Arquivo da categoria ‘honeypots’

Clique aqui e veja nosso novo site

Fonte: drkmario.blogspot.com

Galera, estou com pouco tempo, Por isso tenho que ser bem rapido

Primeiramente

O Snort é uma das ferramentas mais utilizadas com o intuito de detectar no momento o acesso não autorizado, vale lembrar que no site  http://www.snort.org/ ] também tem uma versão desse IDS para plataforma Microsoft.

Faça o download do snort no link ditado.

# tar zxvf snort.x.x.tar.gz (x.x é a versão)

Será descompactado e criado um diretório snort.x.x, entre nesse diretório e continue…

# ./configure -prefix=/usr/local/snort

# make

# make install

O snort será instalado no diretório /usr/local/snort. Agora o snort está instalado.

OBS: Não está configurado, para isso vamos precisar fazer mais algumas alterações.

Passos:
01. Criar o diretório onde será guardado o arquivo de log do snort.

02. Criar o diretório no /ETC onde ficará o snort.conf e os arquivos rules.

03. Fazer as copias necessárias do arquivos mencionados.

04. E a configuração propriamente dita.

# mkdir /var/log/snort

# mkdir /etc/snort
Passo 3
# cp /usr/local/snort/*.* /etc/snort # cp /usr/local/snort/rules/*.* /etc/snort
Passo 4
# pico /etc/snort/snort.conf (esse é o arquivo de configuração)

Localize as seguintes linhas no arquivo citado acima:

# Path to your rules files (this can be a relative path)
var RULE_PATH ../rules

Essa linha configura o caminho onde ficarão os arquivos de regras, ela deve ficar conforme abaixo:

# Path to your rules files (this can be a relative path)
var RULE_PATH /etc/snort

No final do arquivo snort.conf, vocês encontrarão as linhas que ativam/desativam o uso das regras (rules) como no exemplo abaixo. Retire o símbolo(#) de cada uma das linhas… pois este símbolo especifica uma linha de comentários…. caso queira ativar a linha.

#include $RULE_PATH/local.rules
#include $RULE_PATH/bad-traffic.rules
#include $RULE_PATH/tftp.rules

Estas linhas são as regras que o Snort utilize para identificar e interpretar os ataques realizados em sua máquina por possíveis invasores, você encontrará regras para identificar ataques de Denial of Service, uso de P2P, uso de Port Scanners, cabe a você escolher quais regras serão mais úteis. Salve e feche o arquivo snort.conf.
Para executar o snort, execute a linha abaixo:

# /usr/local/snort/bin/snort -c /etc/snort/snort.conf -i eth0 &

A opção –i indica qual a interface que o snort estará “escutando”, você pode colocar essa linha no /etc/rc.local para garantir a inicialização sempre que o servidor for reiniciado. A opção & indica que o serviço será rodado em Background.
Por fim no diretório /var/log/snort será criado automaticamente o arquivo alert, monitore sempre esse arquivo para verificar possíveis invasões.

Voce pode configurar o snort de acordo com que voce deseje… Pesquise sobre outras configuraçoes no proprio site http://www.snort.org

Até+

importancia de saber invadir

Um hacker etico na minha opniao tem que saber invadir E precisa tambem está atualizado sobre os novos tipos de invasao, pois si ele nao saber invadir. como ele vai si defender contra as invasoes?

Por exemplo: se eu sei invadir um computador pelo metasploit, tipo de invasao: RPC DCOM. Eu sei que a invasao  RPC DCOM é pela porta 135, entao pela logica eu posso evitar essa invasao pela porta 135 fechando a porta 135.

Entenderam meu ponto de vista. Inclusive uma pessoa que é gerenciador de segurança, precisa ainda mais de saber invadir.

Por exemplo: Si um gerenciador de segurança, nao sabe nem o que é invasao e é um segurança de rede, Se algum dia um hacker do mal tentar invadir ele, pode ter certeza que ele nao vai evitar a invasao. E outra, si esse segurança de rede um dia chegar a brigar com um cracker sem saber que é um cracker, voce pode ter certeza que ele vai ser atormentado pelo resto de sua vida na empresa em que trabalha como segurança em rede, pois o cracker nao vai deixar ele quieto.

