Pent box security

Clase 4

Se denomina honeypot al software o conjunto de computadores cuyaintención es atraer a atacantes, simulando ser sistemas vulnerableso débiles a los ataques.

Es una herramienta de seguridad informática utilizada para recogerinformación sobre los atacantes y sus técnicas.

Los honeypots pueden distraer a los atacantes de las máquinas másimportantes del sistema, y advertir rápidamente al administradordel sistema de un ataque, además de permitir un examen enprofundidad del atacante, durante y después del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemasoperativos no existentes en la realidad y se les conoce comohoneypots de baja interacción y son usados fundamentalmente comomedida de seguridad. Otros sin embargo trabajan sobre sistemasoperativos reales y son capaces de reunir mucha más información;sus fines suelen ser de investigación y se los conoce como honeypotsde alta interacción.

Un tipo especial de honeypot de baja interacción son los stickyhoneypots (honeypots pegajosos) cuya misión fundamental es la dereducir la velocidad de los ataques automatizados y los rastreos.

También se llama honeypot a un sitio web o sala de chat, que se hacreado para descubrir a otro tipo de usuarios con intencionescriminales.

Spam honeypots

Los spammers son usuarios que abusan de recursos como losservidores de correo abiertos y los proxies abiertos. Algunosadministradores de sistemas han creado honeypots que imitan estetipo de recursos para identificar a los presuntos spammers.

Algunos honeypots Jackpot, escrito en Java, y smtpot.py, escrito enPython. Proxypot es un honeypot que imita un proxy abierto (oproxypot).

Honeypots de seguridad

Programas como Deception Toolkit de Fred Cohen se disfrazan deservicios de red vulnerables.

Cuando un atacante se conecta al servicio y trata de penetrar en él,el programa simula el agujero de seguridad pero realmente nopermite ganar el control del sistema. Registrando la actividad delatacante, este sistema recoge información sobre el tipo de ataqueutilizado, así como la dirección IP del atacante, entre otras cosas.

http://www.all.net/dtk/

Honeypots de seguridad

Honeynet Project es un proyecto de investigación que despliegaredes de sistemas honeypot (HoneyNets) para recoger informaciónsobre las herramientas, tácticas y motivos de los criminalesinformáticos

Security Suite es un proyecto que desarrolla una Suite de SeguridadInformática. Dentro de los programas que la engloban estadisponible un Honeypot configurable de baja interacción. El proyectoes multiplataforma, programado en Ruby y está licenciado bajoGNU/GPL. (El cual trabajaremos nosotros con Pentbox)

PenTBox es una suite de seguridad, paquetes de seguridad y la estabilidad de lasherramientas de prueba orientados a las redes y sistemas.

Programación en Ruby y orientado a GNU / Linux, aunque es compatible conWindows, MacOS y sistemas en los que cada Rubí trabaja.

Está libre, licenciado bajo GNU / GPLv3.

Algunas Características de su Ultima versión:

Ejecución de comandos en gets (STDIN) implementado.

Honeypot ahora muestra IP del atacante y el puerto (thx Shyish)

Incluye las opciones de registro

Lista de palabras es más grande ahora

Incluido "back" opción en los menús.

Nuevas herramientas:

Incluido área nueva, herramientas Web.

Incluido nuevo módulo de geolocalización dirección MAC (samy.pl).

Incluido nuevo módulo HTTP directorio fuerza bruta.

Incluido nuevo módulo HTTP comunes archivos de fuerza bruta.

Incluido exploits para DOS


[otros / http] Conmutador 3Com SuperStack DoS

[otros / http] Los routers 3Com OfficeConnect DoS (Content-Type)

[windows / ftp] Windows 7 IIS7.5 Ftpsvc UNAUTH'D DoS

[windows / ftp] Solar FTP Server 2.1 DoS

[windows / pptp] MS02-063 PPTP con formato incorrecto de Control de DatosKernel DoS

[windows / smb] Windows Vista / 7 SMB2.0 Negociar protocolo de petición DoSBSOD


pb_update.rb incluido para actualizar PenTBox desde el repositorio SVN.

bugfixing:

Solucionado el problema con la API SHODAN

Eliminado l33t habla y el menú adicional

Mejorando la comprobación de permisos, ahora se hace por euid, no nombre deusuario (thx r4mosg)

Primero lo descargamos de la siguiente dirección la versión pentbox-1.5

http://www.pentbox.net/

Y lo descomprimimos como se muestra a continuación

http://www.pentbox.net/

Segundo abrimos una terminal y escribimos

sudo su

Para tener permisos de administrador como se muestra a continuación

Tercero en la misma terminal nos metemos al directorio descomprimido donde seencuentra pentbox-1.5

cd Desktop

cd pentbox-1.5/

./pentbox.rb

Como se muestra a continuación

Cuarto en la misma terminal una vez que ha cargado la herramientacorrectamente

Seleccionamos la opción 2 de Network Tools


Quinto en la misma terminal

Seleccionamos la opción 2 Manual Configuration


Sexto en la misma terminal insertamos el puerto deseado para nuestra Honeypot

En mi caso el 8080


Séptimo en la misma terminal colocamos el mensaje a muestra para nuestraHoneypot

En mi caso Analis de Seguridad TI


Octavo en la misma terminal le decimos que si guarde un registro coninstrucciones para nuestra Honeypot

Posteriormente les damos a que el registro se guarde en la dirección por defaultque nos proporciona así como activar un sonido cuando haya una intrusión, comose muestra a continuación.

Por ultimo en la misma terminal nos saldrá que ha sido activada con éxito nuestraHoneypot

Como se muestra a continuación.

Abrimos otra terminal y tecleamos el comando ifconfig

Y checamos nuestra inet


Posteriormente abrimos el navegador (Chrome y Firefox) y colocamos la inet juntocon el puerto 8080 de nuestra Honeypot


Pent box security

Education

Transcript of Pent box security