• Saltar a la navegación principal
  • Saltar al contenido principal
  • Saltar a la barra lateral principal

Joan Escorihuela

  • Inicio
  • Contacto

14 noviembre, 2014 by Joan 2 comentarios

Modern HoneyPot Network: dejando un tarro de miel en internet

Todos tenemos nuestros router y ordenadores conectados permanentemente a internet con una dirección publica, estos equipos son susceptibles a recibir ataques sobre vulnerabilidades propias de los mismos. Por lo general pensamos que a nadie le interesa perder el tiempo y recursos para vulnerar nuestra seguridad, ya que no tenemos nada interesante a ofrecer. Pero en realidad existen ataques que se realizan automáticamente sin intervención humana, son botnets o redes de ordenadores infectados con software malicioso con la única función de escanear todos los servicios publicados por cualquier equipo conectado a internet y descubrir si este es susceptible a ser vulnerable para comprometer esos equipos y extraer la mayor información posible o usarlos para fines ilegales sin tu autorización.

MHN-PORT

Todos estos ataques son capaces por si mismos de saltarse servicios con vulnerabilidades ya conocidas y explotarlas a favor del administrador de la botnet.

El propósito de este articulo es demostrar que estos ataques existen y que todos estamos expuestos a ellos minuto a minuto, para ello voy a publicar en internet lo que se hace llamar como Tarro de Miel o HoneyPot, en este caso voy a usar Modern Honey Network instalado en un Ubuntu 14.04 LTS.

Lo que vamos a conseguir con ello es simular ser un ordenador conectado a internet con varios servicios activos y aparentemente vulnerables, aunque en realidad no existan, de esta forma nuestro atacante muerde el anzuelo y se convierte en nuestra victima pudiendo analizar todos los pasos que esta realizando para intentar comprometer la seguridad de un servicio aparentemente real.

Instalar Modern Honey Pot Network

Primero de todo deberemos tener instalado Ubuntu 14.04 LTS sin ningún componente adicional ni entorno de escritorio, es decir, una instalación limpia.

Una vez instalado nuestro Ubuntu accedemos mediante SSH como usuario root y una vez logueado nos vamos a dirigir al directorio /opt/

cd /opt/

MHN1

Para instalar MHN necesitamos instalar los siguientes paquetes:

  • Sudo
  • GIT
  • Ppython 2.6
  • GCC
  • Automake

Antes de empezar la instalación debemos instalar estos paquetes en el sistema, siempre y cuando no los tengas ya en tu Ubuntu:

apt-get install sudo git python gcc automake -y

MHN2

Una vez instalados todos los paquetes procedemos a descargar una copia de MHN desde github.com mediante GIT:

git clone https://github.com/threatstream/mhn.git

MHN3

Nos posicionamos en la carpeta nhm/scripts:

cd mhn/scripts/

MHN4

Y a continuación ejecutamos los scripts de instalación necesarios para instalar MHN:

sudo ./install_hpfeeds.sh

MHN5

sudo ./install_mnemosyne.sh

MHN6

 sudo ./install_honeymap.sh

MHN7

Por ultimo vamos ejecutar el script que nos va ayudar a instalar y a configurar el servidor:

sudo ./install_mhnserver.sh

Se iniciara el asistente de instalación de MHN y lo configuraremos con los parámetros siguientes:

MHN8

Pide si queremos ejecutar en modo depuración, seleccionamos No
Pide poner dos veces la contraseña de acceso
Pide que URL queremos que tome como base para acceder mediante web, lo dejamos por defecto
Pide la URL del mapa a tiempo real como base para acceder mediante web, también lo dejamos por defecto
El servidor de correo, por defecto localhost
El puerto del servidor de correo, por defecto el 25
En la opción de usar TLS para el correo, seleccionamos No
En la opción de usar SSL para el correo, seleccionamos No
Dejamos en blanco el usuario del servidor de correo
Dejamos en blanco la contraseña del servidor de correo
Dejamos la ruta del fichero mhn.log por defecto

MHN9

Una vez confirmados los datos de configuración va a tardar unos minutos en cargar todas las reglas en la base de datos…

MHN10

Una vez finalizada toda la configuración se reiniciara el servidor web nginx.