Um segurança em rede nao só precisa saber invadir, como tambem criar metodos para pegar possiveis invasores.

Vamo lá, Voces que tem alguma esperiencia na area de segurança em rede. Si um cracker está te atormentando e nao quer parar de te atormentar, todo dia ele usa um tipo de invasao nova. O que eu tenho que fazer para pegar esse invasor?

o que voces acham ?

Para pegar o invasor voce nao pode instalar um firewall, pois o firewall vai bloquiar o invasor, e nós nao queremos bloquiar, nós queremos pega-lo. Lembra como o Tsutomu shimomura pegou o hacker kevim mitinik?

Pra quem nao sabe eu vou falar… Ele criou um honeypot para pega-lo com a mao na massa. O Tsutomu criou um honeypot, para que o kevim invadisse-o, e quando ele invadisse o honeypot, simultaneamente ele seria pego pelo honeypot.

E voltando a nossa pergunta…

Como poderiamos pegar um invasor?

Uma das formas seria criando um honeypot.

Para quem nao sabe o que é honeypot  -> honeypot é uma ferramenta para detecçao de intrusos.

Iae galera, o que voces acham ?

Um segurança em rede, precisa ou nao saber invadir ?

Worms x honeyposts

Publicado: maio 12, 2009 em ataques, honeypots, rede, seguranca, virus

Worms x honeyposts,

Pode-se com trolar worms principalmente com anti-virus e atualizaçoes feitas, mas nas grandes instituiçoes esta tentativa de controle, pode ser bem frágil. Esses worms são um dos grandes problemas nas redes hoje em dia. Worm é um programa que ao infectar em algum lugar, esse se multiplica e é espalhada nas outras maquinas  da rede atraves de coneçoes de rede, geralmente congestiona as conexoes, consumindo recursos computacionais.

honeypots   X worms

Honeypot é um sistema com o intuito de ser sondado por possiveis invasores.

Um honeypot pode ser utilizado para monitorar, possiveis invasores e suas atividades maliciosas em uma rede, pois capturam toda uma interaçao provenientes de maquinas internas ou externas.

Se um worm tentar infectar um host interno da rede e tentar se propagar através da rede, quando interagir com o honeypot ele será detectado pelo proprio honeypot.

 

O honeypot íra gerar logs, do tipo: Honeyd.log <data> <hora> <protocolo> [E|S|-] <IP_Origem> <Porta_Origem> <IP_Destino> <Porta_Destino>: Bytes [Flags|0] [S.O.]

Você pode configurar o honeypot para quando uma invasão for pega pelo honeypot, o próprio manda uma mensagem para security@instituicao.bla.

____________________________________________________________

Para que se fosse possivel comparar atividades, identificar tantativas de acessoa serviços, diferenciar acessos oriundos da rede interna e externa, bem como manter um historico, um conjunto de graficos e arquivos htm foram gerados. Voce pode utilizar o software ORCA.

Basicamente, gera graficos de arquivos que possuam algum campo de timestamp e dados a serem plotados. Alem disso pode gerar dados em areas ou em linhas, entre outros.

 

1. Arquivos de log do honeyd são utilizados para

gerar arquivos de entrada para o ORCA,

chamados orca_data;

2. Estes arquivos são utilizados pelo ORCA

para gerar os gráficos, segundo um arquivo de

configuração do ORCA.

3. Estes gráficos então são armazenados segundo

suas datas para posteriormente serem visualizados.

Fonte: cgi

Tecnicas de invasao e defesa

Existem muitas tecnicas de invasao e defesa, existem muitas que nao sao divulgadas na internet, pois são tão belas e adoraveis que pessoas que descobrem nao as divulgam publicamente. Exemplo: Muitos crackers nao divulgam suas tecnicas pois seriam ruim para eles, pois as falhas seriam corrigidas.
Vamos largar de conversa  e partir para a explicaçao.
Não falarei de todas as tecnicas, até porque eu nao sei de todas existentes. vou falar das mais utilizadas e precisas.
Tecnicas de Invasao
1º – tem que si definir o alvo
2º – Recolher informaçoes sobre o alvo
3º – Usar ferramentas para a invasao
4º – Phishing
5º – Esteganografia
<———Tecnicas invasao—————>
1 – definir um alvo
Para definir um alvo, voce pode usar o google, myspace, orkut, google groups.
Exemplo: google
* Voce pode fazer buscas especificas utilizando recursos avançados do google como as tags,Intitle, Inurl, Intext.
Esses recursos podem trazer belos resultados.

