu tr fico est pasando por esta m quina La interfaz externa de nuestra pasarela Gateway ethO est conectada a la red externa Internet La interfaz interna de nuestro Gateway eth1 est conectada a la red de sistemas Honeynet Honeypots que levantar n servicios similares a los que est n en producci n con el fin de ser usados como se uelos para ser detectados por intrusos La interfaz eth2 est conectada a la red interna desde la cual se podr administrar la Honeynet Como puente tanto la interfaz externa como la interna est n en la misma red IP Esto nos ofrece diversas ventajas La primera ventaja viene de el hecho de que el dispositivo sea de capa 2 lo que lo har mucho m s d
54. 50 bytes Target based behavior is attached to an engine as a policy for handling overlaps and retransmissions as enumerated in the Paxson paper There are currently five policy types available BSD BSD right First Linux and Last Engines can be bound to standard Snort CIDR blocks or IP lists frag3_engine options timeout Amount of time a fragmented packet may be active before expiring Default value is 60 seconds ttl limit Limit of delta allowable for TTLs of packets in the fragments Based on the initial received fragment TTL min ttl Minimum acceptable TTL for a fragment frags with TTLs below this value will be discarded Default value is 0 detect anomalies Activates frag3 s anomaly detection mechanisms policy Target based policy to assign to this engine Default is BSD bind to IP address set to bind this engine to Default is all hosts THE Tk Gk Gk Gb Gb GE Hk Gk oG Frag3 configuration example preprocessor frag3 global max frags 65536 prealloc frags 262144 preprocessor frag3 engine policy linux bind to 10 1 1 12 32 10 1 1 13 32 detect_anomalies preprocessor frag3_engine policy first bind_to 10 2 1 0 24 detect_anomalies preprocessor frag3_engine policy last bind_to 10 3 1 0 24 preprocessor frag3_engine policy bsd preprocessor frag3_global max_frags 65536 preprocessor frag3_engine policy first detect_anomalies stream4 stateful inspec
55. 52 User ID 0 File Descripra IAS Ommand Name svchost exe Data Length 15 Socket remote_ip 192 26 232 5 192 26 232 5 Socket remote_port 445 Socket local ip 200 0 30 50 200 0 30 50 et local port 1714 socketa idis Socket ip proto 6 y Para verificar si la direcci n 192 26 232 5 que aparece en Data Sebek consta entre las direcciones de origen o destino en los Honeypots se hace un filtrado de esa direcci n y se obtienen los datos que se observan en la Figura 14 No Tme Source Destination Protocol expert puerto destino Info 9 11 309204 200 0 30 50 192 26 232 5 TCP Chat microsoft ds sesi lm gt microsoft ds SYN Seq 0 win 16384 Le 597 14 156258 200 0 30 50 192 26 232 5 TCP Chat microsoft ds sesi lm gt microsoft ds SYN Seq 0 win 16384 Le 50 174833 64 173 200 50 P E micr ds Destination unreachable Host unreachable H amp Frame 601 70 bytes on wire 70 bytes captured Ethernet II Src cisco_9a ld 4a 00 1f 9d 9a 1d 4a Dst Intel Hf_d3 a6 a4 00 a0 c9 d3 a6 a4 E Internet Protocol src 64 76 221 173 64 76 221 173 Dst 200 0 30 50 200 0 30 50 Version 4 Header length 20 bytes El Differentiated services Field 0x00 DSCP 0x00 Default ECN 0x00 Total Length 56 Protocol ICMP 0x01 E Header checksum 0x97e0 correct Source 64 76 221 173 64 76 221 173 Destination 200 0 30 50 200 0 30 50 Ej Internet Control Message Protocol Type 3 Destination
56. 6 Especificaci n del l mite de conexiones TCP Figura 37 Especificaci n del l mite de conexiones UDP Figura 38 Especificaci n del l mite de conexiones ICMP Figura 39 Especificaci n del limite de conexiones para otros protocolos 7 2 Elija yes para habilitar la aplicaci n snort_inline Figura 40 Confirmaci n para habilitar snort_inline 7 3 Indicar el archivo que contiene la lista negra blacklisf direcciones IPs que generan Spam Elija OK y presione Enter Figura 41 Archivo Blacklist 7 4 Indicar el archivo que contiene las direcciones IPs fijadas por el usuario que no deben ser detectadas ni consideradas como Spam Elija OK y presione Enter Figura 42 Archivo Whitelist 7 5 Habilitar el filtrado para las listas Black White Elija yes y presione Enter Figura 43 Filtrado listas Black White 7 6 Elegir la opci n no para habilitar el filtrado seguro durante la captura de paquetes Figura 44 Filtrado seguro CONFIGURACI N DE FENCELIST 8 1 FENCELIST La finalidad de este fichero es para configurar IPTABLES para registrar y bloquear tr fico de salida hacia otros equipos o redes Indique la ruta del directorio donde se encuentra el fichero y elija OK Figura 45 Fencelist 8 2 Es necesario habilitar el filtrado Fencelist elija Yes Figura 46 Filtrado Fencelist 8 3 ROACH MOTEL A trav s de este modo un atacante podr a detectar f cilmente el H
57. 6 138 200 202 12 39 200 85 34 46 218 111 235 25 200 193 48 42 Belfast LAN Infrastructure Reino unido Embratel Brasil Advance Telecomunicaciones S A Argentina CANTV Servicios Venezuela Venezuela Tele Norte Leste Participa es S A Brasil CHINANET jiangsu province network China Sina Limited company China ChinaNet Guangdong Province Network China CNCGROUP Shandong province network China PTCL Triple Play Project Pakistan eNET EEUU MATRIX INTERNET S A Brasil Telecel S A Paraguay Telekom Malaysia Berhad Malasia Brasil Telecom S A Filial Distrito Federal Brasil 93 157 184 159 Prov RU Rusia 200 255 88 134 AGORA CTVM S A Brasil 58 9 30 174 Tailandia 200 150 146 27 DU BR Consultoria em Informatica Brasil 200 180 54 130 DATA CENTER INTERNET LTDA Brasil gt gt 3 gt Las direcciones subrayadas se encuentran en listas negras antispam ANEXO E Archivo de configuraci n honeywall conf THHHHHHHHHHHBHHHHHBHHHHHHBHHBHHHHHHBHHHHHBHHHBHHHBHHHHHHBHHHHHHHBHHHHHHHHHHE ld honeywall conf 4552 2006 10 17 01 06 51Z esammons THHHEHHEHHHHBHHHHHHHHHHHBHHHHHHHHHBHHHHHBHHHHHBE Copyright C lt 2005 gt lt The Honeynet Project gt This program is free software you can redistribute it and or modify it under the terms of the GNU General Public License as published by the Free Software Foundation either version 2 of the License or at your option any later version This program is distributed in th
58. Al finalizar este proyecto se cuenta formalmente con una relaci n convenio acad mica con el Proyecto Honeynet UNAM de la Universidad Nacional Aut noma de M xico con los cuales se trabajar en conjunto para realizar el afinamiento de la Honeynet UTPL e iniciar una colaboraci n mutua entre instituciones y se formar parte de uno de sus principales proyectos PSTM Plan de Sensores de Tr fico Malicioso BIBLIOGRAFIA Referencias 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Internet Usage Statistics for the Americas 2009 Disponible en http www internetworldstats com stats2 htm Black hat 2009 Disponible en http en wikipedia org wiki Black_hat Utimaco Data Encryption Software 2006 Disponible en http americas utimaco com encryption fbi csi 2006 p3 html Honeynet Ecuador 2009 Disponible en www honeynet ec SPITZNER L 2003 Honeypots Tracking Hackers Boston Ed Addison Wesley INCO A 2007 Honeypots Grupo de Seguridad Inform tica Resultados y tendencias por parte del Honeynet Project 2005 Disponible en http www honeynet unam mx docs Intro pdf HERN NDEZ Y L PEZ M J y LERMA RES NDEZ C F Aplicaciones Pr cticas de los Honeypots en la Protecci n y Monitoreo de Redes de Informaci n SPECTER Intrusion Detection System 2009 Disponible en http www specter com Developments of the Honeyd Virtual Honeypot 2008 Disponible
59. ELECOM DO BRASIL CENTRAL Fukuoka University of Education Verizon Internet Services RPAH Campus CNRS d Orleans CHINANET ZJ Shaoxing node network University of Maryland Network Operations Center HBONE ATP PVCs Sacramento County Office of Education ISP CENICOrganization CENICProxy None detectedType CorporateBlacklist BT DATADIAL IP networking on DFN s Wissenschaftsnetz X WiN EP NET LLC ISP CENICOrganization CENICProxy None detectedType CorporateBlacklist Intertrade Despachos Aduaneiros e Serv Mar Ltda ORANO EP NET LLC Supercable fukuoka dc rm ge 7 1 0 103 sinet ad jp dir Privada Exetel Customer point to point addresses not for genera PRODUCTEUR BOULANGERIE INDUSTRIELLE Ecole Pour l Informatique et les Techniques Avance CANTV Servicios Venezuela TI Sparkle Seabone Palermo POP Qwest Communications PK Decora es Ltda Brasil Alemania EEUU Brasil Francia EEUU M xico China Brasil Jap n EEUU Australia Francia China EEUU Hungr a EEUU EEUU Reino Unido Alemania EEUU EEUU Brasil Canad EEUU Venezuela Jap n Australia Dinamarca Francia Francia Venezuela EEUU Brasil 209 124 181 149 131 144 101 17 210 173 83 5 216 11 250 2 200 202 201 196 207 61 39 242 200 45 119 201 62 40 124 158 130 227 0 82 188 1 230 242 192 88 115 24 201 12 62 11 218 61 79 34 87 237 114 38 142 13 148 41 138 86 3 1 74 208 125 21 92 46 181
60. F 4FE6 9453 6C52 Configuration File Name Configuratio Cancelar Ayuda Figura 11 Verificaci n de datos ingresados Clic en Finalizar 3 DESINSTALACI N DE SEBEK Debido a que el instalador no se registra en el sistema se deber desinstalar manualmente Los siguientes pasos son necesarios para eliminar Sebek de un PC 1 Inicie el equipo con el CD de instalaci n del sistema operativo 2 Seleccione la consola de recuperaci n pulsando R 3 Si esta ejecutando XP puede ignorar este paso Si est ejecutando en Windows 2000 despu s presione C para abrir la consola de recuperaci n 4 Seleccione la instalaci n de Windows que desea modificar 5 Proporcionar la contrase a de administrador 6 Una vez ya en el s mbolo del sistema ir a C WINDOWS System32 drivers y escriba delete Sebek sin las comillas 7 Una vez que el comando se completa reiniciar la m quina escribiendo Exit 8 Elimine Sebek situado en la clave del Registro HKEY_LOCAL_MACHINE System CurrentControlSet Services Sebek 9 Y finalmente quite el programa de configuraci n si est en la m quina ANEXO D Manual de ROO 1 INTRODUCCI N El prop sito de este manual es dar a conocer al Administrador del Proyecto Honeynet las caracter sticas t cnicas de instalaci n y configuraci n del Honeywall CDROM Roo 1 4 hw 2009 Se espera que el manual sirva de apoyo para modificar valores y par metros de las variables existentes cuando sea necesario
61. GNU General Public License as published by the Free Software Foundation either version 2 of the License or at your option any later version This program is distributed in the hope that it will be useful but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details You should have received a copy of the GNU General Public License along with this program if not write to the Free Software Foundation Inc 59 Temple Place Suite 330 Boston MA 02111 1307 USA THHEHEHHHBHHHHHHBHHHHHHHHHBHHBHHHHBHHHHHHHHHHHHBHE 3 ld rc firewall 5190 2007 03 13 17 54 40Z esammons PURPOSE To use the honeywall variables defined by the user and configure the iptables firewall accordingly It has the following possible arguments initial set default DROP rules and allow localhost access start configure the firewall according to honeywall conf stop flush firewall and set forward default to drop You should still be able to access the management interface restart stop then start chkconfig 2345 20 95 description Honeywall iptables script responsible for setting default rules white black lists etc Comments This is based on the same rc firewall posted on http www honeynet org papers honeynet tools Modified 12 21 04 by Allen Harper to incorporate m physdev
62. HBHHHHBHHBHHHHHHEHHHBHHHBHHHHHBHHHHBHHHHBE Days to retain Pcap data This will be used IF dlg config purgePcap pl is called with NO arguments NOTE Override this by supplying the number of days as an argument ala dlg config purgePcap pl days HwPCAPDAYS 45 Days to retain DB data This will be used IF dlg config purgeDB pl is called with NO arguments NOTE Override this by supplying the number of days as an argument ala dlg config purgeDB pl days HwDBDAYS 180 THEHHHEHHHEHHHBBHHBHHHHHHBHHHBHHBHBHHHBHHHHBHHHBHHHHHHEHHHBHHHBHHHHHBHHHHBHWHBE 3t NAT mode is no longer supported Don t mess with anything below here unless you know what you re 3t doing Don t say we didn t warn you and don t try logging a bugzilla request to clean up the mess HBA HEHE HE RORIAARIIA RIIIE HAER Space delimited list of Honeypot ips NOTE MUST HAVE SAME NUMBER OF IPS AS PUBLIC_IP VARIABLE Valid argument IP address HHwHPOT_PRIV_IP_FOR_NAT Specify the IP address of the honeywall s internal i e gateway 3t IP for NAT IP address This is only used in NAT mode Valid argument IP address ex 192 168 10 1 3HwPRIV IP FOR NAT Specify the IP netmask for interface alises One aliases will be created on the external interface for each Honeypot when in NAT mode only 3t Valid argument IP netmask SHwALIAS MASK FOR NAT 255 255 255 0 3t End of honeywall conf parameters Newly defined var
63. HHHHHHHBHHBHER Local variables that are specific to each honeywall ata site FEB ea Specify the system hostname Valid argument string HwHOSTNAME localhost Specify the system DNS domain Valid argument string HwDOMAIN localdomain Start the Honeywall on boot Valid argument yes no HwHONEYWALL_RUN yes To use a headless system Valid argument yes no HwHEADLESS no This Honeywall s public IP address es Valid argument IP address space delimited IP addresses HwHPOT_PUBLIC_IP 200 0 30 50 200 0 30 51 200 0 30 52 DNS servers honeypots are allowed to communicate with Valid argument IP address space delimited IP addresses HwDNS_SVRS 200 0 31 155 To restrict DNS access to a specific honeypot or group of honeypots list them here otherwise leave this variable blank Valid argument IP address space delimited IP addresses blank HwDNS_HOST 200 0 30 50 200 0 30 51 200 0 30 52 The name of the externally facing network interface Valid argument eth br ppp HwINET_IFACE eth0 The name of the internally facing network interface Valid argument eth br ppp HwLAN_IFACE eth1 The IP internal connected to the internally facing interface Valid argument IP network in CIDR notation HwLAN_IP_RANGE 200 0 30 48 29 The IP broadcast address for internal network Valid argument IP broadcast address HwLAN_BCAST_ADDRESS 200 0 30 255 Enabl
64. Linux Solaris FreeBSD NetBSD OpenBSD y Mac OS X as como en Microsoft Windows 2 3 3 Honeysnap 31 La herramienta Honeysnap es una herramienta que interpreta los archivos en formato pcap en una consola de l nea de comandos el objetivo principal es presentar un an lisis resumido de los datos de esta manera una vez identificados los datos de inter s se pueden utilizar otras herramientas para un an lisis m s detallado con esta herramienta se pueden obtener res menes de datos HTTP TCP FTP Sebek ICMP IRC entre otros CAP TULO III CONFIGURACI N E IMPLEMENTACI N DE UNA HONEYNET 3 1 INTRODUCCI N Para la implementaci n es necesario conocer las caracter sticas f sicas de los equipos que van a formar parte de la Honeynet en este caso se utilizar un equipo que servir como Servidor y dos equipos que funcionaran como Honeypots los mismos que enviar n la informaci n de los atacantes al Servidor Uno de los Honeypots utilizar plataforma Windows y el otro Linux Este cap tulo incluye tambi n cuales son las seguridades y servicios que tendr n los equipos incluyendo mecanismos de mantenimiento y respaldo de los estados de cada uno 3 2 CARACTER STICAS DE HARDWARE Y SOFTWARE Las caracter sticas del equipo Honeywall son Y Procesador Pentium 4 de 3 0 MHZ Y 4 GB de memoria RAM Y 80 GB de capacidad de almacenamiento en disco Las caracter sticas de los Honeypots son Y Procesador Pentium 4 de
65. N2000 1717 ppp 94 68 28 74 home otenet gr microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1718 212 95 219 118 static user ono com microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1719 187 124 27 9 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1720 144 107 101 115 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1721 141 71 78 53 microsoft ds SYN SENT 0 com netstat exe TCP HPWIN2000 1722 45 25 228 45 microsoft ds SYN SENT Figura 21 Resumen obtenido de la interfaz Honeysnap Finalmente revisando esta direcci n en el Wireshark encontramos que desde el Honeypot se accedi a esta direcci n 196 64 48 15 con el puerto TCP 445 Frame 4281 62 bytes on wire 62 bytes captured 0 a0 c9 d3 a6 a4 Dst Cisco 9a 1d 4a 00 1f 9d 9a 1d 4a Internet Protocol Ethernet II Src Intel Hf d3 a6 a4 CO lo E E bn Sd E B pptconference 1711 Dst Port microsoft ds 445 port microsoft ds 445 index 1272 Sequance number O relative sequence nuy ength 28 bytes Flags 0x0 Window size 16384 Checksum OxSaal correct Options 8 bytes Figura 22 Data Wireshark de la actividad registrada A mas del comando netstat exe se ha encontrado tambi n actividad con el comando svchost exe y coincide con la actividad indicada en las semanas anteriores Protocol expert puerto destino Internet Protocol Src 200 0 30 50 200 0 30 50 Dst 0 0 0 0 0 0 0 0 User Datagram Protocol src Port p
66. NULL scan 10 Stealth scan NMAP XMAS scan 11 Stealth scan Vecna scan 12 Stealth scan NMAP fingerprint scan stateful detect 13 Stealth scan SYN FIN scan 14 TCP forward overlap o ON HR dk GE Gk HHH preprocessor stream4 disable evasion alerts tcp stream reassembly directive no arguments loads the default configuration Only reassemble the client Only reassemble the default list of ports See below Give alerts for bad streams Available options comma delimited clientonly reassemble traffic for the client side of a connection only serveronly reassemble traffic for the server side of a connection only both reassemble both sides of a session noalerts turn off alerts from the stream reassembly stage of stream4 ports list use the space separated list of ports in list all will turn on reassembly for all ports default will turn on reassembly for ports 21 23 25 42 53 80 110 111 135 136 137 139 143 445 513 1433 1521 and 3306 favor_old favor an old segment based on sequence number over a new one This is the default favor_new favor an new segment based on sequence number over an old one overlap_limit number limit on overlaping segments for a session flush_on_alert flushes stream when an alert is generated for a session flush_behavior mode default use old static flushpoints default large_window use new larger static flushpoints random use random flushpoi
67. Proxy None detected 644 89 118 98 51 FIAT S P A Italia 85 42 132 98 ADI S P A Italia 216 27 100 74 MAGPI c o University of Pennsylvania EEUU 82 196 213 250 oslo no undernet org Noruega 4 68 63 21 Level 3 Communications EEUU 4 68 63 17 Level 3 Communications EEUU 85 35 136 166 Telecom Italia SpA Italia 61 151 254 122 Beijing Arctic Ice Sci Tech Developing China Co Ltd 142 92 10 113 Communications Research Centre of Canad Canada 142 66 16 9 University of Lethbridge Canad 201 78 134 100 Tele Norte Leste Participa es S A Brasil 202 211 0 240 Tohoku Open Internet Community Jap n 192 148 242 195 OARnet EEUU 201 57 19 11 213 200 84 1 199 109 11 14 200 179 95 132 193 55 215 29 144 223 241 77 200 23 60 109 202 112 36 54 201 48 217 144 133 81 127 250 71 118 223 26 152 76 0 194 163 9 15 2 122 224 54 82 206 196 178 11 195 111 97 242 207 166 50 26 137 164 26 10 217 35 211 106 188 1 231 214 198 32 166 118 137 164 27 138 200 249 200 4 66 97 23 26 198 32 252 250 200 35 206 198 150 99 187 221 172 27 80 18 220 233 2 45 83 221 128 41 83 206 56 129 163 5 255 254 200 90 64 201 213 144 181 26 208 44 132 97 200 252 154 3 Embratel Tiscali International Network B V NYSERNET Embratel Academic metropolitan network of Lyons Sprint United Information Service Corporacion Universitaria para el Desarrollo de In CERNET super computer center COMPANHIA DE T
68. SU TV amp Communication Holding Co Ltd Telmex Colombia S A Embratel Broadbandtech S A CANTV Servicios Venezuela JSC Kazakhtelecom Pavlodar Affiliate JSC Kazakhtelecom Pavlodar Affiliate Integra Telecom roemmers Plug and play Net S A Performance Systems International Network for OOO Teleservice Internet Service Provi JSC Kazakhtelecom Pavlodar Affiliate JSC Kazakhtelecom Pavlodar Affiliate Broadbandtech S A Proen Internet Internet Service Provider Bangkok Ramsis Zone DSL ETB Colombia China Canad Emiratos Arb Rusia Jap n N Zelanda EEUU Venezuela Tailandia Brasil Brasil Argentina Uni n Emiratos rabes Reino Unido Cuba Canad EEUU EEUU Kazakst n China China Colombia Brasil Argentina Venezuela Kazakst n Argentina EEUU Argentina Chile EEUU Rusia Kazakst n Kazakst n Argentina Tailandia Egipto Colombia Techtel LMDS Comunicaciones Interactivas 200 123 124 66 Argentina Techtel LMDS Comunicaciones Interactivas 200 123 69 151 Argentina 200 172 87 52 200 87 167 67 62 132 250 2 91 124 9 42 Embratel Brasil Entel S A EntelNet Bolivia Gene it Solutions Paises Bajos Ukrtelecom IP access network Ucrania Techtel LMDS Comunicaciones Interactivas 200 123 122 214 Argentina 194 46 1 114 200 172 34 67 200 51 81 128 200 90 64 144 201 78 143 122 58 221 34 126 60 28 2 77 119 146 75 132 119 167 246 138 116 71 10 52 173 45 7
69. T m physdev physdev in HwMANAGE_IFACE p tcp dport port m state state NEW j LOG log level debug log prefix MANAGE port port gt iptables A INPUT i HWMANAGE_IFACE p tcp s 0 0 0 0 0 dport port m state state NEW j ACCEPT else for ips in HWMANAGER do iptables A INPUT m physdev physdev in HwMANAGE_IFACE p tcp s ips V dport port m state state NEW j LOG log level debug log prefix MANAGE port port gt iptables A INPUT i HWMANAGE_IFACE p tcp s ips dport port m state state NEW j ACCEPT done fi done handle outbound packets from management interface for port in HwALLOWED_TCP_OUT do iptables A OUTPUT o HWMANAGE_IFACE p tcp dport port m state state NEW j ACCEPT done for port in HwALLOWED_UDP_OUT do iptables A OUTPUT o HWMANAGE_IFACE p udp dport port j ACCEPT done handle return tcp and udp from roo outbound after 3way handshake iptables A OUTPUT o HWMANAGE IFACE p tcp m state state RELATED ESTABLISHED j ACCEPT iptables A OUTPUT o S HwMANAGE_IFACE p udp m state state RELATED j ACCEPT Allows return traffic iptables A INPUT m state state RELATED ESTABLISHED j ACCEPT fi lockdown load_modules flush lockdown_policy localhost_policy management_policy create_pidfile initial load_modules flush default_policy localhost_policy management_poli
