Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Laboratorio 4 - Honeypot

    Cargado por

    Dayana Day
    155 vistas7 páginas
    hihgoikbljkhj

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    hihgoikbljkhj

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    155 vistas7 páginas

    Laboratorio 4 - Honeypot

    Cargado por

    Dayana Day
    hihgoikbljkhj

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    LABORATORIO 4: HONEYPOT

    Creación de Máquina Virtual e Instalación de Servicios

    Instale una máquina Virtual con las siguientes características:

    Tipo de Imagen Ubuntu Server 18.04 LTS (HVM), SSD


    Volume Type 

    Tipo de Hardware t2.micro

    Key Pair Utilice en Key Pair creado en la clase


    anterior, si perdieron el archivo .pem se
    recomienda crear uno nuevo.

    Todas las demás características dejar por defecto.


    Capture una pantalla de su instancia y/o entorno Virtual usado.

    ¿Qué es cowrie?
    Se usa principalmente para registrar las sesiones de un atacante, luego con cowrie
    obtenemos una mejor comprensión de los detalles del atacante, como las
    herramientas, métodos y procedimientos del atacante. Cowrie es una simulación de su
    servidor que significa que el atacante pensará que ha hackeado / atacado su
    servidor. Entonces, cuando un atacante ingresa los datos correctos (nombre de usuario
    o contraseña) para iniciar sesión en su sistema, el sistema los dejará entrar sin ningún
    error y se colocarán en un sistema falso. El honeypot mantiene los registros y las pistas
    del atacante, como sus comandos, o cada tecla escrita y guarda todo lo que el atacante
    descargó. Esta es una forma efectiva de capturar a un atacante.

    El servicio SSH daemon se ejecutará en un puerto alto que es 22222, Cowrie en 2222 y
    el puerto 22 se redirigirá a 2222 usando iptables. Luego, el bot o atacante SSH se
    conectará al puerto 22 que se redirige a nuestro honeypot en el puerto 2222.
    Requisitos y procedimientos para instalar cowrie:
    Cambie el puerto predeterminado 22 al puerto 22222 (Servidor Ubuntu):

    Estamos cambiando el puerto 22 (puerto SSH predeterminado) para que el bot o el


    atacante piensen que están en un puerto SSH real. Este es un tipo de defensa cuando se
    mueve el puerto SSH en sus servidores. Honeypot hará que el puerto 2222 actúe como
    el real.

    Primero escriba este comando para cambiar el puerto:

    sudo nano /etc/ssh/sshd_config

    Esto abrirá el archivo sshd_config:

    En la línea 13 como la anterior, elimine el "#port 22" y reemplace con el Puerto 22222.
    Adjunte captura de pantalla.

    Ahora escriba:

    systemctl restart ssh


    systemctl status ssh

    Reiniciamos SSH para ver si escucha el nuevo puerto configurado.


    Está escuchando el puerto 22222. Modificar el Grupo de seguridad para añadir este
    nuevo puerto y conectarse nuevamente por putty. (Caso de AWS)
    Conectarse nuevamente por medio de ssh al servidor Ubuntu por el nuevo puerto.

    Para ver si realmente estamos escuchando el puerto 22222, escriba:

    ssh [su-nombre-de-usuario]@localhost -p 22222

    Con la ayuda del comando netstat y los comodines adecuados muestre la información
    del nuevo puerto ssh, compruebe que ahora se conecta por medio del puerto 22222.
    Pegue una captura de la evidencia.

    Ahora Instalar Cowrie Honeypot en Ubuntu

    Primero necesitamos actualizar el sistema:


    sudo apt update

    Luego instalamos todas las dependencias de Cowrie:


    sudo apt-get install git python-virtualenv libssl-dev libffi-dev
    build-essential libpython3-dev python3-minimal authbind virtualenv

    Luego necesitamos agregar un usuario Cowrie:


    sudo adduser --disabled-password cowrie
    Añadiendo el usuario 'cowrie' ...
    Añadiendo el nuevo grupo 'cowrie' (1000) ...
    Agregando el nuevo usuario 'cowrie' (1000) con el grupo 'cowrie' ...
    Creando el directorio de inicio '/ home / cowrie' ...
    Copiando archivos de `/ etc / skel '...
    Cambiar la información del usuario para cowrie
    Ingrese el nuevo valor, o presione ENTER para obtener el
    Nombre completo []:
    Número de habitación []:
    Teléfono del trabajo []:
    Teléfono de la casa []:
    Otro ]:
    ¿Es correcta la información? [S / n] S
    Puede dejar el Nombre completo y los otros campos en blanco, ENTER.
    Ahora corramos con el usuario cowrie:
    su - cowrie

    Para la contraseña, si la deja en blanco, simplemente presione Intro o Enter.