MHN11

Una vez instalado podemos comprobar si Nginx el Supervisor y MHN están corriendo, ejecutando los siguientes comandos:

sudo /etc/init.d/nginx status
sudo /etc/init.d/supervisor status
sudo supervisorctl status

MHN11-1

Si todo funciona correctamente ya podemos acceder mediante el navegador web a la URL indicada en la configuración y autenticarnos mediante el correo y contraseña seleccionados durante la misma.

MHN12

El concepto de los Sensores

Es muy importante entender que el sensor es una aplicación externa al Managementent de MHN, este sensor se puede instalar en el propio servidor de Modern Honey Pot, pero a la vez también podemos ir desplegando «Sensores» en otros servidores remotos, de esta forma vamos a poder desplegar tantos HoneyPot como queramos y todos los datos se van a cruzar en la consola de administración central, pudiendo filtrar no solo la procedencia y el tipo de ataque que reciben los sensores, sino que ademas podremos filtrar por destinos. En el caso de instalar sensores en varios servidores VPS por diferentes países, también vamos a tener una idea de que países o proveedores de redes son los mas susceptibles a ser atacados y no solo eso, también la información de que tipo de ataques se hacen en cada zona geográfica, aparte de que tipo de ataques son mas comunes dependiendo de la procedencia de los mismos. En verdad es muy divertido ver todo esto en directo, por lo que os animo a emplazar el máximo de «Sensores» que os sea posible.

Instalar el Sensor

En este ejemplo voy a mostrar como desplegar el sensor en el mismo servidor donde instalamos el MHN, para ello accedemos dentro de la administración y dentro de ella en la seccion «Deploy»

MHN13

En este caso vamos a desplegar un sensor basado en Dionaea, este sensor simula abrir puertos comunes susceptibles a ser atacados, los puertos abiertos por Dionaea son:

Puerto Servicio Descripción
80 http Servidor Web
443 https Servidor web seguro
69 tftp Transferencia de archivos
21 FTP Transferencia de archivos
445 SMB/CIFS Compartición de ficheros e impresoras
5060 sip Comunicación de voz sobre ip
1433 mssql Servidor de base de datos de Microsoft
3306 mysql Servidor de base de datos de MySQL

Para ejecutar el sensor seleccionamos en el desplegable «Ubuntu – Dionaea» nos va a generar un script que debemos insertar en el interprete de comandos de nuestro Ubuntu.

MHN14

Pegamos el script en el interprete de comandos de Ubuntu y se instalara el sensor que volcara los datos en nuestro panel de control.

MHN15

Una vez instalado el sensor, volvemos a la administración web, accedemos a «Sensors» >> «View Sensors» y observamos que efectivamente se ha creado correctamente el enlace a nuestro sensor, con todos los datos para identificarlo, la etiqueta Name es totalmente personalizable y a la derecha observamos el numero de veces que ha recibido ataques, lo normal es 0 cuando el sensor es nuevo, pues deberemos esperar unos minutos para empezara ver intentos de intrusión.

MHN16

Lo mas divertido de Modern HoneyPot Network, es el mapa interactivo, que si lo dejamos abierto durante unos minutos nos aparecen a tiempo real todos los ataques que se están realizando hacia nuestros sensores, los puntos amarillos indican la posición de nuestros sensores y los rojos la situación de los atacantes, cuando dos puntos parpadean significa que hay un atacante (rojo) accediendo a un sensor o victima (amarillo).

MHN-MAPA

Instalar sensores adicionales

Podemos desplegar sensores en cualquier lugar, por ejemplo contratando un servidor VPS o instalando un PC con Ubuntu en tu casa o en la oficina, emplazándolo en la zona DMZ de tu router o firewall.