70. T PLACE ANY SPACES IN YOUR LIST or you can specify the variable to be any IP address like this var HOME_NET any Set up the external network addresses as well A good start may be any var EXTERNAL_NET any Configure your server lists This allows snort to only look for attacks to systems that have a service up Why look for HTTP attacks if you are not running a web server This allows quick filtering based on IP addresses These configurations MUST follow the same configuration scheme as defined above for HOME_NET List of DNS servers on your network var DNS_SERVERS HOME_NET List of SMTP servers on your network var SMTP_SERVERS HOME_NET List of web servers on your network var HTTP_SERVERS HOME_NET List of sql servers on your network var SQL_SERVERS HOME_NET List of telnet servers on your network var TELNET_SERVERS HOME_NET List of snmp servers on your network var SNMP_SERVERS HOME_NET Configure your service ports This allows snort to look for attacks destined to a specific application only on the ports that application runs on For example if you run a web server on port 8081 set your HTTP_PORTS variable like this var HTTP_PORTS 8081 Port lists must either be continuous eg 80 8080 or a single port eg 80 We will adding support for a real list of ports in the future Ports you run web servers on Please note 80 8080 does not work
71. TCP UDP ICMP B Series1 11726117 1653317 1061953 Figura 15 Paquetes TCP ICMP UDP La cantidad de accesos por los diferentes protocolos se detalla a continuaci n Tabla 14 Cantidad de accesos por puertos TCP Puertos TCP 445 microsoft ds tcpmux netbios ssn 139 80 htp 1 a 135 epmap 25 smtp 108 E 1433 ms sql s Como se mencion anteriormente encabeza la lista el puerto 445 la mayor cantidad de tr fico tanto de origen como destino se genera en su mayor a desde y hacia el equipo 200 0 30 50 Como se puede observar en la Figura 16 le siguen al puerto 445 los puertos daytime y tcomux los mismos que est n relacionados con las alertas ICMP NetBios e IIS Accesos Puertos TCP ld Series1 2223676 15327 10767 981 746 382 332 304 ES S e SU A Q QR M y R S S x e p Kd bi ri ld ge S Re OF ND a N Q nv a Figura 16 Cantidad de accesos por los puertos TCP Tabla 15 Cantidad de accesos por puertos UDP Puertos UDP 138 netbios dgm 1434 ms sql m 137 netbios ns De acuerdo a la Tabla 15 aparte del puerto 138 se registra actividad en el puerto UDP 1434 el que est relacionado con el worm Slammer el mismo que se ha detallado en los meses anteriores Accesos por Protocolos UDP Series1 333 86 65 138 netbios dgm 1434 ms sql m 137 netbios ns Figura 17 Accesos por protocolos UDP 1 Alertas recibidas Las
72. TCP_OUT 22 23 25 43 80 443 Specity the UDP destination ports Honeypots can send network traffic to Valid argument space delimited list of UDP ports HwALLOWED_UDP_OUT 53 123 Specify whether or not to start swatch and email alerting Valid argument yes no HwALERT yes Specify email address to use for email alerting Valid argument any email address HwALERT_EMAIL hendryfer gmail com NIC Module List Set this to the number and order you wish to load NIC drivers such that you get the order you want for ethO eth1 eth2 etc Valid argument list of strings Example eepro100 8139too HwNICMODLIST Blacklist Whitelist and Fencelist features Valid argument string HwFWBLACK etc blacklist txt Valid argument string HwFWWHITE etc whitelist txt Valid argument string HwFWFENCE etc fencelist txt Valid argument yes no HwBWLIST_ENABLE no Valid argument yes no HwFENCELIST_ENABLE no The following feature allows the roo to allow attackers into the honeypots but they can t send packets out Valid argument yes no HwROACHMOTEL_ENABLE no Disables BPF filtering based on the contents of HwHPOT_PUBLIC_IP and the black and white list contained within HWFWBLACK and HwFWWHITE if the HWBWLIST_ENABLE is on Other wise it just filters based on the contents of HwHPOT_PUBLIC_IP Valid argument yes no HwBPF_DISABLE no This capability is
73. THER iptables A FORWARD m physdev physdev in HwINET_IFACE m state state NEW j ACCEPT The remainder of established connections will be ACCEPTED The rules above are required in order to log new inbound connections iptables A FORWARD m physdev physdev in HwINET_IFACE j ACCEPT This rule is for use with sebek If sebek is used and we don t want the logs filled by SPOOFED SOURCE entries because sebek uses spoofed IPs we should drop all traffic in the sebek ip range if S HwSEBEK yes then if S HwSEBEK_LOG yes then iptables A FORWARD m physdev physdev in HwLAN_IFACE p udp d HwSEBEK DST IP dport HwSEBEK_DST_PORT j LOG log level debug log prefix SEBEK fi iptables A FORWARD m physdev physdev in HwLAN_IFACE p udp d HwSEBEK_DST_IP dport HwSEBEK_DST_PORT j HwSEBEK_FATE fi DNS NTP Perhaps one of your honeypots needs consistent outbound access to provide internal service If we did not identify a specific destination dns server let s go ahead and allow any if z HWDNS_SVRS then HwDNS_SVRS 0 0 0 0 0 fi HHH 1st ROACHMOTEL Feature Check see other check below Following test is to see if we are running in roach motel mode where attackers can check into the motel honeypots but they cant send packets out THHEHHHHHHHBE if HWROACHMOTEL_ENABLE no J then Egress filtering don t want to let our
74. W m limit limit 1 HwSCALE limit burst 1 s host j LOG log level debug log prefix Drop icmp gt HwICMPRATE attempts iptables A FORWARD p icmp m physdev physdev in HwLAN_IFACE m state state NEW s host j DROP fi EVERYTHING ELSE see TCP comments above if SHwOTHERRATE gt 0 then iptables A FORWARD m physdev physdev in HwLAN_IFACE m state state NEW m limit limit HWOTHERRATE HwSCALE limit burst HWOTHERRATE s host j otherHandler iptables A FORWARD m physdev physdev in HwLAN IFACE m state state NEW m limit limit 1 HWSCALE limit burst 1 s host Y j LOG log level debug log prefix Drop other gt HWOTHERRATE attempts fi done These define the handlers that actually limit outbound connection tepHandler The only packets that should make it into these chains are new connections as long as the host has not exceeded their limit iptables A tcpHandler j LOG log level debug log prefix OUTBOUND TCP if HWQUEUE yes then iptables A tcpHandler j QUEUE fi iptables A tcpHandler j ACCEPT 3t udpHandler see tcpHandler comments above iptables A udpHandler j LOG log level debug log prefix OUTBOUND UDP if HWQUEUE yes then iptables A udpHandler j QUEUE fi iptables A udpHandler j ACCEPT icmpHandler see tcpHandler co
75. YNET Para la elegir la Arquitectura de la red trampa de la UTPL se realiza el siguiente an lisis Como se hab a mencionado en la documentaci n de las arquitecturas de las Honeynets punto 1 2 5 existen de Generaci n Generaci n II y Virtuales para la presente se ha decidido implementar en la red de la Universidad una Honeynet de II Generaci n por ser la que m s se apega a los requerimientos y objetivos esperados referidos el punto 1 2 4 y por ser la generaci n m s segura estable y se encuentra en vigencia como herramienta de an lisis forense Las generaciones y Il tienen caracter sticas comunes teniendo la ll t cnicas y herramientas mejoradas para el control y captura de datos Para este el an lisis se ha tomado como una sola Generaci n que tienen como caracter stica com n que se implementan en equipos reales entonces tenemos dos tipos para elegir 1 Implementar una Honeynet con los mismos requerimientos de hadware que una red en producci n en la cual todos sus equipos y servicios son f sicos y reales respectivamente nada es virtualizado 2 Implementar una Honeynet Virtual virtualizando sistemas operativos y servicios en uno o varios equipos Para montar este proyecto se analiza los requerimientos para la implementaci n de una Honeynet estudiados en el punto 1 2 4 adem s se cuenta con los equipos y la infraestructura necesara para implantar la Honeynet Para la elecci n de la arquitectura
76. aban el correcto funcionamiento de su hardware y software fue muy til elaborar una lista de pasos o pruebas Check List necesarias con las cuales se pueden determinar si la Honeynet y cada uno de sus elementos funcionan correctamente Con estas pruebas no solo garantizamos la correcta recolecci n de datos sino tambi n la integridad del proyecto como tal si dej bamos un solo indicio a los atacantes de que se trataba de un Honeypot podr a introducirse ruido en las muestras recogidas o en el peor de los casos se intentar a usar la Honeynet como una arma contra nosotros mismos Las pruebas iniciaban desde un chequeo del cableado continuando con la revisi n de cada elemento de recolecci n en la Honeynet finalmente se revisaba si la Honeynet no podr a ser usada como una herramienta contra la red interna o alguna m quina en Internet para lograrlo se limitaron paquetes salientes Seguidamente se muestran las actividades que se revisan constantemente para asegurar la estabilidad seguridad y control de la Honeynet en la Tabla 2 Tabla 2 CHECK LIST Estabilidad y control de la Honeynet RESULTADO SECUENCIA DESCRIPCI N REALIZADO NO REALIZADO Revision de cableado ar Conectividad de equipos de la red Honeynet 3 Honeypots est n trabajando normalmente y no est n ca dos Control de conexiones Reglas de Firewall Alertas al correo electr nico Pe 4 Recolecta de datos y visualizaci n en EN ee Otra acc
77. ad SNMP para alertar a los administradores del sistema que alguien ha entrado a la jaula En un Host con ManTrap todo reside f sicamente en el mismo sistema Este Host soporta hasta cuatro jaulas l gicas Cada jaula act a como un sistema operativo virtual independiente con su propia interfaz de red f sica que se conecta a la red 1 1 4 UTILIDADES DE LOS HONEYPOTS Y Los Honeypots son tiles para investigaciones forenses ya que permiten analizar la actividad del hacker o atacante basados en el enga o Si ya se conoce la identidad del atacante y adem s se va a tomar acciones en contra del atacante es importante recordar que antes de implementar un Honeypot se debe tener un permiso judicial contra el atacante Y Brindan protecci n prevenci n detecci n y respuesta a los ataques de baja interacci n en sistemas de producci n Y facilitan la recolecci n de la informaci n esto ayuda a definir tendencias respecto de las actividades del atacante activaci n de sistemas tempranos de alarma predicci n de ataques e investigaciones criminales con alta interacci n 1 Y Permite la detecci n de ataques 0 days dado que su objetivo fundamental es la construcci n de un perfil del atacante 1 1 5 VALOR DE LOS HONEYPOTS 1 1 5 1 Ventajas Seguidamente se nombra algunas de las ventajas Y Los Honeypots son una tecnolog a con un concepto muy simple y con una fortaleza muy poderosa Es un ataque contra un
78. aformas Windows 3 9 4 Herramientas de An lisis Walleye Durante la primera etapa la interfaz gr fica Walleye estaba sin funcionar esto debido a inconvenientes en cuanto a las versiones de software y hardware utilizadas El resto de archivos pcap capturados no fueron analizados debido a que estos no registraban datos Sebek es decir no se registraba actividad desde los Honeypots hacia afuera Los Honeypots han logrado generar una gran cantidad de tr fico la misma que se procesa en el Honeywall lo que ha causado que la interfaz web en ocasiones colapse qued ndo por momentos sin conexi n al servidor Esto se debe a que la Base de Datos Relacional que tiene el Honeywall no logra almacenar tanta cantidad de tr fico que en ocasiones se lleg a generar especialmente en la segunda etapa en la que se obtuvo la mayor cantidad de Informaci n Para estabilizar el Honeywall en estas situaciones se tiene que reiniciar los servicios especialmente de mysql y de tcpdump los cuales son los que almacenan y capturan el tr fico de la red respectivamente De la misma forma por el mismo motivo del problema descrito anteriormente la Honeynet recibe una cantidad ingente de tr fico que normalmente no son ataques sino sondeos o ataques fallidos entonces se tiene que los archivos Pcap descargados del Honeywall llegan a tener tama os muy grandes para su an lisis lo que conlleva a que los equipos en los que se hace el an lisis de estos archivos dejen de f
79. alertas recibidas durante este mes se detallan a continuaci n Tabla 16 Alertas recibidas Alerta Semana 1 Semana 2 Semana 3 Semana 4 Total ICMP Destination Unreachable Communication Administratively 16237 47 47 515 16284 Prohibited ICMP redirect host 1059 0 CE 0 1059 ICMP PING CyberKit 2 2 Windows 289 327 0 167 616 NETBIOS SMB DS IPC unicode m 7 CAM 0 565 share access NETBIOS SMB DS srvsvc NetrPathCanonicalize unicode little 535 0 0 535 endian overflow attempt ICMP redirect net 479 0 o 479 ICMP Destination Unreachable Communication with Destination Host 332 0 21 332 is Administratively Prohibited MS SQL Worm propagation attempt MS SQL Worm propagation attempt OUTBOUND 96 63 63 21 243 MS SQL version overflow attempt ICMP Destination Unreachable Communication with Destination 58 58 58 4 178 Network is Administratively Prohibited WEB IIS view source via translate 30 0 12 42 header ICMP PING NMAP 5 0 3 8 bad trafico port 0 1 1 0 3 ICMP PATH MTU denial of service 1 0 0 1 ICMP Source Quench 1 1 0 3 Alertas Recibidas ld Series1 Figura 18 Alertas recibidas Las dos primeras alertas tipo ICMP han sido explicadas anteriormente en esta semana al igual que en los meses anteriores existe un alto n mero de alertas ICMP Ping Cyberkit 2 2 Windows y en general el tipo de alertas se mantiene desde los meses anteriores Las direcciones que han accedido a los Honeypots con el puerto UDP 1434 s
80. all cortafuegos es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones permiti ndolas o prohibi ndolas seg n las pol ticas de red Al trabajar bajo esta ubicaci n cualquier atacante externo lo primero que encuentra ser al Honeypot sin embargo existe el peligro de que se genere mucho tr fico debido precisamente a la facilidad que este ofrece para ser atacado tambi n generar consumo de ancho de banda y espacio en los ficheros de log 6 1 3 2 2 Honeypots despu s del firewall En esta ubicaci n el acceso al Honeypot est dirigido por las reglas de filtrado del firewall su ubicaci n permite la detecci n de atacantes internos as como firewalls mal configurados m quinas infectadas por gusanos o virus y atacantes externos El esquema de esta ubicaci n se puede observar en la Figura 4 VLAN 8 INTERNET VLAN 7 SENE SN nA VLAN 6 in pp VLAN 5 ar a rd cmm cm SWITCH VLAN 4 ee Nivel 3 UTM VLAN 3 kr VLAN 2 I I T iin VLAN 1 WIRELESS L T T SERVIDORES DATOS CRITICOS wan Figura 4 Ubicaci n de un Honeypot despu s del firewall 15 Al utilizar esta ubicaci n se debe modificar las reglas del firewall para permitir alg n tipo de acceso a nuestro Honeypot por posibles atacantes externos al realizar esto se podr a estar introduciendo alg n elemento peligroso dentro de nuestra red permitiendo as a un ataca
81. antener la infraestructura necesaria para la detecci n de posibles intentos e intrusiones en los sistemas que la organizaci n maneja Hoy en d a existen aproximadamente 134 millones de internautas 1 a nivel de Am rica del Sur sin embargo gran cantidad de usuarios administradores o proveedores conectados a la red no tienen un conocimiento claro de las debilidades o vulnerabilidades de seguridad a las que est expuesta su informaci n ni del crecimiento que ha tenido la actividad de la Comunidad Black Hat 2 en los ltimos a os De acuerdo en un informe presentado por el Computer Security Institute hasta el 2006 se increment el n mero de ataques y se perdieron cerca de 15 millones de d lares Unicamente por infecci n de virus sin considerar las p rdidas ocasionadas por otros tipos de ataques 3 A nivel de Latinoam rica Brasil M xico Peru Chile y Argentina cuentan con equipos formales que trabajan en temas de seguridad y que reportan datos estad sticos sobre los comportamientos detectados en cada pa s A nivel de Ecuador no existe un registro oficial y p blico sobre el n mero de incidentes o ataques de seguridad que se presentan Muchas empresas que ofrecen servicios de seguridad manejan cifras que por cuestiones de confidencialidad no pueden ser expuestas y por tanto no permiten tener una visi n sobre la situaci n actual del pa s en cuanto a ataques o incidentes de seguridad A pesar de que el Proyecto Honeyne
82. ar n los tipos de arquitectura que existen para luego determinar cu l es la que se va a elegir para la implementaci n del proyecto Tambi n se pone a conocimiento las implicaciones legales y los problemas que surgen al desarrollar una Honeynet 1 2 2 DEFINICI N DE HONEYNETS Una Honeynet es un tipo de Honeypot de alta interacci n dise ado espec ficamente para la investigaci n esta recoge informaci n sobre atacantes Una Honeynet es una arquitectura no es un producto o un software determinado Una Honeynet es una red de varios sistemas y aplicaciones las cuales son investigadas y atacadas por los blackhats Las Honeynets pueden utilizar varios sistemas al mismo tiempo como Solaris Linux Windows NT router conmutadores etc Esto crea un entorno de red que refleja de forma m s realista una red productiva Adem s al tener diferentes sistemas con diferentes aplicaciones como un servidor DNS en Linux un servidor Web Windows IIS Internet Information Server y un servidor de bases de datos en Solaris podemos aprender sobre diferentes herramientas y t cticas Quiz s algunos blackhats se centran en sistemas espec ficos aplicaciones o vulnerabilidades Teniendo una variedad de sistemas operativos y aplicaciones somos capaces de trazar con m s exactitud el perfil de las tendencias y rasgos de los blackhats 13 El objetivo es el de hacer creer al atacante que est ante una red real entonces de deben anadir los distint
83. atus exit 1 esac Exit with a return value exit 0 ANEXO B Archivo de configuraci n snort conf http www snort org Snort 2 6 1 5 Ruleset Contact snort sigs lists sourceforge net THHHBHHHHHHHBHHHHHHHHBHHHBHHHHHBHHHBHHHHHHHHHHHBHHHHHBE This file contains a sample snort configuration You can take the following steps to create your own custom configuration Set the variables for your network Configure dynamic loaded libraries Configure preprocessors Configure output plugins Add any runtime config directives Customize your rule set A a a Sa 1 2 3 4 5 6 THE Tk HE GE Gb dk Gk Gt THHHHHHHHHHHBHHHHHHHHBHHHHHHBHHBHHHBHHHHHHHHHHHBHHBHHBE Step 1 Set the network variables You must change the following variables to reflect your local network The variable is currently setup for an RFC 1918 address space You can specify it explicitly as var HOME_NET 10 1 1 0 24 or use global variable lt interfacename gt _ADDRESS which will be always initialized to IP address and netmask of the network interface which you run snort at Under Windows this must be specified as interfacename ADDRESS such as Device Packet_ 12345678 90AB CDEF 1234567890AB _ ADDRESS var HOME NET ethO_ADDRESS You can specify lists of IP addresses for HOME_NET by separating the IPs with commas like this var HOME_NET 10 1 1 0 24 192 168 1 0 24 MAKE SURE YOU DON
84. by the max sessions option log flushed streams if an event is detected on a stream this option will cause all packets that are stored in the stream4 packet buffers to be flushed to disk This only works when logging in pcap mode server inspect limit bytes Byte limit on server side inspection enable udp sessions turn on tracking of sessions over UDP Requires configure enable stream4udp UDP sessions are only created when there is a rule for the sender or responder that has a flow or flowbits keyword max udp sessions number limit the number of simultaneous UDP sessions to track udp ignore any Do not inspect UDP packets unless there is a port specific rule for a given port This is a performance improvement and turns off inspection for udp xxx any xxx any rules cache clean sessions number Cleanup the session cache by number sessions atatime The larger the value the more sessions are purged from the cache when the session limit or memcap is reached Defaults to 5 THE Tk cb Gb cb Gk GE GE kb Gb E kb ckb kb cb ck kb kb ckb ck kb cb cR b cb ck kb kb ck GRE kb cb E kb cb cb b kb ck HHH GE Gb db E 3t Stream4 uses Generator ID 111 and uses the following SIDS for that GID SID Event description 1 Stealth activity 2 Evasive RST packet 3 Evasive TCP packet retransmission 4 TCP Window violation 5 Data on SYN packet 6 Stealth scan full XMAS Stealth scan SYN ACK PSH URG Stealth scan FIN scan Stealth scan
85. c digo 13 Communication Administratively Prohibited se genera si un router no puede avanzar debido a que un paquete es filtrado administrativamente es decir cuando el sistema destino est configurado para rechazar el env o de datagramas del sistema este tipo de error se utiliza cuando los datagramas basados en alg n tipo de criterio est n filtrados por un router u otras medidas de seguridad Los datos obtenidos son los siguientes se debe resaltar que en este lapso de tiempo sta alerta mantiene la misma estructura Fie Edi View Go Capture Analyze Satistics Telephony Tools Help amp a m Q Sax eso Qeoe0F ilgEHg I GOGGQGEBj i su Fiker ip add eq 200 0 30 50 and ip addr eq 3 0 0 0 and udp port eq 1121 an Expression Clear Apply ytes on wire 72 bytes captured herfist 11 Cisco 9a 1d 4a 00 1f 94 9a 1d 4a Dst Ite Irternet Protocol Src 203 181 248 217 203 181 248 217 Dst 22070 E Irternst Control Message Frotocol Type 3 Destination unreachable Code 13 Communication adnivistratively i tered Chec sum 0xda75 correct E Internet Protocol src 200 2 30 5C 209 0 30 50 Dst 164 115 1194 Transmission Control Prctocol Src Port cambertx lm 2734 Dst Port miccosoft ds 445 A x dite Im end Destination por 44 sequence number 2825089439 Figura 7 Data Wireshark Alertas ICMP Lo mismo sucede con el error generado por el c di
86. cy create_pidfile start load_modules flush create_chains default_policy localhost_policy management_policy THHHHHHBHHE Check for blacklist variable and file This will drop and not log any ip within the file identified by the HwFWBLACK variable if n HWFWBLACK amp amp e HWFWBLACK amp amp HwWBWLIST_ENABLE yes then iptables A FORWARD j BlackList logger p localO info rc firewall loading blacklist from HwFWBLACK IPS cat HwWFWBLACK grep v sed s r n for ip in IPS do iptables A BlackList s ip j DROP iptables A BlackList d ip j DROP done Return to the calling chain iptables A BlackList j RETURN fi THHHHHHBHHBE Check for whitelist variable and file This will accept and not log any ip within the file identified by the HWFWWHITE variable if n HWFWWHITE amp amp e HWFWWHITE amp amp HwBWLIST_ENABLE yes then iptables A FORWARD j WhiteList logger p localO info rc firewall loading whitelist from HwFWWHITE IPS cat HwFWWHITE grep v sed s r n for ip in IPS do iptables A WhiteList s ip j ACCEPT iptables A WhiteList d ip j ACCEPT done Return to the calling chain iptables A WhiteList j RETURN fi THHHHHHHHHE Check for fencelist variable and file This will drop AND log 3t any outbound dest ip within the file identified b