    Luego, para verificar su identificación, simplemente escriba:

    id

    Ahora descarguemos el código para Cowrie:

    git clone http://github.com/cowrie/cowrie

    Cloning into 'cowrie'...


    remote: Counting objects: 2965, done.
    remote: Compressing objects: 100% (1025/1025), done.
    remote: Total 2965 (delta 1908), reused 2962 (delta 1905), pack-reused 0
    Receiving objects: 100% (2965/2965), 3.41 MiB | 2.57 MiB/s, done.
    Resolving deltas: 100% (1908/1908), done.
    Checking connectivity... done.
    Ahora necesitamos crear un entorno virtual para que Python y Cowrie se ejecuten y lo
    activen:

    $ cd cowrie

    $ pwd

    /home/cowrie/cowrie

    $ virtualenv --python=python3 cowrie-env

    New python executable in ./cowrie/cowrie-env/bin/python

    Installing setuptools, pip, wheel...done.

    Luego, necesitamos instalar los paquetes de Python que Cowrie necesita para ejecutar:

    $ source cowrie-env/bin/activate
    (cowrie-env) $ pip install --upgrade pip

    (cowrie-env) $ pip install --upgrade -r requirements.txt

    Del paso anterior debe descargar e instalar unos paquetes, adjuntar evidencia.

    Ahora necesitamos configurar el demonio Cowrie:


    cd etc/
    sudo cp cowrie.cfg.dist cowrie.cfg

    Este comando crea un archivo de configuración que podemos editar y luego usar un
    editor para modificar este archivo.

    sudo nano cowrie.cfg

    Después de eso, editaremos este archivo cambiando primero el nombre de host, ya que
    esto hará que el atacante piense que está en nuestro servidor sin que sepamos:

    En hostname, colocar un nombre de servidor que pueda ser blanco para un ataque, por
    defecto estará como svr04

    Adjuntar captura.

    Ahora vamos a habilitar telnet:


    En este archivo (cowrie.cfg) hay muchas opciones para revisar, desde el registro y las
    alertas hasta la dirección falsa y las descargas de archivos.

    Finalmente estamos listos para comenzar el servicio


    Abrir otro terminal, entrar con usuario cowrie y ubicarse en: /home/cowrie/cowrie

    bin/cowrie start

    Desde el netstat, podemos ver el demonio SSH y Telnet de nuestro honeypot


    escuchando en el puerto 2222 y 2223 respectivamente. Adjuntar captura.

    Luego necesitamos redirigir el tráfico del puerto 22 y 23 a los puertos altos 2222 y 2223
    usando iptables:

    iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-


    port 2222

    iptables -t nat -A PREROUTING -p tcp --dport 23 -j REDIRECT --to-


    port 2223

    Para escanear los puertos y escanear lo que está sucediendo en el honeypot escriba:

    tail -f log var/log/cowrie/cowrie.log

    Y Para ver los registros de tu honeypot escribe:

    cat var/log/cowrie/cowrie.log

    Adjunte capturas y explique las diferencias de ambos comandos.


    Tarea: (5 puntos)
    1. Hacer pruebas de inicio de sesión por ssh y telnet al servidor honeypot creado.
    Tiene que investigar y hacer las pruebas necesarias para que el atacante piense
    que está dentro de una sesión a un servidor de la red. Adjunte lo que sale en
    los registros de cowrie.log e interactúe con la consola de comando cuando
    tenga “acceso”.
    2. Realizar un ataque de fuerza bruta por diccionario desde Kali hacia el servicio
    Telnet. Comprobar las salidad en cowrie.log y ver los login exitosos.

    OBSERVACIONES Y CONCLUSIONES (MIN 3 DE CADA UNO)

    También podría gustarte