Publicado el 27/10/2011 12:10:00 en Seguridad.
Author: n4ch0m4n | Total de votos: 8   Vote

No encontré info en específica sobre honeypots en DDLR y menos sobre kippo (https://code.google.com/p/kippo/).

Primero comentó lo que son los honeypots (potes de miel en su traducción):

Se denomina honeypot al software o conjunto de computadores cuya intención es atraer a atacantes, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot

Fuente: wikipedia

En pocas palabras se puede decir que los honypots es un un soft cuya finalidad es atraer a “atacantes” para intentar ingresar vulnerar el “sistema”, así poder ver la forma de ataque y obviamente aprender de ello.

Piensen también que podemos utilizar el honeypots para engañar a los “atacantes” y que se entretengan con un sistema que no podrá ser vulnerado mientras que el real está a salvo.

Existen honeypots que pueden llegar a emular todo un sistema completo (honeypots de alta interacción) como uno simple que puede emular un servidor ssh (honeypots de alta interacción), acá es donde paso a comentar sobre Kippo, que es este último caso.

Kippo está escrito en Python y como todo honeypots guarda un registro de los intentos de acceso al servidor(fuerza bruta, diccionario, etc) y una vez que el “atacante” se conecta quedará registrado todo comando y archivo que el “atacante” descargue en el sistema emulado.

Kippo tiene algo muy útil que es una especie de reproductor que muestra en tiempo real el ataque realizado por el “atacante” (lo explicaré obviamente).

Ahora veamos como lo instalamos y como se utiliza:

------------------------
1- Instalación de python-twisted. (este paquete es un framework creado obviamente en python que permite crear un servidor SMTP, HTTP, servidores proxy y ssh fácilmente):
------------------------
# apt-get install python-twisted



------------------------
2- Descargamos Kippo desde su web: https://code.google.com/p/kippo/downloads/detail?name=kippo-0.5.tar.gz&can=2&q=
------------------------

# wget https://kippo.googlecode.com/files/kippo-0.5.tar.gz



..descomprimimos...

# tar xfvz kippo-0.5.tar.gz

------------------------
3- Configuración:
------------------------

Dentro de la carpeta donde descomprimimos Kippo encontrarán el archivo de configuración de la aplicación: kippo.cfg

Entre las opciones las más importantes son las siguientes:

ssh_port = 2222
 #puerto ssh a emular, por default viene el 2222

hostname = sales
 #host del servidor ssh emulado

log_path = log
 #carpeta donde se guardará los logs

download_path = dl
 #idem anterior pero donde se alojará los archivos que descargue el “atacante”

password = 123456
 #pass del root del servidor ssh emulado

También está la opción de guardar estos datos en una base mysql (para más info vean el archivito .cfg)

Hago una aclaración, generalmente el puerto ssh a atacar por los “atacantes” es el 22, por lo que es útil natear el puerto 22 al 2222 o bien mediante una regla iptables:



------------------------
4- Puesta en marcha:
------------------------

# ./start.sh



En si este bash lo que hace es esto:

$ twistd -y kippo.tac -l log/kippo.log --pidfile kippo.pid

Por lo que con el comando

$ twistd -y kippo.tac -n

..podremos verlo en tiempo real

------------------------
5- Ahora ataquemos!!! :P
------------------------

Desde otra consola u otro equipo o desde afuera de nuestra red local probamos conectarnos:

$ ssh root@honeypost -p 2222

Entramos y tiramos algunos comandos:




------------------------
6- Logs
------------------------

En el archivo logs/kippo.log veremos el log de conexión y más interesante en logs/TTY veremos los logs de la acción dentro de la shell abierta por el “atacante” y podremos verla en tiempo real:

La herramientra se encuentra dentro de la carpeta utils:

$ ./playlog.py ../log/tty/20111027-000147-988.log 0






Bueno espero les haya sido de interés. Luego veo de poner algo sobre honypots de alta inteacción!

Aguardo sus comentarios al respecto!!
(aclaro que los prints son míos al igual que la redacción...para que no haya dudas..)

abrazo!!!