87. d portscan values to If there is not a leading then snort logs to the configured log directory Refer to README sfportscan for details on the logged values in the logfile watch_ip Snort IP List ignore_scanners Snort IP List ignore_scanned Snort IP List These options take a snort IP list as the argument The watch_ip option specifies the IP s to watch for portscan The HHHHHHHHHHHHHHHHHHHHHHHHHHHHRHHRH HHH ignore_scamners option specifies the IP s to ignore as scanners Note that these hosts are still watched as scanned hosts The ignore scanners option is used to tune alerts from very active hosts such as NAT nessus hosts etc The ignore_scanned option specifies the IP s to ignore as scanned hosts Note that these hosts are still watched as scanner hosts The ignore scanned option is used to tune alerts from very active hosts such as syslog servers etc detect ack scans This option will include sessions picked up in midstream by the stream module which is necessary to detect ACK scans However this can lead to false alerts especially under heavy load with dropped packets which is why the option is off by default p reprocessor sfportscan proto all memcap 10000000 sense_level low arpspoof Experimental ARP detection code from Jeff Nathan detects ARP attacks unicast ARP requests and specific ARP mapping monitoring To make use of this pre
88. de RULE PATH nntp rules include RULE PATH other ids rules tt include RULE PATH web attacks rules tt include RULE PATH backdoor rules include RULE_PATH shellcode rules include RULE_PATH policy rules tt include RULE_PATH porn rules include RULE_PATH info rules include RULE_PATH icmp info rules tt include RULE_PATH virus rules include RULE_PATH chat rules include RULE_PATH multimedia rules include RULE_PATH p2p rules include RULE_PATH spyware put rules include RULE_PATH experimental rules Include any thresholding or suppression commands See threshold conf in the lt snort src gt etc directory for details Commands don t necessarily need to be contained in this conf but a separate conf makes it easier to maintain them Note for Windows users You are advised to make this an absolute path such as c snort etc threshold conf Uncomment if needed include threshold conf ANEXO C Manual de Sebek 1 INSTALACI N DE SEBEK EN PLATAFORMAS WINDOWS Iniciar el programa de instalaci n de Sebek esto le permitir instalar el n cleo conductor en el sistema cliente Y Sebek 3 0 3 0 Setup Welcome to the Sebek 3 0 3 0 Setup Wizard This wizard will guide you through the installation of Sebek 3 0 3 0 It is recommended that you close all other applications before starting Setup This will make it possible to update relevant system files without having to reboot your computer Cl
89. de la organizaci n La acci n reactiva en contra de estos ataques reduce la capacidad de aprender de estos mismos sucesos Por lo tanto es muy importante el estudio y la elaboraci n de estrategias que permitan tener un grado adecuado para protegerse pero teniendo en cuenta la creaci n de recursos de investigaci n Un nuevo concepto de seguridad es el considerar qu se debe proteger y principalmente de qui n Una Honeynet tiene como objetivo reunir informaci n sobre la actividad del intruso De esta manera seremos capaces de detectar una vulnerabilidad antes de que sea explotada adem s de conocer los riesgos a los cuales nuestros sistemas de producci n est n expuestos El administrador podr utilizar y aplicar este conocimiento en la configuraci n de sus herramientas y equipos de seguridad como son los firewall IDS etc El presente proyecto de Tesis consiste en implementar un Honeypot especial denominado Honeynet en la red de la Universidad T cnica Particular de Loja con la finalidad de capturar y analizar tr fico en la red y poder establecer patrones de ataques Durante la etapa de investigaci n se fueron elaborando documentos que relatan el estado y resultados del proyecto como Implementaci n de una Honeynet para estudio de tr fico en la red de la UTPL Honeynet como apoyo a la Investigaci n de Seguridad de Redes en Entornos Universitarios los cuales fueron publicados y expuestos en las conferencias del INFOSecuri
90. de m quinas vulnerables Su red trampa ser encontrada y atacada Dedique todo el tiempo necesario para analizar los datos recogidos por la Honeynet Estos datos deben ser analizados todos los d as Se recoge mucha informaci n y debe ser analizada para que sea de mucha utilidad La mayor a de los ataques tardan pocos segundos en comprometer y tomar el control de un sistema vulnerable Puede llevar semanas analizar y documentar tales ataques TRABAJOS FUTUROS La Honeynet al t rmino de esta etapa deja abiertos algunos temas que se pueden explotar en el campo de la investigaci n principalmente La simulaci n de servicios reales que existen en los servidores de la UTPL en los Honeypots es uno de los trabajos que se deben estudiar para obtener estad sticas de intentos de ataques a los servicios reales de la Universidad La virtualizaci n de la Honeynet de la UTPL es otro tema a desarrollar para acumular informaci n que permita realizar comparaciones con los datos existentes El proceso de aplicaci n de una metodolog a de an lisis forense a los recursos de la Honeynet que permitir n concluir sobre hallazgos que se puedan encontrar La universidad cuenta ya con el estudio de un CERT Computer Emergency Response Team es un equipo de personas dedicado a dar respuesta a incidentes y de gesti n de seguridad surge la necesidad de fortalecer este grupo de retomar y actualizar sus metodolog as para dar ayuda a los nuevas acometida
91. dmin port 4899 5900 instl_boots 1067 ii Cantidad 49064 6587 57271 1530 1031 586 531 510 105 122 102 72 50 12 go x ZEE 5 5 MU o GP uS FP FFF KS T OS ue SF xg 9 SF FS qv SF S P eS E xO zm c xw Xv lt E X ES ho Figura 2 N mero de conexiones a los puertos TCP Conexiones a trav s de los diferentes puertos UDP Tabla 3 Conexiones a puertos UDP Puerto Total netbios ns 137 262 ms sql m 1434 57 cap 1026 54 E Cantidad p p 57 netbios ns bom 0 EN ms sql m P 1434 cap 1026 Figura 3 Numero de conexiones a los puertos UDP Febrero y Marzo son los primeros meses en los que se comenz a recolectar los datos para su posterior an lisis los datos recogidos no son de todo el mes de febrero y marzo sino solamente de algunos d as sin embargo la cantidad de datos es bastante numerosa pudiendo destacar que Y Los puertos por los cu les se genera mayor cantidad de tr fico es por el protocolo TCP especialmente por los puertos 6667 corresponde a IRC seguido de los puertos correspondientes al NetBios 445 135 etc Y En cuanto a la cantidad de accesos por los puertos UDP se puede destacar que tambi n corresponden a los puertos NetBios Durante estos primeros meses no se pudo obtener informaci n m s detallada en cuanto a las alertas generadas ni en cuanto al tr fico por puertos los datos obtenidos fueron obtenidos de los archivos peap capturados durante este corto lapso de tiempo
92. do generado desde los puertos Netbios especialmente el TCP 445 esto ha producido gran cantidad de alertas esto se debe a los puertos abiertos TCP que por defecto tienen los sistemas y que son los m s vulnerables En sistemas Windows los ataques son m s autom ticos y fueron realizados en su totalidad por medio de la propagaci n de c digo malicioso esto se conoce por las repetidas y numerosas cantidades de alertas que se emiten tal es el caso de las alertas que muestran en la tabla 22 en el anexo 4 v No es necesario contar con m quinas potentes para instalar una red trampa La red Honeynet de la UTPL no utiliz m quinas nuevas y funcion como se esperaba Todo lo que necesitamos ya estaba disponible en el campus Y El Honeywall es el elemento clave dentro de una arquitectura Honeynet Hemos cubierto la mayor a de las medidas comunes necesarias para instalar uno de estos dispositivos y los requisitos m nimos de seguridad Este proyecto ha sido de gran utilidad porque nos permite tener una base de configuraci n y un punto de partida para experimentar y aprender en este amplio campo y lograr mayores beneficios a futuro RECOMENDACIONES Se recomienda al iniciar este proyecto virtualizar la Honeynet Con el fin de hacer facil el entender el funcionamiento de esta tegnoloigia Se recomienda mantener una estrecha relaci n con los administradores de la red con la finalidad de informar de las actividades sospechosas que est vie
93. e QUEUE support to integrate with Snort Inline filtering Valid argument yes no HwQUEUE yes The unit of measure for setting oubtbound connection limits Valid argument second minute hour day week month year HwSCALE hour The number of TCP connections per unit of measure HwScale Valid argument integer HwTCPRATE 20 The number of UDP connections per unit of measure HwSCALE Valid argument integer HwUDPRATE 20 The number of ICMP connections per unit of measure HWSCALE Valid argument integer HwICMPRATE 50 The number of other IP connections per unit of measure HwSCALE Valid argument integer HwOTHERRATE 10 3t Enable the SEBEK collector which delivers keystroke and files to a remote system even if an attacker replaces daemons such as sshd Valid argument yes no HwSEBEK yes Enable the Walleye Web interface Valid argument yes no HwWALLEYE yes Specify whether whether to drop SEBEK packets or allow them to be sent outside of the Honeynet Valid argument ACCEPT DROP HwSEBEK_FATE ACCEPT Specify the SEBEK destination host IP address Valid argument IP address HwSEBEK_DST_IP 0 0 0 0 Specify the SEBEK destination port Valid argument port HwSEBEK_DST_PORT 1101 Enable SEBEK logging in the Honeywall firewall logs Valid argument yes no HwSEBEK_LOG yes Specify whether the dialog menu is to be started on login to TTY1 Valid arg
94. e hope that it will be useful but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details You should have received a copy of the GNU General Public License along with this program if not write to the Free Software Foundation Inc 59 Temple Place Suite 330 Boston MA 02111 1307 USA FERRE AE This file is the Honeywall import file aka honeywall conf It is a list of VARIABLE VALUE tuples including comments as necessary such as this and whitespace lines note DO NOT surround values in quotation marks FETE HEE EE ETE a THHHHHHHHHHHEHBHHHHHHHHHBHHHEE Site variables that are global to all honeywalls at a site THHBHHHHHHHHHHHHHHHHHHHBHHHHEE 3t Specify the IP address es and or networks that are allowed to connect to the management interface Specify any to allow unrestricted access Valid argument IP address es IP network s in CIDR notation any HwMANAGER 172 16 0 0 16 Specify the port on which SSHD will listen NOTE Automatically aded to the list of TCP ports allowed in by IPTables Valid argument TCP port O 65535 HwSSHD_PORT 22 Specify whether or not root can login remotely over SSH Valid argument yes no HwSSHD_REMOTE_ROOT_LOGIN yes NTP Time server s Valid argument IP address HwTIME_SVR THHHHHHHHHHHBHHHH
95. e la red asociada con el Honeypot Tambi n proporciona un sistema seguro de registro y da mejores opciones para asegurar a los Honeypots El Honeywall act a como un router entre la red externa y la red de Honeypots Este equipo est basado en una distribuci n de CentOS La instalaci n y configuraci n de este servidor se encuentra detallada en el ANEXO D el archivo de configuraci n puede ser revisado en el ANEXO E 3 4 1 Seguridad del Honeywall La seguridad del Gateway es de suma importancia ya que todas las actividades de administraci n y monitoreo giran en torno a ella Todos los servicios en el Gateway son absolutamente necesarios v Se ha creado un Script el cual est incluido en el crontab del servidor este env a al administrador reportes del estado del Honeywall como Nombre del sistema fecha particiones montadas tama o de las particiones procesos del sistema adem s de los log messenges e iptables Esto con el fin de ir monitoreando el estado del servidor e ir almacenado estos reportes para un posterior an lisis de alg n evento detectado En el ANEXO F se encuentra el script que permite obtener la informaci n del estado del Honeywall v Con el fin de administrar de forma remota el Gateway y el Firewall desde un cliente SSH se configur este en un puerto no est ndar para mayor seguridad v Todas las cuentas de usuario y servicios innecesarios creados para pruebas en el servidor fueron deshabilitados del sistema
96. e puede ser configurado en el Honeywall para utilizar tres conjuntos diferentes de reglas por defecto que pueden descartar drop deshabilitar disable o rechazar reject ataques conocidos El script del firewall y las reglas de Snort_Inline est n en el directorio etc Pueden ser modificados para ajustarse a las necesidades particulares de cada red trampa Ambos pueden generar registros detallados que pueden ser utilizados para an lisis y alertas Toda la actividad de Snort y Snort_Inline es registrada en var log snort DAY donde DAY es el valor num rico del d a por ejemplo se ha estandarizado YEARMONTHDAY de forma que los datos capturados el 30 de agosto de 2009 deber an estar en var log snort 20090830 Snort es un sistema de detecci n de intrusos basados en red capaz de realizar an lisis de tr fico en tiempo real y registro de paquetes en redes IP 2 2 5 POF Pasive OS Fingerprint 24 Analiza el trafico de red e intenta identificar el sistema operativo en base a parametros TCP IP 2 2 6 Swatch Simple Watcher of Logfiles 25 Investiga los archivos log del Honeywall en busca de eventos definidos mediante expresiones regulares y envia un correo al administrador si encuentra alguna actividad de red sospechosa 2 2 7 Sebek 26 Sebek es una herramienta de captura de datos que ayuda a recrear de forma fiable los eventos sucedidos dentro de un equipo trampa Es el m dulo central reside en las profundidad
97. e refer to the README sfportscan configuration options proto tcp udp icmp ip all The arguments to the proto option are the types of protocol scans that the user wants to detect Arguments should be separated by spaces and not commas scan_type portscan portsweep decoy_portscan distributed_portscan all The arguments to the scan_type option are the scan types that the user wants to detect Arguments should be separated by spaces and not commas sense level low medium high There is only one argument to this option and it is the level of sensitivity in which to detect portscans The low sensitivity detects scans by the common method of looking for response errors such as TCP RSTs or ICMP unreachables This level requires the least tuning The medium sensitivity level detects portscans and filtered portscans portscans that receive no response This sensitivity level usually requires tuning out scan events from NATed IPs DNS cache servers etc The high sensitivity level has lower thresholds for portscan detection and a longer time window than the medium sensitivity level Requires more tuning and may be noisy on very active networks However this sensitivity levels catches the most scans memcap positive integer The maximum number of bytes to allocate for portscan detection The higher this number the more nodes that can be tracked logfile filename This option specifies the file to log portscan and detaile
98. ecommended to set this to IP of the Sebek server Destination IP xU 0 s This field defines the UDP destination port to be configured in the Sebek packets This value is used by the Server to identify packets of interest Destination Port f 101 coca aan Figura 7 Configuraci n de puerto y direcciones de destino MAC IP Clic en Siguiente Sebek Configuration Wizard Magic Value ES Magic Value Sebek will hide packets with the proper magic value Specify a magic value to use Sebek packets are defined as those that have both a predetermined destination UDP port and the proper magic value If these two values match what is expected then we know this a packet to ignore NOTE Using the default magic value is a security risk because attackers can use the default to determine if they are being watched You should generate a random number and use that as your magic value However if this installation is part of a honeynet you should make all sebek installations use the same magic value Magic Value 3489560928 Random Value Figura 8 Valor m gico Obtenerlo con Random Value clic en Siguiente Sebek Configuration Wizard Network Configuration ES Network Configuration Sebek logs all data it collects to a central server Please specify the network interface sebek will use to send the collected data Please specify the interface sebek will send data on This interface should be able to
99. es del sistema operativo y registra todas las actividades del atacante Es una herramienta cliente servidor que en el lado del cliente se puede ejecutar en plataformas Linux y Windows la instalaci n de esta herramienta puede ser revisada con m s detalle en el ANEXO C El principal objetivo de esta herramienta es determinar informaci n como cu ndo consigui entrar el intruso c mo lo hizo y qu hizo despu s de conseguir acceso Con esta informaci n se puede determinar qui n es el intruso cu les son sus motivos y con qu trabaja Para determinar qu hizo el intruso despu s de su acceso es importante tener los datos que proporcionan las pulsaciones de teclado del mismo y el impacto de su ataque Entre sus principales prop sitos podr amos mencionar los siguientes Registrar todo o parte de los datos accedidos por los usuarios del sistema Registrar pulsaciones de teclas en una sesi n cifrada Recuperar archivos copiados con SCP Capturar contrase as utilizadas para entrar en sistemas remotos Recuperar contrase as usadas para habilitar binarios protegidos con Burneye NN KN SNS SS Cumplir con otras tareas relacionadas con el an lisis forense 12 SCP Secure Copy es un comando de Linux que permite copiar ficheros entre dos m quinas ofrece la misma seguridad que el SSH en la transmisi n encriptada de datos Las primeras versiones de Sebek fueron desarrolladas para recolectar las pulsaciones de teclas directamente
100. es que se encuentran involucradas en la investigaci n de la seguridad en las redes 1 3 2 UBICACI N DE LOS HONEYPOTS EN LA RED Los Honeypots pueden ser ubicados en distintas partes sobre la red esto depender de los requerimientos que tenga la organizaci n Seg n 15 tenemos las siguientes ubicaciones sobre la red 1 3 2 1 Honeypots antes del firewall Esta ubicaci n es la menos riesgosa para la red ya que se encuentra fuera de la zona protegida por el firewall puede ser atacado sin ning n tipo de peligro para el resto de la red La Figura 3 indica el esquema de este tipo de ubicaci n de un Honeypot VLAN 8 Cwwrerner D SWITCH Nivel 3 UIM VLAN 3 EE TV X VLAN 2 i VLAN 7 i VLAN 6 LAN VLAN 5 Soon See DMZ VLAN 4 7 a 1 T T a WIRELESS VLAN 1 L L T T SERVIDORES DATOS CRITICOS wan Figura 3 Ubicaci n de un Honeypot antes del firewall 15 Esta ubicaci n permite Y Tener un acceso directo a los atacantes y obtener informaci n real de su comportamiento y estad sticas fiables sobre la cantidad y calidad de ataques que puede recibir nuestra red v Evitar las alarmas de otros sistemas de seguridad de nuestra red IDS al recibir ataques en el Honeypot Existe el peligro de generar mucho tr fico debido a la facilidad que ofrece el Honeypot para ser atacado v Evitar la detecci n de atacantes internos 7 Firew
101. esaria para montar este proyecto debido a los requerimientos m nimos de hardware y software para la implementaci n No existe soporte a problemas por parte de otras organizaciones que llevan estos proyectos para el despliegue de una red trampa y los que existen no proporcionan ayuda real ya que al poner el sistema en producci n se experimentaron algunos inconvenientes con las aplicaciones y no se tuvo repuesta inmediata Quedan documentadas todas las acciones a seguir para solventar estos eventos Al inicio de este proyecto no se logr establecer relaciones colaborativas con instituciones locales que llevaban el tema de investigaci n similar finalmente se tuvieron lagunos intercambios de informaci n Los datos suministrados por la Honeynet demuestran resultados que aportan a la seguridad a los administradores de red Los resultados obtenidos se contrastaron con los datos reales generados de los quipos de seguridad de la red de la UTPL resultando comportamientos que coinciden con los del tr fico de la UTPL y otros que deben ser tomados en cuenta para ser analizados por el administrador de la red y tomar acciones de tipo proactivo y preventivo adem s de permitir validar su estado de seguridad actual El tr fico recolectado en la Honeyntet que se ha reportado ha sido en los siguientes protocolos y los que m s actividad generaron son NETBIOS HTTP TELNET DNS DAYTIME El an lisis de datos demuestra que la mayor cantidad de tr fico ha si
102. etc Cambiar la contrase a de acceso al servidor constantemente para evitar accesos no autorizados Respaldar y extraer los logs del servidor Especialmente messages e iptables esto como medida de precauci n por si sufre alg n da o el disco adem s por la raz n que estos archivos van aumentando de tama o d a a d a y al existir gran cantidad de tr fico que se registra en los logs puede que el disco se llene en su totalidad El mismo proceso se debe realizar con los archivos Pcaps que se almacenan en el servidor y utilizan gran capacidad en disco CAPITULO IV RECOLECCION DE DATOS Y ANALISIS DE TRAFICO 4 1 INTRODUCCI N En esta secci n se mostrar una descripci n de la naturaleza y el tipo de ataques que la Honeynet ha registrado Se han recolectado datos suficientes como para demostrar que las computadoras conectadas a internet no est n a salvo de los atacantes en cualquier lugar que un equipo este en l nea ser victima de sondeos escaneos y ataques 4 2 HERRAMIENTAS DE AN LISIS DE DATOS UTILIZADAS Para realizar el an lisis de datos se han utilizado herramientas que poseen caracter sticas muy ventajosas para lograr el cometido de esta fase Las herramientas utilizadas con algunas de sus caracter sticas se describen en la Tabla 4 las mismas que en el cap tulo IV se describieron con mayor detalle Tabla 4 Herramientas de an lisis HERRAMIENTA CARACTER STICAS Y Presenta
103. etwork China 38 CHINANET Yunnan province network China 27 CHINANET Anhui province network China 25 218 75 199 50 CHINANET HN Zhuzhou node network China 21 211 99 122 18 Jinan Dadu Hotel China 17 61 139 54 94 Beelink Information Science amp China 17 59 80 95 35 Beelink Information Science amp china 12 WLMQ NONGJITUIGUANG China 11 ChinaNet Guangdong Province Network China 10 CNC Group AnHui province network China 10 202 101 180 165 Jinhua Telecommunication Co td China 9 Kuatang Primary School of Suzhou 218 4 149 124 Industrial Park China 7 CHINANET Jiangxi province network China 7 Qwest Communications EEUU 6 89 34 153 157 SC UNDERNET SRL Rumania 6 CHINANET Hubei province network China 5 218 204 127 186 Ina Mole Communications China 5 Corporation jiangxi 210 217 174 37 KRNIC Corea 5 Alertas 2 y 3 Y NETBIOS SMB DS IPC unicode share access 2 Y NETBIOS SMB DS srvsvc NetrPathCanonicalize unicode little endian overflow attempt 3 La alerta 3 est catalogada como alerta de Prioridad 1 hace referencia a la vulnerabilidad CVE 2006 3439 y al bolet n MS06 040 Ver Anexo 4 Vulnerabilidades Encontradas El bolet n MS06 040 corresponde a una vulnerabilidad en el servicio de servidor el impacto la ejecuci n de c digo remoto se recomienda bloquear los puertos Netbios Alerta 4 WEB IIS view source via translate header Esta alerta de acuerdo a Snort sta clasificada como Acceso a una aplicaci n web