intranet2 – Engenharia social
engenharia social “é a arte de enganar”
Voce pode iludir uma pessoa a receber uma foto que teria um virus incluido na foto.
<———Ferramentas para intrusao—————>
Existem milhares de ferramentas para penetration(invasao), Porem vou mostrar aqui as melhores, “que eu acho”, (para a ferramenta ser boa, voce tem que gostar! e saber usar).
Google, Dig, Nmap, Nessus, Metasploit, Telnet, Sendip, John the ripper, Host, Hping3, Netcat.
=> Dig – Uma ferramenta quase igual ao nslookup, Porem mais flexivel, pode ser utilizada para fazer buscas como A, TXT, MX E NS.
dig +qr google.com any
;; ANSWER SECTION:
google.com. 10186 IN MX 10 smtp2.google.com.
google.com. 10186 IN MX 10 smtp3.google.com.
google.com. 10186 IN MX 10 smtp4.google.com.
google.com. 10186 IN MX 10 smtp1.google.com.
google.com. 318637 IN NS ns1.google.com.
google.com. 318637 IN NS ns2.google.com.
google.com. 318637 IN NS ns3.google.com.
google.com. 318637 IN NS ns4.google.com.
;; AUTHORITY SECTION:
google.com. 318637 IN NS ns2.google.com.
google.com. 318637 IN NS ns3.google.com.
google.com. 318637 IN NS ns4.google.com.
google.com. 318637 IN NS ns1.google.com.
;; ADDITIONAL SECTION:
smtp1.google.com. 2986 IN A 72.14.203.25
smtp2.google.com. 2986 IN A 64.233.167.25
smtp3.google.com. 2986 IN A 64.233.183.25
smtp4.google.com. 2986 IN A 72.14.215.25
ns1.google.com. 345220 IN A 216.239.32.10
ns2.google.com. 345220 IN A 216.239.34.10
ns3.google.com. 345219 IN A 216.239.36.10
ns4.google.com. 345219 IN A 216.239.38.10

=>portScan –  PortScan é um scanneador de portas. o portscan ele sai batendo em cada uma das portas  e ve quais estao abertas. Um exemplo de portscan é o nmap. Nmap é um brilhante portScan existente no dia de hoje. É uma otima ferramenta, muito utilizada para invasao, para descobrir falhas nos sistemas e descobrir portas abertas desnecessariamente.

portscan=>Nessus –  o Nessus é uma ferramentas de autitoria muito usada para detectar e corrigir vulnerabilidades nos computadores da rede local. Nessus encontra bugs e mostra o link de sites para corrigir os BUGS.

=> Metasploit –  Essa é a melhor ferramenta que existe. É utilizado para escrever, testar e executar codigos de exploit. Foi desenvolvido para prover penetraçao em sistemas atraves de programas com bugs(erros).
Metasploit > console   e interface web.

metasploit

=> Telnet – Um protocolo para si conectar remotamente asistemas.
telnet http://www.alvo.com.br 80
Trying 200.189.171.181…
Connected to http://www.alvo.com.br.
Escape character is ‘^]’.
GET / HTTP/1.1
Host: http://www.alvo.com.br

=> John the ripper –    Um programa usado para descriptar senhas unix, dos, winNT?/win95 e tambem MD5,DES baseado na funcao CRYPT.

=> Hping3 –   Ferramenta capaz de enviar pacotes TCP, UDP E ICMP personalizados e receber respostas como consegue em icmp. com ele podemos fazer um ataque DoS.