La base es la misma, necesitamos un Ubuntu 14.04 LTS sin ningún componente adicional ni entorno de escritorio, es decir, una instalación limpia.

Primero de todo vamos a actualizar el repositorio de apt.

apt-get update

Una vez actualizado vamos a instalar todos los paquetes necesarios para desplegar el Sensor.

apt-get install sudo git python gcc automake software-properties-common python-software-properties -y

Para desplegar el nuevo Sensor accedemos a la administración web y dentro de ella en la seccion «Deploy» y seleccionamos en el desplegable «Ubuntu – Dionaea» esto nos va a generar un script que debemos insertar en el interprete de comandos de nuestro Ubuntu remoto que actuara como un sensor adicional.

MHN14

Para ello copiamos el script, lo pegamos en el interprete de comandos de Ubuntu y se instalara el sensor que volcara los datos en nuestro panel de control.

MHN17

Si el sensor se instala satisfactoriamente nos saldrá el siguiente resultado por pantalla: «dionaea: added process group»

MHN18

Una vez instalado el sensor, volvemos a la administración web, vamos a «Sensors» >> «View Sensors» y observamos que efectivamente se ha creado un segundo sensor, con todos los datos relacionados al servidor, la etiqueta Name se puede personalizar.

MHN19

Podemos crear una red de sensores

No hay limite, podemos añadir tantos sensores como queramos. En mi caso he desplegado 4 sensores repartidos geográficamente.

  1. Servidor de OVH situado en Francia con Ubuntu (MHN Server)
  2. VM en mi casa con Ubuntu, situada en la zona DMZ del router.
  3. VPS de host1plus situado en Reino Unido con Ubuntu.
  4. VPS de OVH situado en Canada con Ubuntu.

Este es el resultado de mi despliegue:

MHN20

Observando los resultados

Después de dejar varias horas los sensores obteniendo datos de todas las conexiones recibidas cuando accedemos a la pagina principal de MHN Manager muestra un resumen de los ataques recibidos en las ultimas 24 horas.

MHN21

Para ver detalladamente todas las conexiones, accedemos a la sección «Attacks» donde se van archivando todos los intentos de intrusión por sensor, país, ip origen, puerto atacado y protocolo utilizado.

MHN22

Todos estos datos se pueden filtrar por varios criterios para rastrear y cruzar los datos de los ataques recibidos.

En mi caso, después de 24 horas, puedo advertir que mi conexión a internet particular, ha recibido mas de 1400 ataques, no soy una empresa ni una organización, tan solo un particular, como comenté al principio del articulo, no hace falta que seas alguien importante para que quieran acceder a tus sistemas. Es importante ser precavido.

Si disponéis de las herramientas y conocimientos para seguir esta guía, os animo que hagáis esta prueba por vuestra cuenta, me gustaría mucho conocer vuestra experiencia.

Os dejo la URL del mapa en vivo de mi Modern HoneyPot Network:
http://37.187.112.84:3000/

Si  lo dejáis abierto unos minutos veréis como se van registrando los ataques.
No se por cuanto tiempo voy a mantener el servicio operativo por lo que es posible que deje de funcionar en unas semanas.

Actualizado 20/12/2014: He dado de baja mi Modern HoneyPot, podéis ver otro en vivo en este enlace: http://map.honeynet.org/ (Un proyecto de HoneyNet.org)

Publicado en: Linux, Redes, Seguridad, Sistemas

Interacciones con los lectores

Comentarios

  1. Marcelo dice

    19 mayo, 2015 a las 5:31 pm

    Muy bueno, gracias.

    Responder
  2. kuse dice

    27 noviembre, 2015 a las 7:29 pm

    Muchas gracias, muy instructivo y entendedor para empezar.

    Salut!

    Nota: por cierto, mi abuelo tenia tu mismo apellido :p

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

sidebar

sidebar-alt

Joan Escorihuela ·
  • Política de cookies
  • Aviso legal
  • Contacto