104. eypots but they cant send packets out THHHHHHHHHHHE if HWROACHMOTEL_ENABLE no J then Moved the following block to this location should be subject to ROACHMOTEL mode If we selected to restrict the firewall lets implement it here if S HwRESTRICT yes then for port in HwALLOWED_TCP_OUT do iptables A OUTPUT p tcp dport port m state state NEW ESTABLISHED RELATED j ACCEPT done for port in HwALLOWED_UDP_OUT do iptables A OUTPUT p udp dport port m state state NEW ESTABLISHED RELATED j ACCEPT done else Change default to accept all outbound packets iptables P OUTPUT ACCEPT fi for host in LIMIT_IP do TCP This next rule is the connection limiter If it has not exceeded the limit the packet will be sent to the tcpHandler The tcpHandler will log and either QUEUE or ACCEPT depending on the Architecture selected NOTE The purpose of the drop rule is to ensure we can catch other protocols that enter our network If this statement is not here we will get false log entries stating Drop other gt xxx connections FH HHH HH od if HWTCPRATE gt 0 then iptables A FORWARD p tcp m physdev physdev in HwLAN_IFACE V m state state NEW m limit limit HwTCPRATE HwSCALE limit burst HwTCPRATE s host j tepHandler iptables A FORWARD p tcp m physdev physdev in HwLAN_IFACE V m state state NEW m limit limit 1 HwSCALE limit
105. fecto el sistema Honeywall el administrador debe elegir una contrase a m s segura Figura 24 Confirmaci n de cambio de password Figura 25 Ingreso de nuevo password Figura 26 Confirme el password ingresado Figura 27 Confirmaci n de password cambiado 6 2 Ingrese una lista de puertos TCP permitidos para la interfaz de administraci n por defecto est incluido SSH Figura 28 Ingreso de puertos TCP 6 3 Ingrese el rango de direcciones IP que pueden tener acceso a la administraci n Figura 29 Ingreso de rango de direcciones IP 6 4 Elija yes para habilitar la interfaz web de administraci n Figura 30 Confirmaci n para habilitar interfaz web 6 5 Confirme las restricciones al firewall Figura 31 Confirmaci n para restricciones de firewall 6 6 Ingrese la lista de puertos TCP necesarios de salida Figura 32 Ingreso de puertos permitidos TCP para salida 6 7 Ingrese la lista de puertos UDP necesarios de salida Figura 33 Ingreso de puertos permitidos UDP para salida 6 8 Ha finalizado la 2da secci n de la configuraci n del sistema Honeywall Figura 34 Confirmaci n de finalizar la 2da secci n de configuraciones 7 CONFIGURACION DEL LiMITE DE CONEXIONES PERMITIDAS 7 1 Se especifica el limite de conexiones por unidad de tiempo segundo minuto hora d a y mes y tambi n por protocolos Figura 35 Especificaci n del l mite de conexiones Figura 3
106. go 10 Communication with Destination Host is Administratively Prohibited cuando este error es generado en el host destino significa que la direcci n IP no puede enviar el datagrama debido a que el puerto del proceso indicado no est activo Alerta 2 Y ICMP PING CyberKit 2 2 Windows 2 Esta alerta indica una mayor investigaci n sobre la exploraci n de posibles escaneos de host infectados con el worm Welchia nachi De acuerdo a Snort sta alerta no es m s que una solicitud normal de eco ICMP procedente de la herramienta de Windows CyberKit La alerta que da el Snort es de prioridad 2 en los archivos revisados no hay indicios de alg n virus lo que lleva a la conclusi n de que es un falso positivo y que tiene que ver con una solicitud normal de eco ICMP El paquete obtenido es O7 23 12 44 29 950798 0 1F 9D 94 1D 44 gt 0 40 C9 D3 46 44 type 0x800 len x4E 201 57 19 11 gt 200 0 30 50 ICMP TTL 116 TOS 0x0 ID 27006 IpLen z Domben 64 Type 8 Code O ID 512 Seq 10300 ECHO AL AA AL AL LA DA RA AA Ad AA AA AA BA AQ AL AA AL BR AL AA AA AA BA AA AA AA AA AA LA AA Ag AA AL BR AA rm SSS ee ee ee ee eee Figura 8 Paquete Decodificado Snort Alerta ICMP PING Cyberkit 2 2 Windows Esta alerta es una alerta ICMP de tipo 8 y de c digo 0 el mismo que es utilizado para determinar si una direcci n IP de destino est o no activa esto solamente enviando una solicitud de eco ICMP ti
107. header one byte is checked for DCE RPC version 5 and another for the type 3 DCE RPC Request If both match the preprocessor proceeds with that assumption that it is looking at DCE RPC data If subsequent checks are nonsensical it ends processing DCERPC has numerous options available please read README dcerpc for help configuring options THHHHE Per Step 2 set the following to load the dcerpc preprocessor dynamicpreprocessor full path to libsf dcerpc preproc so or use commandline option dynamic preprocessor lib full path to libsf_dcerpc_preproc so gt preprocessor dcerpc V autodetect V max frag size 3000 memcap 100000 The dns preprocessor currently decodes DNS Response traffic and detects a few vulnerabilities DNS has a few options available please read README dns for help configuring options THHHER Per Step 2 set the following to load the dns preprocessor dynamicpreprocessor full path to libsf dns preproc so or use commandline option dynamic preprocessor lib full path to libsf dns preproc so preprocessor dns ports 53 enable rdata overflow THHHEHHHHHHHBHHHHHHHHBHHHBHHHHHHHHBHHHHHHBHHHHHHBHHHHHHBHHHBHHBHHHHBHHBHHHHHBE Step 4 Configure output plugins Uncomment and configure the output plugins you decide to use General configuration for output plugins is of the form output lt name_of_plugin gt lt configuration_optio
108. hen the fragmented sizes exceed the current packet size no_alert_incomplete don t alert when a single segment exceeds the current packet size preprocessor rpc_decode 111 32771 bo Back Orifice detector d Detects Back Orifice traffic on the network arguments syntax preprocessor bo noalert client server general snort attack drop client server general snort_attack example preprocessor bo noalert general server drop snort_attack The Back Orifice detector uses Generator ID 105 and uses the following SIDS for that GID SID Event description 1 Back Orifice traffic detected 2 Back Orifice Client Traffic Detected 3 Back Orifice Server Traffic Detected 4 Back Orifice Snort Buffer Attack preprocessor bo telnet_decode Telnet negotiation string normalizer This preprocessor normalizes telnet negotiation strings from telnet and ftp traffic It works in much the same way as the http_decode preprocessor searching for traffic that breaks up the normal data stream of a protocol and replacing it with a normalized representation of that traffic so that the content pattern matching keyword can work without requiring modifications This preprocessor requires no arguments DEPRECATED in favor of ftp_telnet dynamic preprocessor preprocessor telnet_decode ftp_telnet FTP amp Telnet normalizer protocol enforcement
109. i n del sistema operativo mediante el env o de paquetes IP espec ficamente construidos sobre los Honeypots revel ndole al atacante la virtualizacion de los sistemas 33 1 2 6 PROBLEMAS LEGALES CON LA HONEYNET La creaci n de una Honeynet trae consigo algunos problemas En este tem se trata sobre los retos que se deben asumir al implantar una Honeynet 1 2 6 1 Implicaciones Legales La supuesta tentativa generada por el uso de Honeypots es uno de estos problemas Se podr a pensar que el hecho de colocar un equipo en la red con la finalidad de que sea comprometido puede ser tomado como tentativa para comprometer otros sistemas y fomentar la actividad maliciosa sobre la red es decir se habilita el medio por el cual el intruso puede atacar a otros sistemas sin embargo esto no es cierto 14 ya que la informaci n obtenida de los Honeypots es utilizada para un fin de investigaci n es por ello que no se estar a incurriendo en el art culo 58 de la Ley de comercio Electr nico del Ecuador 17 De acuerdo a las Reformas de C digo Penal este art culo dice Art 58 A continuaci n del art culo 202 incl yanse los siguientes art culos innumerados Art El que empleando cualquier medio electr nico inform tico o af n violentare claves o sistemas de seguridad para acceder u obtener informaci n protegida contenida en sistemas de informaci n para vulnerar el secreto confidencialidad y reserva o simplemente vul
110. i n importante que se realiza es la prueba del funcionamiento del Honeywall su conectividad y captura de datos a continuaci n en la Tabla 3 el Check List de los pasos a comprobar Tabla 3 CHECK LIST Ejecuci n del Honeywall RESULTADO SECUENCIA DESCRIPCI N REALIZADO NO REALIZADO Inicializaci n de servicios del Honeywall Walleye Snort Sebek Pof Swatch Argus Conectividad entre los Honeypots y el Honeywall Conectividad entre los Honeypots con el Internet Registro en los logs Sebek est realizando captura de datos en los honeypots 6 Tepdump est capturando tr fico de red Walleye este activado y sea accesible via HTTPS Walleye regsitre y visualice actividad del sistema Honetwall env a mensajes de alerta 3 9 PROBLEMAS Y AJUSTES En la actualidad en el proyecto Honeynet UTPL se est trabajando con Honeypots dentro de la red universitaria desde el a o 2008 estos resultados servir n para estudiar y las t cnicas t cticas y motivos de los atacantes tambi n permite contar con un mecanismo adicional en el monitoreo de la red as como ser un recurso insustituible en las actividades acad micas y de investigaci n Para lograr esta estabilidad se fueron corrigiendo algunos detalles de configuraci n e implementaci n de hardware y software en el equipo Honeywall 3 9 1 Puesta en marcha de la interfaz Walleye La puesta en marcha de la interfaz Walleye fue uno de los primeros inconvenie
111. iables as of Wed Jul 22 16 39 16 GMT 2009 HwHFLOW_DB 3 HwSENSOR_ID 945782425 ANEXO F Imagen del Honeywall bin bash hostname gt gt imagen date R gt gt imagen fdisk 1 gt gt imagen df Th gt gt imagen ps aux gt gt imagen route nee gt gt imagen cp var log messages paso cat paso gt gt imagen cp var log iptables paso cat paso gt gt imagen cp etc hosts deny paso cat paso gt gt imagen cp etc hosts allow paso cat paso gt gt imagen
112. ick Next to continue Figura 1 Pantalla de inicio de instalaci n de Sebek Clic en Next y Sebek 3 0 3 0 Setup OBS Choose Install Location Choose the folder in which to install Sebek 3 0 3 0 a Setup will install Sebek 3 0 3 0 in the Following Folder To install in a different Folder click Browse and select another folder Click Install to start the installation Destination Folder C WINDOWS system32 drivers Space required 0 0KB Space available 10 9GB Nullsoft Install System v2 06 Figura 2 Directorio donde se instalar Sebek Clic en Install sv Sebek 3 0 3 0 Setup Installing Please wait while Sebek 3 0 3 0 is being installed Ba Output folder C WINDOWS system32 drivers Show details y Sebek 3 0 3 0 S X e J DriverName is sebek Nullsoft Install System v2 06 lt Back Next gt Cancel Figura 3 DriverName Clic en Aceptar Completing the Sebek 3 0 3 0 Setup Wizard Sebek 3 0 3 0 has been installed on your computer Click Finish to close this wizard Figura 4 Instalaci n completa de Sebek Clic en Finish 2 CONFIGURACION DE LAS VARIABLES Ahora hay que configurar Sebek antes de reiniciar el equipo de lo contrario no funcionara correctamente Sebek Configuration Wizard Welcome Welcome to the Sebek Configuration Wizard This wizard helps you create a configuration for Sebek With this wizard you will Select a Des
113. if cil de detectar por cuanto no hay enrutamiento de tr fico ni decrementos en el tiempo de vida TTL adem s el dispositivo est m s oculto as que los atacantes no sabr n que su tr fico est siendo analizado y controlado La segunda ventaja es que como pasarela todo tr fico entrante o saliente debe pasar a trav s del dispositivo de esta forma podemos capturar y controlar tanto el tr fico entrante como el saliente desde un nico dispositivo Tanto el control del flujo de datos como la captura de datos estar n bajo herramientas libres como sniffers alarmas y scripts para bloqueo y control de ataques Todo esto estar corriendo sobre una distribuci n Linux que soporte funciones de puente lo cual con Iptables es muy sencillo y eficiente de implementar Tres computadoras fueron necesarias para empezar la Honeynet por lo que una se configur como un equipo Gateway Honeywall otro como un Honeypot Linux y el otro como un Honeypot Windows Otro equipo fuera de la red se utiliz adicionalmente para acceder y administrar remotamente 3 4 EL GATEWAY HONEYWALL Este computador es cr tico en el funcionamiento de la Honeynet Es la puerta de entrada a la red y tambi n sirve como un servidor de seguridad sistema de detecci n de intrusos y servidor de logs Tiene una puerta de enlace para los Honeypots ayuda mucho en el sentido de que permite filtrar el tr fico y la hace f cil de monitorear y administrar toda la actividad d
114. in tener que establecer comunicaci n de antemano El punto clave en el control de datos es la automatizaci n Suponga que un Honeypot es comprometido a las 2 de la ma ana y se lanza un ataque DoS Denegaci n de Servicios hacia un equipo fuera de la Honeynet Para cuando el administrador revise el estado de las bit coras el da o estar hecho y seguro tendr a problemas por ello Una idea pr ctica de llevar un control de datos adecuado es el verificar en el tr fico de salida la configuraci n de banderas en conexiones TCP Transmission Control Protocol o el n mero de paquetes UDP User Datagram Protocol que salen de un Honeypot de igual manera habr que verificar el tr fico ICMP Internet Control Message Protocol en caso de que se utilice para ataques de DoS p e Smurf Cuando se exceda un umbral predefinido podr amos agregar una regla al firewall para que impida m s tr fico desde el Honeypot y enviar una alerta al administrador ya sea por correo electr nico o por cualquier otro medio para informarle de dicho suceso 6 1 2 3 2 Captura de Datos El siguiente paso para la construcci n de una Honeynet es instalar alg n tipo de herramienta que capture la actividad del sistema Sebek se utilizar para registrar los detalles de las conversaciones entre los atacantes y la Honeynet El objetivo de este paso es recolectar la mayor cantidad de informaci n tanto de las amenazas que atentan contra la red Honeynet as como de cu
115. ismo de alerta temprana la tarea mayor de un Honeypot es supervisar toda la actividad il cita del intruso en el dicho sistema Caracter sticas Y La informaci n que se genera es de gran valor la misma que se utiliza para desarrollar m todos preventivos para evitar estos ataques Y Dispone de nuevas herramientas y t cticas que son dise adas para capturar el tr fico que interact a con ellos con esto se provee un alto grado de detecci n de intrusos y de esta forma se evita que se den falsos positivos es decir alertas falsas Y Tiene la capacidad de recopilar informaci n de manera detallada de los intrusos internos y externos lo que permite detectar potenciales riesgos sobre la red Y Se requiere de una direcci n IP p blica como m nimo para su funcionamiento 1 1 3 TIPOS DE HONEYPOTS 1 1 3 1 Por su Funci n Honeypots de Producci n Este tipo de Honeypot es dise ado principalmente para la seguridad y defensa de las redes No han sido dise ados para recoger informaci n sobre las actividades de hacking se implementa de manera colateral a las redes de datos o infraestructuras en ambientes reales y son utilizados para proteger a las organizaciones Este tipo de Honeypot est sujeto a ataques constantes Actualmente a este tipo de Honeypot se le da mas importancia debido a las herramientas de detecci n que se pueden utilizar asi como tambi n por la forma de c mo este tipo de Honeypot puede mejorar la protecci n en
116. ja ya que implica la utilizaci n de sistemas operativos y aplicaciones reales montados en hardware real sin la utilizaci n de software de emulaci n e involucrando aplicaciones reales que se ejecutan de manera normal Con este tipo de Honeypot se tiene la posibilidad de capturar grandes cantidades de informaci n referentes al modus operandi de los atacantes debido a que los intrusos se encuentran interactuando frente a un sistema real Los Honeypots de Alta Interacci n no asumen responsabilidad sobre el comportamiento que tendr el atacante ya que se provee de un entorno abierto que captura todas las actividades realizadas adem s ofrece una amplia gama de servicios aplicaciones y dep sitos de informaci n que pueden servir como blanco potencial para aquellos servicios que se desea comprometer Esta capacidad tambi n incrementa el riesgo de que los atacantes puedan utilizar estos sistemas como entradas para lanzar ataques a sistemas internos que no forman parte de los Honeypots Una Honeynet 13 es un Honeypot de Alta Interacci n Entre algunos ejemplos de Honeypots de Alta Interacci n tenemos 1 ManTrap 14 Puede crear software jaula y simular una red virtual de una m quina Para ello emula una variedad de diferentes m quinas FTP HTTP SMTP ODBC en una sola ManTrap de acogida Este Honeypot es configurable para enviar una gran variedad de alertas a cualquier direcci n e mail o a un dispositivo con capacid
117. la 8 N mero de accesos por Protocolo TCP Puertos TCP julio Total 445 microsoft ds 1363190 1392321 daytime 21298 21298 80 htp 110 14217 tcpmux 9458 9458 ident 113 0 3302 22 ssh 0 1717 1433 ms sql s 82 956 135 epmap 49 708 2967 ssc agent 0 674 23 telnet 0 482 netbios ssn 139 59 59 25 smtp 43 43 Total de Accesos por los Puertos TCP 1600000 1400000 1200000 1000000 800000 600000 400000 200000 0 445 micr dayti 80 tcpm ident 22 osoft me htp ux 113 ssh ds Bi Totall 1E 0 2129 1421 9458 3302 1717 o o ov o 2 3 E E Figura 5 Muestras de accesos hacia los puertos TCP durante la etapa 2 Tabla 9 N mero de accesos por Protocolo UDP Puertos UDP Mayo 138 netbios dgm 1770 53 domain 1135 137 netbios ns 138 1434 ms sql m 155 Total de Accesos por los puertos UDP ld Total 1851 486 138 netbios dgm 53 domain 137 netbios ns 1434 ms sql m Figura 6 Muestras de accesos hacia los puertos UDP durante la etapa 2 Las alertas obtenidas durante estos meses suman un total de 29069 alertas estas se han dividido en dos partes el primer grupo de alertas corresponde a Tabla 10 Alertas ICMP recibidas 1 bloque Alertas ICMP Descripcion Mayo Total ICMP Destination Unreachable Communication Administratively 0 21110 Prohibited 1 ICMP PING Cyberkit 2 2 Windows
118. la UTPL que han accedido a los Honeypots son RRA 200 0 29 83 200 0 30 40 200 0 29 66 200 0 29 3 Existen algunas paginas que permiten conocer a quien pertenece una determinada direcci n IP las paginas que se han utilizado son 4 ARIN WHOIS Database Search https ws arin net whois queryinputz218 63 198 93 LACNIC Latin American and Caribbean Internet Addresses Registry http lacnic net cgi bin lacnic whois lg EN APNIC Query the APNIC Whois Database http wq apnic net apnic bin whois pl What is my ip address http whatismyipaddress com staticpages index php lookup results Para saber si las direcciones se encuentran en las listas negras en la p gina What is my ip address hay una secci n en la que se presenta si la direcci n est reportada en listas negras La direcci n 200 0 29 3 de acuerdo a esta p gina est reportada en las siguientes listas negras S XS nsbl sorbs net cbl abuseat org xbl spamhaus org web dnsbl sorbs net CBL Lookup Utility Note Automated scripted bulk lookups are forbidden Enter an IP address Lookup IP Address 200 0 29 3 is currently listed in the CBL It was detected at 2009 08 19 17 00 GMT 30 minutes approximately 2 days 5 hours ago There will usually be a link to self remove this IP from the CBL at the end of this page but read the following text first ATTENTION at the time of detection this IP was infected with or NATting for a computer infected
119. la interfaz por defecto se elige la eth2 Figura 14 Ingreso del nombre de la interfaz Figura 15 Confirmaci n de interfaz 4 10 Ingrese la direcci n IP para la interfaz de administraci n esta direcci n se utiliza para conectarse remotamente y tener acceso a la interfaz web que servir para monitorear la activad de la Honeynet Figura 16 Ingreso de direcci n IP Interfaz de administraci n 4 11 Ingrese la mascara de red para la interfaz de administraci n Figura 17 Ingreso de m scara de red Interfaz de administraci n 4 12 Ingrese la direcci n Gateway para la interfaz de administraci n Figura 18 Ingreso de Gateway Interfaz de administraci n 4 13 Elija un nombre para su sistema Figura 19 Ingreso del hostname Interfaz de administraci n 4 14 Ingrese la direcci n del servidor DNS si posee m s de una direcci n debe escribirlos separados por un espacio Figura 20 Ingreso de IP s del servidor DNS Interfaz de administraci n 4 15 Confirme la activaci n de la interface de administraci n nent Interface Figura 21 Confirmaci n de interface Interfaz de administraci n 5 CONFIGURACION SSH 5 1 Confirme el mensaje de que desea configurar SSH Figura 22 Confirmaci n para la configuraci n de SSH Figura 23 Confirmaci n para permiso remoto 6 CAMBIAR EL PASSWORD DE LOS USUARIOS 6 1 Es necesario cambiar las contrase as que trae por de
120. lisis de datos obtenidos en la HONeyNet ooocococcccccccococcncncoconinancnnon 4 4 N mero de accesos por protocolo ssssss ee eeeeeeeeaeeees 4 5 N mero de accesos por puertos cssssssssssse m 4 6 Direcciones de IP origen ssssssssssss me 4 7 Alertas Tec tad 4 7 1 4 7 2 4 7 3 Alertas OE a A IIR In meme eme a ens Otras alerlas e s eV EM ince Direcci n IP de alertas 2 errore poten otl DISCUSION CONCLUSIONES RECOMENDACIONES Y TRABAJOS FUTUROS A a eer s Aa p eR ado dese BIBLIOGRAFIA 0 cccccccccccccucccccccccececauceecccueccccecucceeeauecessaneseecens ANEXOS 42 44 44 44 45 45 46 47 50 50 51 51 54 58 59 59 61 62 64 71 75 I INTRODUCCI N En la actualidad los ataques a las redes de computadoras y los incidentes informaticos se incrementan dia a dia en mayor numero y con mayor grado de eficacia en sus objetivos La tarea principal que se ha venido realizando es la constante defensa en contra de ataques que pongan en riesgo los sistemas criticos de las organizaciones Algunos de los m todos de seguridad actuales todavia utilizados son las practicas de actualizaci n de antivirus infraestructuras que incluyen Firewalls IDS VPN etc que son tareas de defensa que son validas pero no alcanzan a mantener una seguridad altamente confiable ademas dejando a un lado la capacidad proactiva que puede ayudar en un grado considerable a la seguridad