=> Netcat –   Programa para consultoria de redes muito
conhecido, isso deve-se ao fato de ele ser um
programa muito versátil, podendo desde ser
um simples telnet, portscan até um sniffer.
TROJAN/nc
nc -l -e /bin/bash -p 1033
A porta 1033 será colocada em listenning, redirecionaremos a saida de dados para um shell (/bin/bash). Assim quando alguém se
conectar a essa porta terá domínio total sobre
o computador.
Sniffer/nc
# nc -vv -z 75.126.176.71 -p 80 22 110 25 21
servidor9.molservidores.com [75.126.176.71] 22 (ssh) : Connection refused
servidor9.molservidores.com [75.126.176.71] 110 (pop3) open
servidor9.molservidores.com [75.126.176.71] 25 (smtp) open
servidor9.molservidores.com [75.126.176.71] 21 (ftp) open

=> Phishing –  Phishing é um tipo de fraude projetada para
roubar sua identidade.Em um phishing scam,
uma pessoa mal-intencionada tenta obter
informações como números de cartões de
crédito, senhas, dados de contas ou outras
informações pessoais convencendo você a
fornecê-las sob pretextos enganosos.=> jp(hide an seek)   –   O jphide e o jpseek são programas utilizados
para esconder mensagens em arquivos JPEG.

<—————–Tecnicas CONTRA-INVASAO——————->
Firewall
(NHWK)IDS
HoneyPots
Antispam

=> Firewall –    Port Knock, uma solução leve e fácil de
configurar, permite que portas específicas só
sejam abertas no momento desejado atraves
de tentativas de conexão em portas
específicas.

=>(NHWK)IDS  –
NIDS – Network Intrusion Detection System
HIDS – Host-based Intrusion Detection System
WIDS – Wireless Intrusion Detection System
KIDS – Kernel Intrusion Detection System

=>  HoneyPots –  Útil para vigilância e alerta aos tipos de
ataques mais utilizados porem deve ser
utilizado com cuidado para que o invasor não
tenha acesso a rede real.

=> Antispam –   Indispensável para qualquer MX, útil para evitar
emails forjados e de domínios não confiaveis,
pode ser incrementado com opções de RBL e
CAPTCHA (“Completely Automated Public
Turing test to tell Computers and Humans
Apart”).

Dug Song, famoso pelo desenvolvimento do conhecido dsniff, anunciou na lista focus-IDS de seguranca uma nova ferramenta para evitar que o Snort intercepte um dado ataque… Trata-se do fragroute… De acordo com alguns testes, ateh mesmo a ultima versao CVS disponivel do Snort pode ser “enganada” pela ferramenta… 0xCafeBabe realizou outros testes utilizando o Red Hat 7.2 com a ultima versao disponivel do Snort e a exploracao ao bug do wuftpd passou totalmente despercebida ao IDS… Outros sistemas IDS tambem podem responder da mesma forma…

FONTE:  LINUXSECURITY

Falei que iria criar um post sobre honeypots, entao eis o que eu faço.
O que é um Honeypot ??
Honeypot significa Pote de Mel.
Honeypot é uma armadilha feita para detectar, pegar, desviar ou em algum modo contrariar as tentativas de conexao não autorizada.
Foi criando um honeypot que o famoso hacker Tsutomu Shimomura conseguiu capturar o Kevin Mitnick.
“Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido).
Os honeypots não fazem nenhum tipo deprevenção contra invasores, só é um modo mais eficas de IDS(intrusion detection system = Sistema de detecçao de intrusos).

Sting – Cybercop ( NAI ) – Utilizado em ambiente Windows NT – Simulava uma rede inteira –Emitia respostas falsas para os atacantes simulando diversos ambientes operacionais.

Um honeypot simples, porem muito eficas é o valhala:

Abra o valhala honeypot

Clicando no botao configurar, terá opçoes para configurar uma alusão(simulaçao) de servidores, como: telnet, ftp, finger, pop3 e outros…

imagem servidores

Vamos simular um servidor telnet

simulando telnet

na simulaçao telnet voce pode colocar a porta a ser aberta para a simulaçao do telnet, colocar as pastas que o invasor podera ver, Tambem pode criar simulaçoes de arquivos. Vamos agora fazer o teste, vou tentar uma invasao no meu proprio computador

teste

Meu teste feito com o honeypot na minha propria maquina.

Esse é só um dos honeypots, Existem muitos honeypots espalhados aí pela net, basta procurar.

Espero ter sido claro e ter esclarecido algumas duvidas sobre o que é um honeypot.

fonte: Livro-A arte dos honeypots