121. los pues estas no capturan informaci n relacionada a ataques destinados hacia otros sistemas vecinos a menos que el atacante o la amenaza interact e con el Honeypot al mismo tiempo Y Los Honeypots pueden llegar a constituir un riesgo potencial para la red esto debido a la atracci n que se genera a los posibles atacantes es por ello que si no se configura adecuadamente el alcance del Honeypot y se lo convierte en un entorno controlado y cerrado puede ser utilizado como punto de inicio para ataques a otras redes o incluso a la misma red V El valor de un Honeypot termina cuando es detectado una vez que este ha sido detectado el intruso podr evitarlo o incluir informaci n err nea que desv e toda IDS Intrusion Detection System Un sistema de detecci n de intrusos es un programa usado para detectar accesos desautorizados a un computador o a una red 3 IPv6 es la versi n 6 del Protocolo de Internet un est ndar en desarrollo del nivel de red encargado de dirigir y encaminar los paquetes a trav s de una red Logs son registros oficiales de eventos durante un periodo de tiempo en particular investigaci n Todo Honeypot es detectable ya que existen intrusos con los suficientes conocimientos para ello solo es cuesti n de tiempo y paciencia 1 2 HONEYNETS 1 2 1 INTRODUCCI N Este cap tulo contiene datos generales de lo que es una Honeynet sus requerimientos cr ticos como el control y la captura de datos Se evalu
122. lt char ASBCZ gt V cmd validity MDTM lt date nnnnnnnnnnnnnn n n n string gt V chk str fmt USER PASS RNFR RNTO SITE MKD V telnet cmds yes data chan preprocessor ftp telnet protocol ftp client default max resp len 256 V bounce yes telnet_cmds yes smtp SMTP normalizer protocol enforcement and buffer overflow This preprocessor normalizes SMTP commands by removing extraneous spaces It looks for overly long command lines response lines and data header lines lt can alert on invalid commands or specific valid commands It can optionally ignore mail data and can ignore TLS encrypted data SMTP has numerous options available please read README SMTP for help configuring options THHHER Per Step 2 set the following to load the smtp preprocessor dynamicpreprocessor full path to libs smtp preproc so or use commandline option dynamic preprocessor lib full path to libsf smtp preproc so preprocessor smtp ports 25 inspection_type stateful normalize cmds normalize _cmds EXPN VRFY RCPT JV alt max command line len 260 MAIL V alt max command line len 300 RCPT V alt max command line len 500 HELP HELO ETRN JA alt max command line len 255 EXPN VRFY 3t sfPortscan 3t Portscan detection module Detects various types of portscans and portsweeps For more information on detection philosophy alert types and detailed portscan information pleas
123. ma seria el planteado en la Figura 7 Gateway 3 interfaces Administraci n del Honeypot SO Windows Servicios IIS Software HoneyPot FTP Chente Sebek Proxy Software HoneyPot Cliente Sebek Red de Producci n UTPL Figura 7 Esquema de la red Honeynet para la UTPL CAP TULO II ESTUDIO DEL SOFTWARE PARA LA HONEYNET ACTUAL 2 1 INTRODUCCI N En este cap tulo se describen las todas herramientas necesarias y que se utilizan para el control captura y an lisis de tr fico en la Honeynet El estudio de estas herramientas es fundamental para la obtenci n de datos principalmente ya que gracias a estos resultados se puede realizar el an lisis para determinar qu es lo que hacen los intrusos al acceder a la red 2 2 HERRAMIENTAS HONEYWALL El Honeywall CDROM es un CD de arranque que contiene todas las herramientas para crear y utilizar una Honeynet Est basado en una versi n reducida de Linux y est dise ado para ser utilizado como aplicaci n Contiene herramientas para gestionar el Honeywall monitorizar la red y registrar las actividades del atacante las cuales incluyen 2 2 1 FIREWALL IPtables 20 Iptables es un firewall que proporciona la funcionalidad de filtrado de paquetes traducciones de direcciones de red NAT Iptables se configur para permitir transmitir paquetes entre las dos interfaces de red del Honeywall La primera interfaz que conecta a la red exterior y la segunda interfa
124. mments above iptables A icmpHandler j LOG log level debug log prefix OUTBOUND ICMP if HWQUEUE yes then iptables A icmpHandler j QUEUE fi iptables A icmpHandler j ACCEPT otherHandler see tcpHandler comments above iptables A otherHandler j LOG log level debug log prefix OUTBOUND OTHER if HWQUEUE yes then iptables A otherHandler j QUEUE fi iptables A otherHandler j ACCEPT THHHHHHHHHHHHHHHHHHEHHHHHHHHHHBE end the roach motel mode check fi FER RRA RA ARANA AAA AAAAAAA AAA create_pidfile action Starting up Firewall bin true return 0 stop flush default_policy localhost_policy Disable ip_forward echo 0 gt proc sys net ipv4 ip_ forward delete_pidfile action Stopping Firewall bin true return 0 checkconfigured if hw isconfigured eq 0 then echo 1 return 1 else echo 0 return O fi Begin main body case 1 in start if checkconfigured eq 0 then start fi stop if S checkconfigured eq 0 then stop fi restart if isactive eq 1 then stop fi start initial initial action Loading initial firewall rules bin true lockdown lockdown action Loading lockdown firewall rules bin true status if isactive eq 1 then echo 0 is active exit 0 else echo 0 is not active exit 1 5 echo Usage 0 start stop restart initial st
125. mo potencial trafico malicioso tiene prioridad 2 y hace referencia a la vulnerabilidad CVE 1999 0265 Be EX dew So Care Andyce Bastis Telephony Took Heb CA EXZ gt 2 F it sonuscallsig 2569 Dst Port microsoft ds 445 Figura 10 Data Wireshark Alerta ICMP Redirect host C digo 0 Hedirect net Redirecciones el datagrama para la red significa que indica al host que debe cambiar la direcci n del enrutador que le fue predeterminado o indica que debe cambiar la direcci n a otra subred al igual que la alerta anterior hace referencia a la vulnerabilidad CVE 1999 0265 de EX Wee Go Cabre ahe Sass Telephonw Jools Hep W a die O ES e sg Figura 11 Data Wireshark Alerta ICMP Redirect net El posible abuso de estas alertas es que un usuario con malas intenciones pueda cambiar la tabla de routing de un host para redireccionar el tr fico y as cortar la comunicaci n Los puertos origen de las alertas presentadas en el primer grupo son el TCP 445 daytime y tcpmux lo que se puede contrastar con las estad sticas referentes al total de accesos por los puertos TCP La mayor parte de estas alertas son catalogadas como falsos positivos la soluci n consiste en revisar las alertas configuradas por defecto en el Snort La mayor parte de las alertas presentadas en el primer grupo son alertas ICMP este tipo de alertas son enviadas en varias situaciones como las que se han presen
126. n lisis 1 2 8 T CNICAS DE ENGA O La inclusi n de t cnicas de enga o evita que los atacantes se den cuenta de c mo y de qu forma exacta pueden hacernos da o A continuaci n se exponen algunas t cnicas y su funcionamiento 1 2 8 1 Symantec Decory Server Man Trap 14 Este producto presenta una alternativa innovadora a los planteamientos convencionales de software basados en tecnolog a Honeynet Permite instalar sobre un Unico sistema operativo hasta cuatro sistemas operativos que se presentan al usuario como m quinas independientes en la red Cada uno de los sistemas operativos que se instalan sobre el sistema operativo base son completamente funcionales en el sentido de que una vez comprometidos el atacante puede acceder al sistema de ficheros e interactuar con los procesos que corren en l No obstante ninguna de las acciones que lleva a cabo en el equipo virtual comprometido afectan al sistema operativo base El propio producto se encarga de establecer una s lida pol tica de privilegios que impide el compromiso total o parcial del equipo en el que se ejecuta de hecho este equipo es invisible para el atacante Con objeto de proporcionar un mayor grado de realismo a la virtualizaci n cada uno de estos sistemas operativos utiliza una interfaz de red diferente a la del equipo en el que se ha instalado el producto 1 2 8 2 Decepci n Toolkit DTK 18 DTK fue el primer Honeypot OpenSource publicado en
127. n ttl number minimum ttl to accept will cause false positves with router flap Frag2 uses Generator ID 113 and uses the following SIDS for that GID SID Event description 1 Oversized fragment reassembled frag gt 64k bytes 2 Teardrop type attack preprocessor frag2 frag3 Target based IP defragmentation Frag3 is a brand new IP defragmentation preprocessor that is capable of performing target based processing of IP fragments Check out the README frag file in the doc directory for more background and configuration information Frag3 configuration is a two step process a global initialization phase followed by the definition of a set of defragmentation engines Global configuration defines the number of fragmented packets that Snort can track at the same time and gives you options regarding the memory cap for the subsystem or optionally allows you to preallocate all the memory for the entire frag3 system frag3_global options max frags Maximum number of frag trackers that may be active at once Default value is 8192 memcap Maximum amount of memory that frag3 may access at any given time Default value is 4MB prealloc_frags Maximum number of individual fragments that may be processed at once This is instead of the memcap system uses static allocation to increase performance No default value Each preallocated fragment eats 15
128. ndernet org 161 Borning Lordx Borning users undernet org 133 Born2Love born Profi users undernet org 97 Algunos de los nicks utilizados son AUTH 3240 NewHacks 1207 RaydeN 1206 Lordx 922 Born2love 886 Distrus 813 RaydeN 485 Lordx_ 461 _orn2love 455 RR RRS US 5 Inconvenientes Durante este tiempo la interfaz gr fica Walleye estuvo sin funcionar esto debido a inconvenientes en cuanto a las versiones de software y hardware utilizadas El resto de archivos pcap capturados no fueron analizados debido a que estos no registraban datos Sebek es decir no se registraba actividad desde los Honeypots hacia afuera ETAPA 2 Reporte de los datos obtenidos desde el mes de Mayo a Julio Desde el d a 6 de mayo la Honeynet est m s estable la interfaz gr fica Walleye funciona desde esta interfaz se ha podido obtener informaci n m s detallada acerca de las alertas emitidas por el Snort se tienen datos m s precisos en cuanto a la cantidad de accesos desde los diferentes protocolos Consolidado total de los datos obtenidos durante los meses de Mayo Junio y Julio Tabla 7 Tr fico por paquetes TCP UDP ICMP TP CMP rra O 2067 Paquetes TCP ICMP UDP 25000000 20000000 15000000 10000000 5000000 0 mayo junio Julio 152935 811708 21184113 3134 491496 47705 7795 Figura 4 Muestras por paquetes hacia los protocolos durante la etapa 2 Tab
129. ndo para tomar las medidas necesarias Se recomienda seguir los m todos de mantenimiento y plan de pruebas con el fin de mantener la red trampa estable En el plan de mantenimiento al obtener las im genes de los discos de los honeypors se recomienda utilizar para este proceso herramientas forenses digitales que permitan tener la una imagen preparada para un an lisis forense posterior Utilice varias herramientas para el an lisis de datos incluso para conseguir el mismo resultado Aveces estas herramientas no son capaces de mostrar los resultados en forma adecuada Desarrollar y personalizar sus propias herramientas como scripts para automatizar el proceso de an lisis de datos Es necesario cerrar puertos de los honeypots cuando estos generan demasiado tr fico con el fin de evitar el colapso del sistema Honeywall y principalmente evitar distraer la atenci n para el an lisis de otro tipo de tr fico An lizar los logs provenientes del servidor como lIptables Messages Estudiar especialmente los errores repetidos de acceso a un recurso Analice tambi n los casos en que se haya rechazado una conexi n desde el interior hacia el exterior esto puede significar que un virus se intenta comunicar con el exterior o que un usuario ha instalado un programa automatizado No publique el rango de direcciones IP de la red trampa No hay necesidad de hacer esto Los atacantes y los gusanos worms estan escaneando constantemente Internet en busca
130. nerar la seguridad ser reprimido con prisi n de seis meses a un a o y multa de quinientos a mil d lares de los Estados Unidos de Norteam rica Si la informaci n obtenida se refiere a seguridad nacional o a secretos comerciales o industriales la pena ser de uno a tres a os de prisi n y multa de mil a mil quinientos d lares de los Estados Unidos de Norteam rica La divulgaci n o la utilizaci n fraudulenta de la informaci n protegida as como de los secretos comerciales o industriales ser sancionada con pena de reclusi n menor ordinaria de tres a seis a os y multa de dos mil a diez mil d lares de los Estados Unidos de Norteam rica Si la divulgaci n o la utilizaci n fraudulenta se realiza por parte de la persona o personas encargadas de la custodia o utilizaci n leg tima de la informaci n stas ser n sancionadas con pena de reclusi n menor de seis a nueve a os y multa de dos mil a diez mil d lares de los Estados Unidos de Norteam rica Art Obtenci n y utilizaci n no autorizada de informaci n La persona o personas que obtuvieren informaci n sobre datos personales para despu s cederla publicarla utilizarla o transferirla a cualquier t tulo sin la autorizaci n de su titular o titulares ser n sancionadas con pena de prisi n de dos meses a dos a os y multa de mil a dos mil d lares de los Estados Unidos de Norteam rica 1 2 6 2 Permisos Uno de los requisitos necesarios para la implantaci n
131. ngo de direcciones IP Estas m quinas virtuales reciben el tr fico dirigido a su direcci n IP y responden en funci n de la configuraci n definida El comportamiento de cada una de ellas se establece en base al sistema operativo emulado y los servicios de red activos con objeto de ofrecer el mayor grado de realismo posible El problema de este software es la interfaz de usuario Toda la configuraci n se realiza a trav s de ficheros con una sint xis predefinida o mediante par metros del ejecutable en l nea de comandos Tampoco dispone de una herramienta de gesti n espec fica que facilite la labor del administrador No obstante en la ltima secci n se describe c mo puede implementarse dicha herramienta con una interfaz web basada en Perl Javascript 1 3 DISE O DE UNA HONEYNET 1 3 1 INTRODUCCI N El dise o de una Honeynet es uno de los pasos primordiales al momento de realizar una implementaci n de este tipo ya que esto es la base fundamental sobre la cual funcionar la red trampa Aqu se analizan aspectos muy importantes como ubicaci n de la Honeynet en la red de la organizaci n equipos a utilizar y herramientas de software a implementar Desde los inicios de la Honeynet se han venido desarrollando diferentes arquitecturas generaciones y herramientas para la explotaci n de los datos los cuales se obtienen de acuerdo a los requerimientos que surgen en base a las diferentes necesidades que tienen las organizacion
132. not yet implemented in roo The variable has been commented out for this reason dittrich 02 08 05 Options for hard drive tuning if needed Valid argument string Example c 1 m 16 d HwHWPARMOPTS Should we swap capslock and control keys HwSWAP CAPSLOCK CONTROL no FEE HERRERO ROHE Snort Rule Update Variables FEE HHHH HRRRHH HHHH RRHHHHHRRRHHHHH Enable or disable automatic snort rule updates Valid argument yes no HwRULE_ENABLE no Automatically restart snort and snort_inline when automatic updates are applied and when calls to update IDS or IPs rules Valid argument yes no HwSNORT_RESTART no Oink Code Required by Oinkmaster to retrieve VRT rule updates See hw docs README snortrules or Xhttp www honeynet org tools cdrom roo manual for instructions on how to obtain it Free registration Valid argument 40 char alphanum string HwOINKCODE Day automatic snort rule updates should be retrieved for weekly updates For daily updates set this to Valid argument sun mon tue wed thu fri sat HwRULE_DAY sat Hour of day snort rules updates should be retrieved Valid argument 0 1 2 23 0 is Midnight 12 is noon 23 is 11PM HwRULE_HOUR 3 HBA HE HEE Pcap and DB data retention settings Currenrly ONLY used when Pcap DB purge scripts are called Pcap DB data is NOT automatically purged THEHHHEHHHEHHHBHHHBHHHHHHBHHHBHHBHBHH
133. ns gt alert_syslog log alerts to syslog Use one or more syslog facilities as arguments Win32 can also optionally specify a particular hostname port Under Win32 the default hostname is 127 0 0 1 and the default port is 514 Unix flavours should use this format output alert syslog LOG AUTH LOG ALERT Win32 can use any of these formats output alert_syslog LOG_AUTH LOG_ALERT output alert_syslog host hostname LOG_AUTH LOG_ALERT output alert_syslog host hostname port LOG_AUTH LOG_ALERT log_tcpdump log packets in binary tcpdump format The only argument is the output file name output log_tcpdump tcpdump log database log to a variety of databases See the README database file for more information about configuring and using this plugin output database log mysql user root password test dbname db host localhost output database alert postgresql user snort dbname snort output database log odbc user snort dbname snort output database log mssql dbname snort user snort password test output database log oracle dbname snort user snort password test unified Snort unified binary format alerting and logging The unified output plugin provides two new formats for logging and generating alerts from Snort the unified format The unified format is a straight binary format for logging data out of Snort that is designed to be fast and
134. nte ganar acceso al Honeypot y a nuestra red Con este esquema nos vemos en la necesidad de asegurar el resto de nuestra red contra el Honeypot mediante el uso de firewalls extras o sistemas de bloqueo de acceso ya que si un atacante logra comprometer el sistema tendr v a libre en su ataque a toda nuestra red Un beneficio de esta ubicaci n es la generaci n de gran cantidad de alertas por otros sistemas de seguridad de la red Firewalls IDS etc al recibir ataques el Honeypot 6 1 3 2 3 Honeypots en la zona desmilitarizada Esta es la ubicaci n ideal ya que permite detectar ataques externos e internos para esto se requiere de una reconfiguraci n del firewall puesto que se encuentra en la zona de acceso p blico La Figura 5 representa la estructura que utiliza un Honeypot ubicado en la zona desmilitarizada VLAN 8 VLAN 7 r VLAN 6 1 LAN eS i VLAN 5 A umet ENSIS nce DMZ SWITCH Nivel 3 p n Ni is VLAN2 L 1 1 i o VLAN 1 WIRELESS VLAN 4 T T SERVIDORES DATOS CR TICOS wan Figura 5 Ubicaci n de un Honeypot en la zona desmilitarizada 15 La ubicaci n en esta zona permite juntar en el mismo segmento a nuestros servidores de producci n con el Honeypot y controlar el peligro que carga su uso ya que tiene un firewall que lo a sla del resto de nuestra red local Bajo este esquema se eliminan las alarmas de los
135. ntes a corregir pues no se lograba mostrar ninguna informaci n como son las estad sticas de flujo los detalles de tr fico las alertas IDS y ninguna informaci n avanzada de las actividades del sistema Al inicio del proyecto se tenia el servidor en un equipo de caracter sticas PII de 400 Mhz de procesador y 256 Mb de memoria RAM Para dar soluci n a este problema fue necesario actualizar las caracter sticas de hardware del equipo Honeywall las capacidades limitadas de memoria y procesamiento no permit an procesar y ejecutar las herramientas y subsistemas que hay en este equipo Se prob instalando el sistema Honeywall en un PC PIV de 3 0 Mhz de procesamiento y de 1 GB de memoria RAM inmediatamente se observ que la interfaz Walleye empez a mostrar gr ficamente detalles del tr fico de la red Honeynet De esta manera se logr solucionar este problema Despu s de que ya funcionaba el sistema el procesamiento de datos en el servidor era demasiado lento lo que llev a aumentar la cantidad de memoria RAM En la actualidad se tiene el Honeywall ejecut ndose con 4 GB de RAM lo que mejora notablemente el rendimiento del Honeywall 3 9 2 Instalaci n de Sebek Cliente en distribuciones Ubuntu Otro problema que se present fue al instalar Sebek Cliente en un Honeypot Linux con Ubuntu 7 10 Al intentar actualizar el sistema se obtiene un mensaje de error el cual nos indica que los repositorios para esta versi n han expirado
136. ntos cr ticos el control de datos y la captura de datos 1 2 3 1 Control de Datos Este es uno de los aspectos m s cr ticos de la implementaci n de la Honeynet Hay que tener en cuenta que si la Honeynet es atacada con xito puede servir para atacar otros sistemas Debemos estar preparados para resolver esta situaci n El Control de Datos es una actividad de contenci n Cuando se trata con blackhats siempre hay riegos se debe reducir este riesgo Hay que asegurar que cuando un Honeypot sea comprometido no pueda ser utilizado para da ar a alg n sistema que no sea la Honeynet Sin embargo el reto es controlar el flujo de datos sin que el blackhat sospeche Una vez que el sistema est comprometido el blackhat a menudo querr conectarse a Internet para descargar herramientas establecer conexiones IRC o enviar correos electr nicos Tenemos que darle flexibilidad para ejecutar estas acciones y estos pasos son los que queremos aprender y analizar Adem s los blackhats pueden sospechar si observan que no pueden realizar conexiones al exterior 13 Para solucionar esto es necesario permitir cierta cantidad de tr fico de salida desde la Honeynet al exterior adem s de limitar los servicios a los cuales se puede conectar desde la Honeynet IRC Internet Relay Chat es un protocolo de comunicaci n en tiempo real basado en texto que permite debates en grupo o entre dos personas y todos ellos pueden comunicarse entre s s
137. nts defined by flush_base flush_seed and flush_range flush_base number lowest allowed random flushpoint 512 by default flush_range number number is the space within which random flushpoints are generated default 1213 flush_seed number seed for the random number generator defaults to Snort PID time HHHHHHHHHRHHHHHHHHHHHHH HHH Using the default random flushpoints the smallest flushpoint is 512 and the largest is 1725 bytes preprocessor stream4_reassemble stream5 Target Based stateful inspection stream reassembly for Snort EXPERIMENTAL CODE THIS CODE IS STILL EXPERIMENTAL AND MAY OR MAY NOT BE STABLE USE AT YOUR OWN RISK DO NOT USE IN PRODUCTION ENVIRONMENTS YOU HAVE BEEN WARNED Stream is a target based stream engine for Snort Its functionality replaces that of Stream4 Consequently BOTH Stream4 and Stream5 cannot be used simultaneously Comment out the stream4 configurations above to use Stream5 See README stream for details on the configuration options Example config that emulates Stream4 with UDP support compiled in preprocessor stream5_ global max_tcp 8192 track_tcp yes track_udp yes preprocessor stream5_tcp policy first use_static_footprint_sizes preprocessor stream5_udp ignore_any_rules Performance Statistics Documentation for this is provided in the Snort Manual You should read it It is included in the release distributi
138. o Pa s Cantidad Gidandegqaa ermano Guangdong China 38 Province Network 60 161 78 144 CHINANET Yunnan province China 27 network 5i amp 2224445 NANET ANNU province china 25 network dgs lc ojina 21 node network 211 99 122 18 Jinan Dadu Hotel China 17 89 34 153 157 SC UNDERNET SRL Rumania 6 DISCUSION CONCLUSIONES RECOMENDACIONES Y TRABAJOS FUTUROS Discusion La culminaci n de este proyecto deja como resultados el aprendizaje y experiencia en algunos campos relacionados a las redes El conocimiento sobre Honeynet es sumamente extenso abarca muchos temas fue complicado tener el dominio completo de estos y el reto fue ir aprendiendo d a a d a Los temas como redes Linux Windows servidores esquemas de red de la UTPL control captura y an lisis de tr fico en la red el mundo apasionante de la seguridad inform tica los atacantes tipos de intrusos sus t cnicas de ataque herramientas vulnerabilidades y parches de los sistemas operativos sus or genes y los efectos de sus ataques fueron el pan de cada d a mientras la Honeynet se imprentaba No podr an faltar los problemas durante este proceso Comenzamos con la falta de colaboraci n por parte de proyectos afines en nuestro mismo medio hubo un proyecto en nuestro pa s en otra universidad que fue imposible compartir informaci n con ellos en bien de nuestra comunidad en entornos universitarios estrictamente en el campo de la investigaci n Ahora e
139. o instala un software maligno y sale del sistema ahora se puede seguir el rastro de las acciones locales del software maligno aunque no acceda a la red Arquitectura Tiene dos componentes el cliente y el servidor 1 El cliente captura los datos del equipo trampa y los env a a trav s de la red donde son recolectados por el servidor La Figura 8 representa esta arquitectura 2 El servidor recolecta los datos de dos posibles fuentes la primera es capturando paquetes directamente de la red y la segunda es a trav s de un archivo de captura de tr fico en formato tcpdump 3 Una vez que se han recolectado los datos se almacenan en una base de datos relacional o se extraen las pulsaciones de teclas Las comunicaciones usadas por Sebek estan basadas en UDP por ser no orientadas a conexi n y no fiables A A Internet Pd Intruder Intruder uses SSH to protect communications Honeywall lt lt Copy of intruder activity covertly exported onto LAN e Gateway Sebek Server Honeypot A Honeypot B Honeypot C Figura 8 Arquitectura de Sebek 27 2 2 8 Hflow 28 Hflow recibe datos de flujo Argus IDS Snort pOf OS fingerprints y datos Sebek Una vez combinados estos datos son insertados en una base de datos Hflow fue desarrollado para combinar cada una de las fuentes de datos mencionadas en un solo modelo relacional compuesto Continuamente consume datos desde cada fuente de datos la fusi
140. observable before the key exchange SSH has numerous options available please read README ssh for help configuring options THHHER Per Step 2 set the following to load the ssh preprocessor dynamicpreprocessor full path to libsf ssh preproc so or use commandline option dynamic preprocessor lib full path to libsf ssh preproc so preprocessor ssh server ports 22 V max_client_bytes 19600 max_encrypted_packets 20 DCE RPC The dcerpc preprocessor detects and decodes SMB and DCE RPC traffic It is primarily interested in DCE RPC data and only decodes SMB to get at the DCE RPC data carried by the SMB layer Currently the preprocessor only handles reassembly of fragmentation at both the SMB and DCE RPC layer Snort rules can be evaded by using both types of fragmentation with the preprocessor enabled the rules are given a buffer with a reassembled SMB or DCE RPC packet to examine At the SMB layer only fragmentation using WriteAndX is currently reassembled Other methods will be handled in future versions of the preprocessor 3t Autodetection of SMB is done by looking for xFFSMB at the start of the SMB data as well as checking the NetBIOS header which is always present for SMB for the type SMB Session Autodetection of DCE RPC is not as reliable Currently two bytes are checked in the packet Assuming that the data is a DCE RPC
141. on as doc snort_manual paf preprocessor perfmonitor time 300 file var snort snort stats pktcnt 10000 http_inspect normalize and detect HTTP traffic and protocol anomalies lots of options available here See doc README http_inspect unicode map should be wherever your snort conf lives or given a full path to where snort can find it preprocessor http_inspect global iis_unicode_map unicode map 1252 preprocessor http_inspect_server server default profile all ports 80 8080 8180 oversize_dir_length 500 Example unique server configuration preprocessor http_inspect_server server 1 1 1 1 ports 80 3128 8080 flow_depth 0 ascii no double_decode yes non rfc char 0x00 V chunk length 500000 non strict V oversize dir length 300 no alerts THE Tk Gk XE cb Gb GE Gk od rpc decode normalize RPC traffic RPC may be sent in alternate encodings besides the usual 4 byte encoding that is used by default This plugin takes the port numbers that RPC services are running on as arguments it is assumed that the given ports are actually running this type of service If not change the ports or turn it off The RPC decode preprocessor uses generator ID 106 arguments space separated list alert_fragments alert on any rpc fragmented TCP data no_alert_multiple_requests don t alert when gt 1 rpc query is in a packet no alert large fragments don t alert w
142. on las siguientes Tabla 17 Direcciones que han accedido a los Honeypots con el puerto UDP 1434 Direcci n Origen Dominio Pa s Cantidad 61 145 123 141 ChinaNet Guangdong Province Network 10 202 101 180 165 Jinhua Telecommunication Co ltd 9 58 243 161 51 CNC Group AnHui province network 9 218 75 199 50 CHINANET HN Zhuzhou node network 5 218 204 137 156 China Mobile Communications Corporation jiangxi 3 Haze CHINANET Guizhou province network 3 61 139 54 94 Beelink Information Science amp China 3 132 248 171 172 Universidad Nacional Autonoma de Mexico M xico 1 200 233 146 143 Companhia de Telecomunicacoes do Brasil Central Brasil 1 119 85 7238 CHINANET Chongqing province network China 1 124 173 184 18 World Crossing Telecom GuangZhou Ltd China 1 218 65 14 6 CHINANET Jiangxi province network China 1 Data Sebek Los datos de la Figura 19 indican que desde los Honeypots se ha utilizado el comando netstat exe Protocol expert puerto destino chat microsoft c SEBEK Frame 6909 167 bytes on wire 167 bytes captured Ethernet II Src Intel Hf_d3 a6 a4 00 a0 c9 d3 a6 a4 Dst Broadcast ff ff ff ff ff ff Internet Protocol src 200 0 30 50 200 0 30 50 Dst 0 0 0 0 0 0 0 0 User Datagram Protocol Src Port pt2 discover 1101 Dst Port pt2 discover 1101 SEBEK Kernel Data Capture Magic 0xd0000000 version 3 00000 Type 0 Counter
143. oneywall y atacarlo posteriormente es por ello que esta opci n debe ser deshabilitada Elija la opci n no Figura 47 Modo Roach motel 8 4 Confirme el mensaje de haber finalizado la 3ra secci n de la configuraci n del sistema Honeywall Figura 48 Finalizaci n de la 3ra secci n de configuraciones 9 CONFIGURACION DE DNS 9 1 Habilitar los accesos ilimitados de los Honeypots al servidor DNS Figura 49 Accesos DNS ilimitados de los Honeypots 9 2 Habilitar la restricci n de accesos ilimitados de los Honeypots hacia servidores DNS externos Figura 50 Accesos DNS ilimitados Honeypot Servidores externos 9 3 Ingrese los Honeypots que acceder n a servidores DNS externos Figura 51 Honevpots que pueden acceder a servidores DNS externos 9 4 Habilitar la restricci n del servidor DNS a ser utilizado para accesos ilimitados Figura 52 Restringir servidor DNS 9 5 Ingrese la direcci n IP del servidor DNS Figura 53 Ingreso de direcci n del servidor DNS 10 CONFIGURACION DE ALERTAS 10 1 Habilite la entrega de alertas por Email Figura 54 Configuraci n de alertas por Email 10 2 Ingrese la direcci n de correo electr nico donde se deben enviar las alertas Figura 55 Ingreso de direcci n de correo 11 CONFIGURACION DE LAS VARIABLES DE SEBEK 11 1 Elija yes para iniciar la configuraci n de las variables de Sebek Figura 56 Inicio de configuraci n de Sebek
144. ononononcnnonencncononancnncnnn 1 2 8 4 Honeyd 1 3 Dise o de una Honeynet o dq ON NN F C CQ CQ Tm rm 10 11 12 12 13 14 14 16 16 17 18 18 18 19 19 19 20 2 1 1 3 1 Introducci n 1 3 2 Ubicaci n de los Honeypots en la Bd oooococicnccccnccccccncncnconincnnos 1 3 2 1 Honeypots antes del firewall esses 1 3 2 2 Honeypots despu s del firewall ccoocoocccoccooc 1 3 2 3 Honeypots en la zona desmilitarizada 1 3 3 Estudio de la red actual de la UTPL ocococcccncncncncncnncconononos 1 3 4 An lisis de la ubicaci n y selecci n de arquitectura para la implementaci n de la Honeynet esses CAP TULO II ESTUDIO DEL SOFTWARE PARA LA HONEYNET ACTUAL Introducci n 2 2 Herramientas Honeywall esses mee 2 2 4 Firewall IPtables sssssssesssss mem 2 8 2 2 2 Proxy ARP 2 2 3 Snort 2 2 4 Snort Inline 2 2 5 POF Pasive OS Fingerprint sss 2 2 6 Swatch Simple Watcher of Logfiles ssssseesssssss 2 2 7 Sebek 2 2 8 Hflow Herramientas de an lisis de trafic0 cece cece cece eee eeeeeeeaeeaeeeeneeanes 2 3 1 Walleye 2 3 2 Wireshark 2 3 8 Honeysnap CAP TULO Ill CONFIGURACI N E IMPLEMENTACI N DE UNA HONEYNET 3 1 3 2 3 3 3 4
145. oor shellcode policy porn info icmp info virus chat multimedia and p2p These rules are either site policy specific or require tuning in order to not generate false positive alerts in most enviornments Please read the specific include file for more information and README alert_order for how rule ordering affects how alerts are triggered include RULE_PATH local rules include RULE PATH bad traffic rules include RULE PATH exploit rules include RULE PATH scan rules include RULE PATH finger rules include RULE PATH ftp rules include RULE PATH telnet rules include RULE PATH rpc rules include RULE PATH rservices rules include RULE PATH dos rules include RULE PATH ddos rules include RULE PATH dns rules include RULE PATH tftp rules include RULE PATH web cgi rules include RULE PATH web coldfusion rules include RULE PATH web iis rules include RULE PATH web frontpage rules include RULE PATH web misc rules include RULE PATH web client rules include RULE PATH web php rules include RULE PATH sgql rules include RULE PATH x11 rules include RULE PATH icmp rules include RULE PATH netbios rules include RULE PATH misc rules include RULE PATH attack responses rules include RULE PATH oracle rules include RULE PATH mysgl rules include RULE PATH snmp rules include RULE PATH smtp rules include RULE PATH imap rules include RULE PATH pop2 rules include RULE PATH pop3 rules inclu
146. oquea cualquier intento de conexi n posterior Esto se utiliza principalmente para reducir el riesgo de la masa de exploraci n ataque o ataques de denegaci n de servicio actividad que requiere gran n mero de conexiones de salida El numero de conexiones a permitir depender de cu nto riesgo se est dispuesto a asumir Limitar el n mero de conexiones salientes evita que los atacantes utilicen la red trampa para escanear o atacar un gran n mero de otros sistemas o para lanzar ataques de denegaci n de servicio Pero hay que tener en cuenta que esto puede delatar el funcionamiento de la Honeynet un atacante puede ser capaz de detectar su red trampa simplemente iniciar conexiones de salida y ver si est n bloqueados despu s de un determinado n mero Seguidamente se muestra el n mero de conexiones de salida permitidas a los protocolos por cada hora Escala hora Limite de conexiones permitidas para TCP 20 Limite de conexiones permitidas para UDP 20 Limite de conexiones permitidas para ICMP 50 NN S S Limite de conexiones permitidas para OTROS 10 El script que configura estas reglas se lista en el ANEXO A 2 2 2 Proxy ARP 21 Con el fin de que los Honeypots puedan ser accesibles desde Internet el Gateway fue configurado para responder peticiones ARP de las IPs de los Honeypots ARP se 10 Snort_inline Es un NIPS es una versi n modificada de Snort utiliza nuevos tipos de reglas para decirle a iptables si el
147. ordenador que trata de explotar las vulnerabilidades de aplicaciones Normalmente estas vulnerabilidades son desconocidas no est n publicadas o no existe un parche que las solvente v Frente a un IDS la tecnologia Honeypot tiene una gran ventaja ya que este permite la detecci n de nuevos tipos de ataques a diferencia de un IDS que se basa en patrones que ya est n definidos para realizar la detecci n de los ataques conocidos Y Los recursos necesarios a utilizar son m nimos de esta forma se puede implementar una plataforma lo suficientemente potente para operar a gran escala Ejemplo Una computadora con un procesador Pentium con 128 Mb de RAM puede manejar f cilmente una red de clase B entera v Trabaja en entornos sobre IPv6 es decir Honeypot detectar un ataque sobre IPv6 de la misma forma que lo hace con un ataque sobre IPv4 Y Generan informaci n de mucho valor cosa que no sucede con otros sistemas de seguridad que generan cientos de megas de ficheros logs con informaci n que no es nada til v El tr fico cifrado dirigido a los sistemas Honeypot es f cil de analizar 1 1 5 2 Desventajas Como toda tecnolog a los Honeypots tambi n presentan debilidades inherentes a su dise o y funcionamiento Esto se debe a que stos no reemplazan a las tecnolog as actuales sino que trabajan con las tecnolog as existentes Y Los Honeypots solo permiten rastrear y capturar actividad destinada a interactuar directamente con el
148. ork 85 185 146 4 ISDP Information Technology Company ITC 4 Reporte Honeysnap Durante el mes de marzo se analiz los archivos pcap del mes de febrero con una nueva herramienta encontrada para realizar el an lisis de datos llamada Honeysnap esta herramienta permite obtener un resumen general de la cantidad de paquetes por protocolo y permite ver un resumen de datos Http IRC entre otros Durante este tiempo la cantidad de trafico dirigida al puerto TCP 6667 IRC es mucho mayor en cuanto al trafico generado por los otros puertos el resumen obtenido por Honeysnap es el siguiente Analisis de Trafico IRC que contienen PRIVMSG para el Honeypot 200 0 30 51 Tabla 5 Resumen del trafico IRC encontrado Pattern Source Sport Destino Dport Cant Privmsg 200 0 30 51 37619 195 197 175 21 6667 1 Privmsg 195 18 164 194 6667 200 0 30 51 6667 72 Privmsg 195 197 175 21 6667 200 0 30 51 37619 71 Privmsg 194 109 20 90 6667 200 0 30 51 47355 128 Privmsg 217 168 95 245 6667 200 0 30 51 60307 40 Privmsg 200 0 30 51 6667 217 168 95 245 6667 1 Privmsg 161 53 178 51 6667 200 0 30 51 58058 36 De acuerdo a IRC servidores utilizados Tabla 6 Resumen del tr fico IRC encontrado Canal Cantidad Diemen NL EU Undernet Org 1039 Oslo2 NO EU undernet org 545 Oslo2 NO EU undernet org 541 Zagreb HR Eu UnderNet org 529 Trondheim NO EU Undernet org 522 Tampa FL US U
149. os TCP que por defecto tienen los sistemas y que son los m s vulnerables Y Durante la primera etapa se distingue que se genera mayor cantidad de tr fico por el protocolo TCP desde el Honeypot Linux especialmente a los puertos 6667 que corresponden a los IRC m s utilizados seguido de los puertos correspondientes al NetBios 445 135 etc en cuanto a la cantidad de accesos por los puertos UDP se puede destacar que tambi n corresponden a los puertos NetBios El resumen obtenido por las herramientas de an lisis de tr fico Wireshark y Honeysnap aplicado a los pcaps capturados en los meses de la primera etapa relacionado con el incidente IRC es el siguiente An lisis de tr fico IRC que contiene PRIVMSG en el Honeypot Linux Tabla 5 Tr fico IRC Pattern IPSource Sport IPDestino Dport Cant Privmsg 200 0 30 51 37619 195 197 175 21 6667 1 Privmsg 195 18 164 194 6667 200 0 30 51 6667 72 Privmsg 195 197 175 21 6667 200 0 30 51 37619 71 DPrivmsg script en Perl utilizado para extraer archivos binarios en formato Pcap di logos en canales IRC Privmsg 194 109 20 90 6667 200 0 30 51 47355 128 Privmsg 217 168 95 245 6667 200 0 30 51 60307 40 Privmsg 200 0 30 51 6667 217 168 95 245 6667 1 Privmsg 161 53 178 51 6667 200 0 30 51 58058 36 Luego que los intrusos lograron comprometer el Honeypot Linux en esta etapa por medio del puerto TCP 6667 intentaron
150. os elementos que conforman una arquitectura de red 15 Los sistemas de seguridad tradicionales como los IDs firewalls son de car cter correctivo ya que al detectar intrusiones estos de inmediato toman medidas de correcci n mientras que las Honeynets son de car cter proactivo y se dedican al 5 Tambi n llamados crackers son los hackers que se especializan en el ingreso no autorizado Pueden utilizar las computadoras para atacar los sistemas con fines de lucro por diversi n o por motivaciones pol ticas o como parte de una causa social Tal ingreso a menudo implica la modificaci n y o destrucci n de datos y se realiza sin autorizaci n estudio de estos ataques y atacantes para obtener patrones de comportamiento y nuevos m todos de ataque 1 2 3 REQUISITOS Y REQUERIMIENTOS DE UNA HONEYNET Uno de los mayores problemas que tienen los sistemas tradicionales como los firewalls IDs es que se tiene que hacer un control una depuraci n de los eventos registrados por este tipo de sistemas con la finalidad de comprobar falsos positivos y falsos negativos Las Honeynets aplican un concepto simple para evitar lo anteriormente mencionado son redes controladas y monitoreadas dise adas para ser atacadas y comprometidas por lo tanto toda actividad que se registre en estos sistemas son catalogados como tr fico sospechoso Para implementar una Honeynet de manera satisfactoria se deben llevar a cabo correctamente dos requisitos o eleme
151. paquete debe ser descartado o modificado sobre la base de un conjunto de reglas de snort utiliza para traducir las direcciones IP en direcciones MAC Una t cnica llamada Proxy ARP es que el Gateway se puede configurar para responder a las peticiones de ARP de direcciones IP de los Honeypots que se ha elegido Esto permite a las computadoras desde el exterior puedan encontrar y hacer las conexiones con los Honeypots NAT Network Address Translation tambi n se puede utilizar para lograr este objetivo 2 2 3 Snort 22 El sistema de detecci n de intrusos que se utiliza es Snort Este olfatea cualquier tr fico que entra y sale de la segunda interfaz de red de la puerta de enlace esta interfaz proporciona la puerta de entrada a Internet para los Honeypots adem s los registra en varios formatos Snort envia todo a una base de datos MySQL en el Honeywall Snort tiene muchas reglas predefinidas para detectar diversos intentos de intrusi n Estas reglas personalizadas clasifican las conexiones basadas en n meros de puerto la direcci n IP de los Honeypots y otras firmas La clasificaci n ayuda en la recopilaci n de estad sticas En el ANEXO B se puede encontrar el archivo de configuraci n algunas reglas y alertas de Snort 2 2 4 Snort Inline 23 Snort Inline es un sistema de prevenci n de intrusiones basado en el detector Snort Es capaz de tomar acciones contra el tr fico saliente que tenga ataques conocidos Snort_Inlin
152. pervisado y asesorado en forma detenida cada uno de los aspectos de la tesis de pregrado Adem s en mi calidad de DIRECTOR DE TESIS y al encontrar que se han cumplido con todos los requisitos investigativos autorizo su presentaci n y sustentaci n ante el tribunal que se designe para el efecto Atentamente Ing Mar a Paula Espinoza DIRECTOR DE TESIS AUTORIA Las ideas opiniones conclusiones recomendaciones y mas contenidos expuestos en el presente informe de tesis son de absoluta responsabilidad del autor Henry F Montalvan C DEDICATORIA A mis padres y hermanos por su carifio y apoyo incondicional Henry Fernando AGRADECIMIENTOS Mis sinceros agradecimientos a todas las personas que de una u otra manera han contribuido a la culminaci n de este proyecto de manera especial a la Msc Maria Paula Espinoza Directora de Tesis que con su conocimiento empe o y motivaci n fue la gu a durante el desarrollo del presente trabajo de investigaci n Henry Fernando INDICE DE CONTENIDOS I Introducci n ll Estructura de la tesis Ill Objetivos CAP TULO I ESTADO DEL ARTE 1 1 Honeypots Tat AMMOAUCCION Aesma reet eben eoe xat Eg edere ve R eo Nene e busentetess 1 1 2 Definici n de HONeypotS coccoccccccconcncoconinonccconincononononcininnncininns 1 1 3 Tipos de Honeypots sssssssssssem e 1 1 3 1 Por su funci n cesssssssss Immer 1 1 3 2 Por
153. po 8 y se espera una respuesta de ICMP tipo 0 si se recibe una respuesta la direcci n IP destino esta activa Datos proporcionados por el Wireshar Ele Edit View Go Capture Analyze Statistics Telephony Tools Help E SHAM SFaxsasirc_ersoaFs SF SlaQganlwesel a i Fiter Y Expression Clear Apply No Time Source Destination Protocol expert puerto destino Info ICMP i Frame 1 78 bytes on wire 78 bytes captured E Ethernet II Src Cisco_9a 1d 4a 00 1f 9d 9a 1d 4a Dst Intel Hf_d3 a6 a4 00 a0 c9 d3 a6 a4 amp Internet Protoco 1 200 0 29 3 200 0 29 3 Dst 200 0 30 50 200 0 30 50 E Interns ntrol Message Prot Checksum Ox8cf8 correct Identifier 0x0005 equence number 27394 0x6b02 Figura 9 Data Wireshark Alertas ICMP Alerta y y Y CMP redirect host 3 Y ICMP redirect net 4 Estas alertas son parte de ICMP son de c digo 5 este tipo de mensaje es utilizado por un router firewall para informar a la fuente sobre una ruta favorita hacia el host de destino seleccionado Funcionamiento El router env a un paquete al destino y un ICMP lo redirecciona a la fuente que contiene la entrada alternativa lo que provoca un cambio en la tabla de routing de la fuente El router que lanza el ICMP redirect tiene que estar en la misma subred que la fuente y la nueva entrada C digo 1 Redirect host Redireccionar el datagrama para el host esta catalogado co
154. processor you must specify the IP and hardware address of hosts on the same layer 2 segment as you Specify one host IP MAC combo per line Also takes a unicast option to turn on unicast ARP request detection Arpspoof uses Generator ID 112 and uses the following SIDS for that GID SID Event description E N EE 1 Unicast ARP request 2 Etherframe ARP mismatch src 3 Etherframe ARP mismatch dst 4 ARP cache overwrite attack preprocessor arpspoof preprocessor arpspoof_detect_host 192 168 40 1 f0 0f 00 f0 0f 00 EXPERIMENTAL CODE THIS CODE IS STILL EXPERIMENTAL AND MAY OR MAY NOT BE STABLE USE AT YOUR OWN RISK DO NOT USE IN PRODUCTION ENVIRONMENTS YOU HAVE BEEN WARNED The SSH preprocessor detects the following exploits Gobbles CRC 32 Secure CRT and the Protocol Mismatch exploit Both Gobbles and CRC 32 attacks occur after the key exchange and are therefore encrypted Both attacks involve sending a large payload 20kb to the server immediately after the authentication challenge To detect the attacks the SSH preprocessor counts the number of bytes transmitted to the server If those bytes exceed a pre defined limit within a pre define number of packets an alert is generated Since Gobbles only effects SSHv2 and CRC 32 only effects SSHv1 the SSH version string exchange is used to distinguish the attacks The Secure CRT and protocol mismatch exploits are
155. r los protocolos http netbios que son los que m s debilidades presentan Seguidamente se analizan los protocolos m s destacados que se mostraron en el an lisis de datos recolectados PROTOCOLO MICROSOFT DS La tabla 7 muestra que el protocolo Microsoft ds es de aproximadamente el 98 del tr fico total Seguidamente de un Daytime con un 2 del tr fico total Este comportamiento indica que los scaneos se los realiza con el fin de obtener informaci n de los sistemas encontrados en la red Microsoft ds y daytime proporcionan datos que le servir n al atacante para realizar posibles conexiones remotas ambos protocolos permiten comunicar m quinas mediante el puerto 445 TCP y 13TCP UDP respectivamente En los resultados presentados por el proyecto Honeynet UNAM se muestra estad sticas con altos porcentajes de tr fico al protocolo 445 TCP lo que afirma que un comportamiento hacia estos puertos es constante debiendo tomar medidas preventivas para la seguridad de la red PROTOCOLO HTTP El tr fico Web usa el protocolo de transferencia de hipertexto HTTP con el protocolo de control de transmisi n TCP TCP proporciona varios servicios importantes para HTTP incluyendo la transferencia de datos fiable y de control de gesti n En la Honeynets se ha capturado todas las peticiones y respuestas HTTP generadas por los Honeypors en un periodo de seis meses mostrando 20225 intentos de conexi n Las alertas para este protocolo es WEB IIS view
156. r run is cleaned up delete_pidfile rm f var run rc firewall pid rm f var lock subsys rc firewall isactive if f var run rc firewall pid then echo 1 return 1 fi echo 0 return O This function simply flushes all tables Is this the right thing to do for restart Shouldn t tables be flushed individually right before they are populated Whatever is least disruptive flush THHHHHHHHE Flush rules iptables F iptables F t nat iptables F t mangle iptables X This function sets up the chains we will need for later use create_chains if n HWFWBLACK amp amp e HWFWBLACK amp amp HwBWLIST_ENABLE yes then BlackList chain iptables N BlackList fi if n HWFWWHITE amp amp e HWFWWHITE amp amp HwBWLIST_ENABLE yes then WhiteList chain iptables N WhiteList fi if n HWFWFENCE amp amp e HWFWFENCE amp amp HwFENCELIST ENABLE yes then FenceList is the file listing of IPS that should not be reachable from honeypots outbound iptables N FenceList FenceLogDrop is a table used to log drop packets that bounce off the fence This is done so we don t need to write a log entry for every ip in table iptables N FenceLogDrop fi if n HwTCPRATE amp amp HwTCPRATE gt 0 then Create TCP handling chain iptables N tcpHandler fi if n
157. ra de red podr amos hablar de Honeynets virtuales de Il generaci n La idea de virtualizar el sistema es reducir costos por requerimiento de dispositivos entre mas grande es la Honeynet mas dispositivos y espacio fisico se necesita En una Honeynet Virtual todo se encuentra en una sola maquina f sica En el caso de aumentar m s dispositivos virtuales simplemente se mejora el hardware de la m quina anfitriona Entre las limitaciones tenemos el hardware necesario de la m quina que alberga a la Honeynet el software que es usado para virtualizar si el atacante toma en su poder la m quina anfitriona tendr a control sobre toda la Honeynet y ser a un peligro para los sistemas reales Las Honeynet Virtuales se dividen en dos grandes tipos Auto Contenidas e H bridas 32 Honeynet Auto Contenidas Se caracteriza porque todos sus dispositivos son virtualizados dentro de la misma m quina f sica Ventajas Y Movilidad pueden ser instaladas en un port til y llevadas a cualquier parte Y Plug and Play f cilmente pueden ser conectadas dentro de una red o de otra ya que la implantaci n es f cil por ser un solo dispositivo Y Econ mica ahorra dinero porque no necesita de varios equipos y ahorra espacio al usar un dispositivo Desventajas Y Punto nico de fallo si falla el hardware toda la Honeynet queda sin funcionar Y M quina potente es necesario un computador potente para simular una red grande con muchos dispositivo
158. s Y Seguridad como se comparten dispositivos f sicos como discos duros y unidades es posible que el atacante pueda acceder a otras partes del sistema La seguridad depende del software de virtualizaci n Y Hardware utilizado limita la cantidad de sistemas operativos a simular Si tenemos un PC arquitectura ix86 nunca podremos emular Solaris de SPARC un AIX de RS6000 o IRIS de Silicon Graphics Honeynets H bridas Llamadas hibridas por combinar una Honeynet Clasica con una Honeynet Virtual se agrega un dispositivo adicional en la arquitectura Uno sirve como Honeywall punto de entrada control y recolecci n de informaci n de la Honeynet y otro levanta la red virtual de Honeypots Ventajas Y Seguridad eliminan el punto nico de fallo y a slan los datos y el control en otro dispositivo Y Flexible se tiene un dispositivo que contienen diferentes tipos de Honeypot que son m quinas virtuales las cuales pueden ser de diferentes tipos con diferentes servicios f ciles de copiar borrar duplicar lo que facilita enormemente en la tarea de administraci n Si se da a un Honeypot s lo hay que levantar un duplicado ya pre instalado Desventajas Y Se dificulta la movilidad debido a que tenemos dos dispositivos Y Costosas se incrementa el costo por hardware y en espacio Para cualquier tipo de Honeypot o Honeynet Virtual hay que considerar que pueden ser usadas t cnicas de fingerprinting obtenci n del tipo y vers
159. s San Marcos Texas Snort Official Documentation 2009 Disponible en http www snort org docs Conoce a tu enemigo Honeywall CDROM 2004 Disponible en http his sourceforge net honeynet papers cdrom The new pOf 2 0 8 2006 Disponible en http lcamtuf coredump cx pOf shtml Swatch 2009 Disponible en http sourceforge net projects swatch Welcome to the Sebek project site Disponible en https projects honeynet org sebek The Honeynet Project 2003 Know your enemy Sebek A kernel based data capture tool BALAS E y VIECCO C 2002 Towards a Third Generation Data Capture Architecture for Honeynets Walleye Tracking the attackers 2008 Disponible en http www securityfocus com infocus 1855 2 Wireshark User s Guide 2008 Disponible en http www wireshark org docs wsug html chunked 31 The Honeynet Project Honeysnap Disponible en https projects honeynet org honeysnap 32 Niels Provos Thorsten Holz Virtual Honeypots From Botnet Tracking to intrusi n Detection Addison Wesley professional 2007 33 Fingerprinting Disponible en htto nmap org nmap fingerprinting article mx html ANEXOS ANEXO A Archivo de configuraci n rc firewall bin bash THHHEHHHHHHHBHHHHHHHHHHHBHHHHHHHHHBHHHHHBHHHHHBE Copyright C lt 2005 gt lt The Honeynet Project gt This program is free software you can redistribute it and or modify it under the terms of the
160. s de los hackers La creaci n del grupo de Etichal Hacking que servir para realizar actividades de acometidas a los equipos con fines de investigaci n Este grupo es necesario para cumplir tareas de intrusi n a vulnerabilidades de los equipos con el fin de contrastar con los datos encontrados en la Honeynet para validar las acometidas de los intrsuso y dar a conocer a los administradores y al grupo de seguridades la confirmaci n de t cnicas herramiestas y m todos confirmados de ataques Formar parte del proyecto Honeynet Distribuido que existe a nivel mundial con el fin de fortalecer la Honeynet UTPL e intercambiar experiencia obtenida con aquellas que tienen a os en este campo y unificar el conocimiento de patrones de atques en la red universal Las redes trampa pueden ser una herramienta muy poderosa cuando se establecen en un entorno acad mico No s lo pueden ser utilizadas para asegurar los recursos de producci n actuando como una soluci n de detecci n fiable sino que tambi n pueden ser utilizadas para fomentar la investigaci n de la actividad maliciosa existente en las redes y una gran variedad de proyectos de investigaci n como el an lisis de tr fico para el comportamiento de incidentes como Spam la creaci n de Honeynets Wi Fi para analizar ataques realizados a redes inal mbricas malware y ya que se ha iniciado el tema de IP V6 el estudio de implementaci n de una Honeynet con un direccionamiento de este tipo
161. s fue realizado en tres etapas de acuerdo al progreso del proyecto en cuanto a la estabilidad de los procesos del sistema Honeynet Estas etapas se desarrollaron de la siguiente manera Y Etapa 1 An lisis de paquetes capturados en los meses Febrero Marzo Anexo G Etapa 1 Y Etapa 2 An lisis de paquetes capturados en los meses Mayo Julio Anexo Anexo G Etapa II v Etapa 3 An lisis de paquetes capturados en los meses Agosto Septiembre Anexo G Etapa III Cada etapa contiene Informaci n referente a Y Cantidad de paquetes TCP ICMP y UDP Y Top de direcciones de origen Y Alertas encontradas y su descripci n A continuaci n se muestra los resultados m s destacados del an lisis 4 4 NUMERO DE ACCESOS POR PROTOCOLO De acuerdo a las etapas mencionadas y a la informaci n obtenida en cada una de ellas se han analizado los protocolos que han sido mayormente escaneados logrando as obtener la siguiente gr fica estad stica Figura 10 BICMP BUDP BICP 328386 Etapa3 1619415 10391817 513662 137645 Etapa 2 22148756 10755 1570489 Figura 10 Total de accesos al Honeypot Protocolos Y La Figura 10 representa el n mero total de conexiones a los protocolos TCP UDP e ICMP misma que nos indica que de los tres protocolos el que m s n mero de conexiones produce en una escala considerable es el TCP se puede concluir que esto se debe en gran mayor a a los puertos abiert
162. s y los m s utilizados ofrecen un resumen completo y detallado del contenido de los PCAPS 2 3 1 Walleye 29 Es una interfaz de usuario basada en navegador act a como interfaz grafica entre la informaci n guardada en el Honeywall y su operador Adem s de mostrar informaci n del tr fico de red Walleye permite solicitar informaci n sobre Honeypots individuales Walleye representa la informaci n de Sebek como gr ficos de procesos ofreciendo de esta manera al administrador una visi n general muy til de las actividades del atacante Walleye tambi n exporta tr fico de red en formato pcap se importa esta informaci n a otras herramientas de an lisis como el Wireshark Por ltimo est interfaz permite modificar algunas configuraciones del Honeywall 2 3 2 Wireshark 30 Es un analizador de paquetes de red que examina lo que est pasando en el interior de una red Esta herramienta es considerada como una de los mejores analizadores de paquetes de c digo abierto Permite realizar an lisis y solucionar problemas en redes de comunicaciones La funcionalidad que provee es similar a la de tcpdump pero a ade una interfaz gr fica y opciones de organizaci n y filtrado de informaci n Gracias a su funcionalidad permite ver todo el tr fico que pasa a trav s de una red tambi n incluye una versi n basada en texto llamada tshark Wireshark se ejecuta sobre la mayor a de sistemas operativos Unix y compatibles como
163. se estaba escaneando la red automaticamente buscando computadoras con este puerto abierto lo que indica que un gusano estaba intentando propagarse Como medida correctiva al mencionado inconveniente se bloque este puerto con la finalidad de disminuir la cantidad de tr fico desde el Honeypot Windows ya que de esta manera se estaba generando mucho ruido desvi ndose y descuid ndose as el an lisis de otras alertas Cabe mencionar que durante esta etapa el proyecto alcanz mayor estabilidad con respecto a la anterior por lo que se obtuvo mayor cantidad de datos para el an lisis El an lisis en la tercera etapa presenta una disminuci n en la cantidad de conexiones esto en representaci n al parche del puerto del protocolo TCP que en la etapa anterior gener mucho tr fico El comportamiento de la red Honeynet en esta etapa presenta resultados similares a las anteriores las alertas e intentos de conexi n puertos escaneados hacia los Honeypots casi no var an con la diferencia que se normaliza la cantidad de tr fico en la Honeynet por la acci n correctiva que se tom en la etapa anterior Para m s detalle de cada una de las etapas mencionadas revisar ANEXO G 4 5 N MERO DE ACCESOS POR PUERTOS El an lisis de los puertos escaneados se lo realiz desde la segunda etapa por la raz n que en este periodo se tiene mayor estabilidad en la captura de datos en el Honeywall Se realiza este an lisis con el fin de tener un panorama
164. se ha tomado en cuenta las ventajas y desventajas de usar soluciones ya sean en ambientes virtualizados como en reales estudiandos en el tem de arquitecturas de una Honeynet 1 2 5 y tomando en cuenta que las ventajas de utilizar Honeynet con equipos y servicios reales frente a las Honeynets Virtuales dan mayor calidad a la soluci n esperada se ha decidido usar Honeynets de Generacion ll Para la elaboraci n del dise o de la Honeynet la red ha sido analizada en su estructura y servicios En base al an lisis realizado hemos decidido agregar nuestra Honeynet fuera del espacio de direcciones de producci n debido a que contiene servicios sensibles y muy susceptibles a ataques Entre estos servicios se encuentran los diferentes servidores Web de base de datos de correo electr nico proxy DNS etc y los diferentes computadores ubicados dentro del rea Administrativa que son la base de los servicios digitales prestados por la UTPL Como se puede apreciar en la Figura 6 la red en producci n donde se encuentran los servidores reales se a sla de la Honeynet eliminando la posibilidad de tr fico entre ellas y los riesgos de seguridad asociados con el comprometimiento de la Honeynet Luego del an lisis realizado se lleg a determinar que la mejor ubicaci n donde ser implementada la Honeynet es fuera de la red de producci n de la UTPL es la m s indicada la que menos riesgo causa a la integridad de la red de la universidad y el esque
165. sistemas internos de seguridad 7 1 3 3 ESTUDIO DE LA RED ACTUAL DE LA UTPL Para llegar a establecer los requerimientos necesarios para implementar la Honeynet se realiz un estudio de la red actual de la UTPL en el punto 1 3 4 en la que se analiz el esquema equipos y configuraciones de la red El tener un panorama m s amplio y claro de la red de la UTPL nos ayudar en gran medida para poder determinar la ubicaci n de la Honeynet dentro de la misma El primer paso luego de identificar que el objetivo de implementaci n de la Honeynet es monitorear el origen de ataques de la red externa o Internet se eval o el esquema de red de la Universidad as como sus configuraciones En su configuraci n inicial se asigna a la DMZ demilitarized zone zona desmilitarizada o red perimetral es una red local que se ubica entre la red interna de una organizaci n y una red externa generalmente Internet Honeynet una subred dedicada de 8 hosts y su ubicaci n en la red de la universidad se muestra en la Figura 6 FA0n19 VLAN so FAMIS MAIL UTPLNET SERVIDORES MONOCRITICOS F 3 Faon FA06 ANTIVIRUS NTS01 ASUTPLPDCSERVERODO SGIMPRESION GDR4 SERVIDORES CR TICOS GDR7 GORS GORY GDRIBACK NOCAT OSSIM NOC Campus Red LAN Figura 6 Esquema de red de la UTPL 1 3 4 AN LISIS DE LA UBICACI N Y SELECCI N DE ARQUITECTURA PARA LA IMPLEMENTACION DE LA HONE
166. sor Interface B Layer 2 interface segmenting Honeynet network Bl Intereface C Layer3 interface VPN connection to collection point ala Hub Honeypot Honeypot Honeypot Figura 2 Arquitectura Honeynet Generaci n II 16 En esta generaci n el control y la captura de datos son efectivos pero a n pueden ser mejorados La idea de las Honeynets Genll es crear una soluci n que sea m s f cil de desarrollar y m s dif cil de detectar El Control de Datos en Genll ofrece al agresor mayores posibilidades para interactuar con los sistemas comprometidos teniendo mayor control sobre sus actividades y haciendo m s dif cil que este control sea detectado Se espera que al darle al agresor m s flexibilidad en sus acciones especialmente en conexiones salientes se pueda recoger mayor informaci n de ellas Esto se consigue creando una respuesta m s inteligente y flexible a las acciones del blackhat En la Figura 2 se presenta el proceso que se realiza en la arquitectura de Honeynet Genll 1 2 5 3 Honeynets virtuales Una Honeynet Virtual se basa en el mismo concepto de la Honeynet pero implement ndose dentro de un mismo computador todos sus dispositivos son virtualizados mediante un software que permita esta tecnolog a 32 Dentro de una m quina f sica se levantan los Honeypots como m quinas virtuales formando la Honeynet Virtual Dependiendo de la configuraci n de cada uno y de la arquitectu
167. source via translate header Esta alerta de acuerdo a Snort est clasificada como Acceso a una aplicaci n web potencialmente vulnerable tiene una prioridad de 2 Ver Anexo 4 Vulnerabilidades encontradas PROTOCOLO NETBIOS NETBIOS Network Basic Input Output System Sistema Basico de E S en la red es un protocolo de comunicaci n entre ordenadores que comprende tres servicios servicio de nombres servicio de paquetes y servicio de sesi n y actualmente con la difusi n de Internet los sistemas operativos de Microsoft permiten ejecutar NETBIOS sobre el protocolo TCP IP Es un protocolo de compartici n de archivos en una red con la intensi n de esparcirse a trav s de la compartici n de archivos abiertos Este protocolo gener 2269 alertas NETBIOS SMB DS IPC unicode share access NETBIOS SMB DS srvsvc NetrPathCanonicalize unicode little endian overflow attempt debido a que los Honeypots cuentan con recursos compartidos y el an lisis muestra que se intentaron acceder a estos Se detalla las definiciones del resto de protocolos en el anexo G etapa 4 Descripci n de los protocolos Otros protocolos como el DNS TELNET FTP no proporcionan gran cantidad de tr fico en la Honeynet siendo un comportamiento contrario al presentado en la Honeynet UNAM que muestra gran cantidad de actividad v a puerto FTP DESCRIPCION DEL PROTOCOLO UDP En cuanto a los puertos del protocolo UDP los que m s intentos de conexi n son los que pertenecen a
168. ste proyecto es el nico en nuestro pa s y la idea es generar fuentes de conocimiento e investigaci n a partir de este generar estad stica de c mo estamos siendo atacados y la forma de mitigar estos riesgos para luego transmitir esta informaci n en nuestro medio y luego con sitios relacionados a este tipo de investigaci n Otros problemas que est n adjuntos en la documentaci n de este proyecto se trataron y fueron resueltos algunos me llevaron mucho tiempo y otro no al fin el agrado de contar con la Honeynet en la red de la UTPL La documentaci n presentada por el Proyecto Honeynet org acerca de la implementaci n en redes trampa en instituciones acad micas con infraestructuras muy grandes caracter stica com n entre las redes acad micas analizadas en esta secci n como lo son Georgia Tech la red de la ESPOL y la de UTPL demuestra el valor del tipo de arquitectura implementadas de Generaci n II lo cual es comprobado por la red trampa UTPL ya que es grande la cantidad de datos generados y la importancia de su contenido que es utilizado para el an lisis y servir n posteriormente para nuevos proyectos de investigaci n lo que es objetivo com n de los Proyectos Honeynet a nivel Mundial y que la Honeynet UTPL ha aportado para la constituci n de nuevos proyectos de investigaci n al contrario sucede con los datos generados por la Honeynet ec de la ESPOL que tiene montada una infraestructura virtual lo que limita la cantidad de capt
169. su grado de interacci n oocoococcnnncncoccnoncncnconininios 1 1 4 Utilidades de los HONeypotS oooococcccccccccncncoconononcocononincnnininnns 1 1 5 Valor de los HONeypotS cococococcncncocccconcncononcnconininincnccninincnnns 1 1 5 1 Ventajas 1 1 5 2 Desventajas ied ee ee Ere s px 1 2 Honeynets TZT IntFoducci D coe roo it de ret eee dede keds oir 1 2 2 Definici n de HONeynetS ooocococcccconcncoconcncononcnconononcnnncininnncinn ns 1 2 8 Requisitos y requerimientos de una Honeynet 1 2 3 1 Control d EDI a xesS 1 2 3 2 Captura de DatoS ooooccccccncnconccncnconccononcncononincnncninins 1 2 4 Requerimientos de una HONeyN6t oococcccccccncncoconcncncnconininincnnnos 1 25 Arquitecturas de una HONeyNet oococccccccncncocononcncononancncininancnn 1 2 5 1 Generaci 1 2 5 2 Generaci O E Mii aus tone deed 1 2 5 3 Honeynet Virtuales ocoooococococoncncncncononnncnconinancnccninnns 1 2 6 Problemas legales con la HoONeyNet oooocococcccncccccconcocononcnccnninn 1 2 6 1 Implicaciones Legales ooooocccccncccciccncococononcoconinincnnos 1 2 6 2 Permisos 1 2 7 Funcionamiento d e la Honeynets sc aia 1 2 8 T cnicas de enga o ocoocococcocccocincnoncocononancnnnnnncnnnnnnnnoninennnnnnnss 1 2 8 1 Symantec Decory Server Man Trap ssuss 1 2 8 2 Decepci n Toolkit DTK sse 1 2 8 3 LaBrea TalPit o oooonnoconnncccocccoconon
170. t cap tulo Ecuador www honeynet ec 4 ha arrancado no se cuenta con una infraestructura global que integre diversas redes Por ello se ha visto en la tecnolog a Honeypot una herramienta complementaria de seguridad valiosa no solo por aportar a una seguridad proactiva sino por constituir un potencial recurso de investigaci n que permite afrontar la seguridad desde una perspectiva que se alinea a los objetivos de las Universidades Por tanto el principal enfoque que le daremos a ste proyecto ser investigativo con lo que conseguiremos tener un conocimiento amplio sobre el comportamiento de los ataques perfiles de los atacantes y datos estad sticos a fin de aportar a otros grupos investigativos con informaci n v lida para el desarrollo de proyectos relacionados 1 1 2 DEFINICI N DE HONEYPOTS Lance Spitzner define a un Honeypot como un recurso de red destinado a ser atacado o comprometido 5 con la finalidad de obtener informaci n acerca de los m todos que utiliza un atacante para ingresar Es una trampa que se utiliza para identificar evitar y en cierta medida neutralizar los intentos de secuestrar los sistemas de informaci n y redes Ejemplo se puede enga ar al hacker para que piense que se encuentra frente a una organizaci n importante que contiene informaci n interesante o valiosa y que es un sistema poco seguro Un Honeypot es generalmente utilizado como un sistema de vigilancia o monitoreo as como un mecan
171. t2 discover 1101 Dst Port pt2 discover 1101 El SEBEK Kernel Data Capture Magic OXd0000000 Version 3 Type 2 Counter 1664 Time Aug 26 2009 03 44 49 20783431 Parent Process ID 13430 Process ID 1048 User ID 0 File Descriptor 0 Inode ID 6 Copmafid Name svchost exe Bata Length 15 Socket remote_ip 153 57 71 41 153 57 71 41 Socket remote_port 445 acket local_ip 200 0 30 50 200 0 30 50 Jocal_port 2572 Socket ca Tte Socket ip proto 6 Figura 23 Data Wireshark de la actividad registrada ETAPA 4 Consolidado Final A continuaci n se presenta un resumen consolidado de los datos obtenidos Tabla 18 Paquetes TCP ICMP UDP Junio Julio Agosto Total 152935 811708 21184113 11726117 33874873 19032 491496 1653317 2166979 82149 7795 52906 190555 Total de Paquetes TCP CMP UDP E Series1 tcp icmp udp Figura 24 Muestras por paquetes hacia los protocolos Tabla 19 Cantidad de accesos a puertos UDP Puertos UDP Mayo Junio Julio 138 netbios dgm 1770 6862 94 333 53 domain 1135 sais o o e 137 netbios ns 138 167 46 65 1016 1434 ms sql m 155 303 28 8 572 Accesos por los Puertos UDP mayo agosto 2009 B Total Figura 25 Accesos por puertos UDP Tabla 20 Cantidad de accesos a puertos TCP Mayo Junio i Total 7661 21470 3615997 0 20225 topmux 334 13773 14963 3302 0 3302 22 ss 568 1149 1717
172. tado a continuaci n es decir cuando un datagrama no puede alcanzar su destino y cuando el gateway puede dirigir al host para enviar el tr fico por una ruta m s corta Segundo bloque de alertas El segundo bloque de alertas corresponde a Tabla 11 Alertas ICMP recibidas 2 bloque Alta unio Mayo Julio Total MS SQL Worm propagation attempt MS SQL Worm propagation attempt OUTBOUND 740 456 18 1196 MS SQL version overflow attempt 1 NETBIOS SMB DS IPC unicode share access 2 0 0 631 631 NETBIOS SMB DS srvsvc NetrPathCanonicalize 0 0 538 538 unicode little endian overflow attempt 3 WEB IIS view source via translate header 4 0 0 19 19 BAD TRAFFIC tcp port 0 traffic 3 16 4 16 SNMP request tcp 6 0 6 SNMP AgentX tcp request 5 0 5 SNMP trap tcp 4 0 4 Total 2415 Alerta 1 El primer bloque de alertas 1 de acuerdo a los datos de la tabla tiene mayor incidencia desde el mes de mayo luego del an lisis de los datos correspondientes se determin que a trav s del tr fico dirigido al puerto UDP 1434 se infect a los Honeypots con el Worm Slammer explotando la vulnerabilidad CVE 2002 0649 Ver Anexo4 Vulnerabilidades Encontradas y Anexo 5 C digo Malicioso encontrado Las direcciones que han accedido a los Honeypots con el puerto UDP 1434 durante estos meses son Tabla 12 Direcciones IP que han accedido a los Honeypots con el puerto UDP 1434 Direccion Dominio Pais Cantidad ChinaNet Guangdong Province N
173. tema proporciona servicios como PHP SMTP FTP POP3 HTTP y TELNET que atraen facilmente a los atacantes pero en realidad son trampas que pretenden recolectar informaci n Algunas ventajas de utilizar Specter son Y Actividades sospechosas de inter s en sus redes se pueden detectar inmediatamente Y Los administradores son notificados de actividad hostil cuando esto ocurre por lo que pueden ver inmediatamente el problema y tomar medidas 2 Honeyd 10 El Honeyd es un Honeypot que crea host virtuales en la Red Los anfitriones pueden ser configurados para ejecutar servicios arbitrarios y su personalidad puede ser adaptado de modo que parezcan estar ejecutando ciertos sistemas operativos Honeyd mejora la seguridad Cibern tica proporcionando mecanismos para la detecci n y evaluaci n 3 KFSensor 11 El KFSensor es un Honeypot de Windows basado en sistema de detecci n de intrusos IDS act a para atraer y detectar piratas inform ticos y gusanos vulnerables mediante la situaci n de los servicios del sistema y troyanos 4 PatriotBox 12 El PatriotBox usa como se uelo el sistema de detecci n de intrusos IDS en entornos de red empresarial de forma efectiva la detecci n temprana de las amenazas de intrusos Tambi n utiliza ayuda para reducir el spam en internet ya que simula un servidor de correo de retrasmisi n abierta Honeypots de Alta Interacci n Estos tipos de Honeypots constituyen una soluci n comple
174. tination MAC IP Address and Port Select a magic value used to hide the data sebek generates Select a netwark interface to send the recorded data on Select the name of the process that will have access to the Sebek driver Atr s Cancelar Ayuda Figura 5 Pantalla de inicio de configuraci n de Sebek Clic en Siguiente 2 1 Elegir la ubicaci n del driver Sebek por defecto se ubica en la ruta c WINDOWS system32 drivers SEBEK SYS Sebek Configuration Wizard Select file ES Please select the Sebek driver file The Sebek Driver file contains the configuration information used throughout this wizard File Location AWINDOWS system32 drivers SEBEK SYS coda ein Figura 6 Ubicaci n del driver Sebek Clic en Siguiente Sebek Configuration Wizard Server Configuration Server Configuration Sebek logs all data it collects to a central server Please specify the information sebek will use to generate packets the server can collect This field specifies the MAC address to use for all outgoing packets If the logging server is more than one hop away from the honeypot then the Destination MAC should be set to the MAC of the default gateway for this network Destination MAC FF FF FF FF Jr JH This field defines the IP address used in all the packets generated by Sebek Since the Sebek server does not look at the Destination IP address when it collects packets it is not required nor r
175. tion stream reassembly for Snort Use in concert with the z alllest command line switch to defeat stick snot against TCP rules Also performs full TCP stream reassembly stateful inspection of TCP streams etc Can statefully detect various portscan types fingerprinting ECN etc stateful inspection directive no arguments loads the defaults timeout 30 memcap 8388608 options options are comma delimited detect_scans stream4 will detect stealth portscans and generate alerts when it sees them when this option is set detect_state_problems detect TCP state problems this tends to be very noisy because there are a lot of crappy ip stack implementations out there disable_evasion_alerts turn off the possibly noisy mitigation of overlapping sequences ttl limit number differential of the initial ttl on a session versus the normal that someone may be playing games Routing flap may cause lots of false positives keepstats machine binary keep session statistics add machine to get them in a flat format for machine reading add binary to get them in a unified binary output format noinspect turn off stateful inspection only timeout number set the session timeout counter to number seconds default is 30 seconds max sessions number limit the number of sessions stream4 keeps track of memcap number limit stream4 memory usage to number bytes does not include session tracking which is set
176. top Alerts on obsolete TCP options config disable_tcpopt_obsolete_alerts Stop Alerts on T TCP alerts In snort 2 0 1 and above this only alerts when a TCP option is detected that shows T TCP being actively used on the network If this is normal behavior for your network disable the next option A config disable tcpopt ttcp alerts s Stop Alerts on all other TCPOption type events s config disable tcpopt alerts A Stop Alerts on invalid ip options config disable ipopt alerts Alert if value in length field IP TCP UDP is greater than the actual length of the captured portion of the packet that the length is supposed to represent config enable_decode_oversized_alerts Same as above but drop packet if in Inline mode enable_decode_oversized_alerts must be enabled for this to work config enable_decode_oversized_drops Configure the detection engine Use a different pattern matcher in case you have a machine with very limited resources config detection search method lowmem Configure Inline Resets If running an iptables firewall with snort in InlineMode we can now perform resets via a physical device We grab the indev from iptables and use this for the interface on which to send resets This config option takes an argument for the src mac address you want to use in the reset packet This way the bridge can remain stealthy If the src mac
177. ty en Quito y en el Primer Congreso Internacional de Computaci n y Telecomunicaciones en la cuidad de Lima Per Il ESTRUCTURA DE LA TESIS La estructura de la tesis es la siguiente Se inicia con una introducci n general a la seguridad al trabajo realizado y la publicaci n de los documentos que se han desarrollado En el cap tulo 1 se trata el estado del arte de los Honeypots definici n y sus tipos especiales como son las Honeynets Aqu se trata la definici n requerimientos arquitecturas y funcionamiento de las Honeynets Para seleccionar la ubicaci n y la arquitectura correcta en la red se realiza un an lisis de las mismas En el cap tulo 2 se hace un estudio de las herramientas que se utilizar n para el control captura y an lisis de datos que est n incluidas en el software de la Honeynet como aquellas herramientas externas que fueron necesarias En el cap tulo 3 se hace una descripci n de las actividades para la implementaci n de la Honeynet en la red de la UTPL la descripci n de cada uno de los elementos que conforman la red trampa junto con sus requerimientos hardware sistemas servicios y la forma de operaci n de la Honeynet as como los diferentes problemas que surgieron durante este proceso Y finalmente en el cap tulo 4 se detallan las actividades encontradas en el an lisis del tr fico durante aproximadamente seis meses Ill OBJETIVOS General Implementar una HoneyNet en la Red de
178. uctura de la tesis es la siguiente Se inicia con una introducci n general a la seguridad al trabajo realizado y las publicaciones de los documentos que se han realizado En el capitulo 1 se trata el estado del arte de los Honeypots definici n y sus tipos especiales como son las Honeynets Aqui se trata la definici n requerimientos arquitecturas y funcionamiento de las Honeynets Para seleccionar la ubicaci n y la arquitectura correcta en la red se realiza un an lisis de las mismas En el cap tulo 2 se hace un estudio de las herramientas que se utilizar n para el control captura y an lisis de datos que est n incluidas en el software de la Honeynet como aquellas herramientas externas que fueron necesarias En el cap tulo 3 se hace una descripci n de las actividades para la implementaci n de la Honeynet en la red de la UTPL la descripci n de cada uno de los elementos que conforman la red trampa junto con sus requerimientos hardware sistemas servicios y la forma de operaci n de la Honeynet as como los diferentes problemas que surgieron durante este proceso Y finalmente en el cap tulo 4 se detallan las actividades encontradas en el an lisis del tr fico durante aproximadamente seis meses CAP TULO 1 ESTADO DEL ARTE 1 4 HONEYPOTS 1 1 1 INTRODUCCI N En la actualidad las organizaciones disponen de informaci n importante fundamental en el desarrollo y crecimiento de sus actividades es por ello que deben m
179. ument yes no HwMANAGE_DIALOG yes Specify whether management port is to be activated on start or not Valid argument yes no HwMANAGE_STARTUP yes Specy the network interface for remote management If set to bro it will assign MANAGE P to the logical bridge interface and allow its use as a management interface Set to none to disable the management interface Valid argument eth br ppp none HwMANAGE_IFACE eth2 IP of management Interface Valid argument IP address HwMANAGE_IP 172 16 71 222 Netmask of management Interface Valid argument IP netmask HwMANAGE_NETMASK 255 255 255 0 Default Gateway of management Interface Valid argument IP address HwMANAGE_GATEWAY 172 16 71 10 DNS Servers of management Interface Valid argument space delimited IP addresses HwMANAGE_DNS 200 0 31 155 TCP ports allowed into the management interface Do NOT include the SSHD port It will automatically be included Valid argument space delimited list of TCP ports HwALLOWED_TCP_IN 443 Specify whether or not the Honeywall will restrict outbound network connections to specific destination ports When bridge mode is utilized a management interface is required to restrict outbound network connections Valid argument yes no HwRESTRICT yes Specity the TCP destination ports Honeypots can send network traffic to Valid argument space delimited list of UDP ports HwALLOWED_
180. uncionar y la aplicaci n en este caso el Wireshark y el Honeysnap no se logren ejecutar con normalidad Hay que descargar los Pcaps por horas para disminuir su tama o o en su defecto a los archivos ya descargados dividirlos en partes de menos tama o para as lograr que se ejecuten las aplicaciones y realizar el an lisis Estas actividades se las detalla en los manuales de Administraci n del sistema 3 10 PROCESOS DE MANTENIMIENTO Luego de realizar una instalaci n exitosa de los Honeypots se debe obtener una imagen del sistema de instalaci n Algunas de las causas por las cuales se debe realizar el mantenimiento constante a un Honeypot son fallas en el software de instalaci n ataques a los Honeypots en los cuales el da o es muy grande etc ante estas circunstancias se sugiere desactivar los Honeypots siguiendo los siguientes pasos Desconectar el Honeypot de la Honeynet Recolectar y analizar el estado del sistema Generar el sistema de imagen y compararlo con la imagen inicial NN SS Reinstalar nuevamente el sistema en el Honeypot de acuerdo a los procedimientos establecidos Actualmente existe la imagen de los Honeypots con el objetivo de realizar un posterior an lisis forense Revisar constantemente la conectividad de los equipos de la red Honeynet Analizar el estado de los Honeypots y si est n funcionando correctamente Revisar que los servicios del servidor esten trabajando ejemplo mysql tcodump
181. unreachable Code 1 Host unreachable gcksum Ox35b0 correct Protocol src 200 0 30 50 200 0 30 50 D 5 Inte 92 26 232 5 192 26 232 5 if Figura 14 Data Wireshark de los paquetes Sebek encontrados Lo que significa que desde el Honeypot se accede a esa direcci n a trav s del puerto TCP 445 a su vez se muestra que con el comando ICMP a trav s de la direcci n 64 76 221 73 se accede al Honeypot 200 0 30 50 lo que da como resultado una alerta ICMP tipo 3 Destination Unreachable de c digo 1 Host Unreacheable ETAPA 3 Reporte de los datos obtenidos en el mes de Agosto La cantidad de paquetes correspondientes a los puertos TCP UDP e ICMP se detallan a continuaci n Tabla 13 Paquetes por protocolos TCP UDP ICMP Semana 1 Semana 2 Total 8801251 1590566 10391817 ICMP 281756 56630 338386 UDP 845290 774125 1619415 Tomando en cuenta la cantidad de datos dirigida especificamente del puerto TCP 445 del mes anterior el d a 3 de agosto se bloque el tr fico dirigido a este puerto en el Honeypot 200 0 30 52 tomada esa acci n la cantidad de alertas ICMP y el tr fico al puerto 445 disminuy considerablemente sin embargo la cantidad de tr fico a este puerto sigue encabezando la lista debido a que ahora la mayor a de tr fico est dirigido hacia el Honeypot 200 0 30 51 En la Figura 15 se presenta la cantidad total de paquetes TCP ICMP y UDP del mes de agosto Tr fico por Paquetes
182. ura de tr fico y las estad sticas presentan peque as cantidades de datos La recolecci n de datos contribuyeron a realizar el an lisis para obtener el conocimiento de lo que sucede en la red externa adem s permitieron hacer comparaciones con los resultados que se tiene de herramientas de seguridad implantadas en la red de la UTPL dando como resultado que coinciden con las alertas emitidas por los equipos de seguridad de la UTPL lo que valoriza los datos obtenidos por la Honeynet en otros casos se muestran datos adicionales como el descubrimiento de nuevos dominios direcciones ip que realizan escaneos a la red los cuales sirven tambi n para ser tomados en cuenta por los administradores de red Los resultados obtenidos en la Honeynet UTPL coinciden con las actividades encontradas en los an lisis de datos de otros proyectos Honeynet a nivel mundial como el Honeynet unam mx de M xico Honeynet Br de Brasil se confirma que los puertos con mas actividad son los de TCP que los pa ses de origen de los ataques son de Asia y Europa esta es otra forma de validar los resultados emitidos por la Honeynet Conclusiones En base al an lisis del tr fico obtenido en la Honeynet se puede concluir Los objetivos planteados al inicio de este proyecto se han cumplido se ha implementado la Honeynet en la red de la UTPL y queda como infraestructura base para nuevos proyectos de investigaci n Se cont con los recursos f sicos e infraestructura nec
183. utbound session So we allow it here before we begin counting outbound connections iptables A FORWARD m physdev 34 physdev in HwLAN_IFACE d HwLAN BCAST ADDRESS j LOG log level debug V 3 og prefix Legal Broadcast iptables A FORWARD d HwLAN BCAST ADDRESS j ACCEPT iptables A FORWARD m physdev physdev in HwLAN IFACE d 255 255 255 255 j LOG log level debug V og prefix Legal Broadcast iptables A FORWARD d 255 255 255 255 j ACCEPT Inbound TCP iptables A FORWARD m physdev physdev in HwINET_IFACE p tcp m state state NEW j LOG log level debug log prefix INBOUND TCP iptables A FORWARD m physdev physdev in HwINET_IFACE p tcp m state state NEW ACCEPT Inbound UDP iptables A FORWARD m physdev physdev in HwINET_IFACE p udp m state state NEW j LOG log level debug log prefix INBOUND UDP iptables A FORWARD m physdev physdev in HwINET_IFACE p udp m state state NEW j ACCEPT Inbound ICMP iptables A FORWARD m physdev physdev in HwINET_IFACE p icmp m state state NEW j LOG log level debug log prefix INBOUND ICMP iptables A FORWARD m physdev physdev in HwINET_IFACE p icmp m state state NEW j ACCEPT Inbound anything else iptables A FORWARD m physdev physdev in HwINET_IFACE m state state NEW j LOG log level debug log prefix INBOUND O
184. v Por ltimo se prob con Netstat Netstat genera informes detallados de las conexiones establecidas y los puertos abiertos o bloqueados esto con el fin de cerrar aquellos que no son necesarios 3 5 EL HONEYPOT LINUX Para este Honeypot se ha elegido como sistema operativo base la distribuci n Linux CentOS 5 2 con una configuraci n b sica m s los servicios que se desea controlar PNetstat es una herramienta de l nea de comandos que muestra un listado de las conecciones activas de un ordenador y los puertos locales y remotos utilizados 3 5 1 Servicios Se decidi ejecutar sobre este Honeypot los siguientes servicios Servidor Web Http FTP SSH Secure Shell Servidor Mail y servicios de base de datos que son los mas usados en los sistemas en producci n La distribuci n CentOS Linux viene con el Servidor Web Apache versi n 1 3 23 11 se utiliza como servidor web corriendo en su puerto por defecto 80 Este Servidor Web se ha instalado con las configuraciones por defecto Apache Tomcat es un Servidor Web basado en Java se configura en el puerto 8080 Otros servidores que se instalaron fueron el Servidor Secure Shell SSH un protocolo de transferencia de archivos FTP server el servidor MySQL servidor de base de datos y el servidor de Sendmail Todos los servidores que se han configurado utilizan sus propios archivos de configuraci n El Servidor FTP fue configurado para aceptar conexiones an nimas
185. y the HwFWFENCE variable if n HWFWFENCE amp amp e HwFWFENCE amp amp HwFENCELIST ENABLE yes then Only forward outbound packets from honeypots iptables A FORWARD m physdev physdev in HwLAN_IFACE j FenceList logger p localO info rc firewall loading fencelist from HwFWFENCE IPS cat HwFWFENCE grep v sed s r nj for ip in IPS do iptables A FenceList d ip j FenceLogDrop done iptables A FenceLogDrop j LOG log level debug V log prefix BOUNCED OFF Fence iptables A FenceLogDrop j DROP 3t Return to the calling tables iptables A FenceList j RETURN iptables A FenceLogDrop j RETURN fi THHHHHHBHHBE Let s setup the firewall according to the Mode selected bridge or nat Note by default the firewall will be in bridge mode unless there is a value in the HwHPOT PRIV IP FOR NAT variable if n HwHPOT PRIV IP FOR NATj then NAT Mode logger p localO info rc firewall enabling NAT mode Let s bring up our internal interface ifconfig S HwLAN_IFACE HwHPOT PRIV IP FOR NAT netmask HwALIAS MASK FOR NAT up i 0 z 1 tempPub HwHPOT PUBLIC IP for host in HwHPOT PRIV IP FOR NAT do if i 0 then This is the first honeypot Let s attach it to our nic ifconfig HwINET_IFACE tempPub i netmask HwALIAS MASK FOR NAT up else Bring up eth aliases ifconfig HWINET_IFACE z tempPub i
186. z que sirve de Gateway para los Honeypots Las reglas son configuradas para evitar IP Spoofing desde la red interna Estas reglas garantizan que solo los paquetes que tienen origen las direcciones de red interna se pueden ir fuera Se restringe el tr fico proveniente de internet hacia el Gateway Otra cosa importante que se logra con las normas del Iptables es Y Reducir la posibilidad de ataques de denegaci n de servicios DoS Y la regulaci n de los Honeypots Y y la cantidad de tr fico que puede salir desde la Honeynet El firewall es configurado para establecer limites sobre la cantidad de datos que pueden ser enviados desde cada sistema trampa por unidad de tiempo Los l mites utilizan las conexiones salientes en el caso de TCP y el n mero de paquetes para Tp Spoofing Consiste en sustituir la direcci n IP origen de un paquete TCP IP por otra direcci n a la cual se desea suplantar UDP ICMP y otros una categoria que detecta si los atacantes utilizan un protocolo diferente como IPv6 dentro de IPv4 para enviar datos desde la red trampa El tiempo para cada l mite puede indicarse en unidades de segundos minutos horas y d as Los paquetes de salida autorizados para pasar a trav s del firewall son luego enviados a Snort Inline Es capaz de tomar acciones contra el tr fico saliente que tenga ataques conocidos El objetivo aqu es contar las conexiones de salida y cuando un cierto l mite se ha cumplido se bl
Download Pdf Manuals
Related Search