Home Security KFSensor, configuración básica de un HoneyPot para detectar patrones de ataques (Parte I)

KFSensor, configuración básica de un HoneyPot para detectar patrones de ataques (Parte I)

by José Luis Sánchez Borque

Uno de los principales retos de los administradores de sistemas centrado en la seguridad, no es solo detectar posibles ataques a nuestros servidores y servicios, sino entender los patrones de ataque.

Un HoneyPot en términos informáticos, es un software que permite crear un sistema con el objetivo de exponerlo públicamente para ser atacado. El objetivo no será otro que analizar los diferentes intentos de conexión para evaluar los riesgos de los ataques.

Dependiendo del software que utilicemos (Honeyd, HoneyBOT, Kippo, KFsensor, etc) podremos simular con más precisión un Sistema Operativo completo, o configurar un determinado servicio de red con más detalle, por ejemplo un IIS.

En este Post os voy a hablar de Kfsensor de keyfocus.

Las características claves de este HoneyPot que funciona bajo Windows son:

  • Monitorea todo el tráfico recibido
  • Interactúa con el atacante emulando servicios reales.
  • Permite establecer alertas y enlazarlo con algún SIEM (Security Information and Event Management) como puede ser OSSIM.
  • Permite obtener estadísticas y gráficos para analizar los diferentes aspectos de los ataques.

Os recomiendo leer todo lo que se puede llegar a realizar con el programa en la web.

Podemos descargar una versión gratuita totalmente funcional durante 30 días. En mi caso me ha bajado la KFSensor Professional.

Necesitaremos también instalar alguna librería de captura de paquetes de red, o tendremos una funcionalidad limitada. Podemos utilizar a tal efecto:

  • WinPcap, la mejor opción para versiones antiguas de Windows
  • Npcap, mejor opción para Windows 10 o Windows 2016

La instalación en ambos casos (KFSensor y Npcap en mi caso) es simple y sigue las reglas básicas del CI –Chicken Installation-, vamos que le vamos dando al siguiente, siguiente, siguiente…. Por lo tanto esta parte no la documentamos 😉

La aplicación se instala inicialmente como un servicio de red, eso hay que tenerlo en cuenta. Podemos verlo desde PowerShell mediante la orden:

PS C:\Users\demo> Get-Service keyfocussensor

Status Name DisplayName
------ ---- -----------

Running keyfocussensor KFSensor

Podemos gestionar el servicio a través del cmd o powershell. Para esta primera toma de contacto lo dejaremos como está.

Una vez instalada procederemos a ejecutarla por primera vez. Inicialmente nos aparece la posibilidad de ejecutar un Wizard para la configuración inicial. En nuestro caso cancelaremos el asistente y realizaremos una configuración manual. Siempre podemos volver al Wizard dentro del menú Setting Set Up Wizard.

Al ejecutar la aplicación nos encontramos con un escenario previamente creado, con diferentes servicios TCP y UDP creados.

OJO!!! que si no tenemos cuidado se puede dar de patadas con servicios locales, o interactuar con elementos de la red, y por lo tanto tener comportamientos no deseados.

Para este primer post sobre KFsensor vamos a establecer un escenario controlado configurando nuestra máquina para aceptar peticiones TCP para los protocolos Telnet, SMTP, DNS e IIS 7, y TCP UDP simulando en todos los casos un servidor Windows. Más adelante probaremos con otros servicios.

Para ello nos vamos a la opción Edit Scenarios del menú Scenario.

Allí añadiremos un nuevo escenario mediante la opción Add, e iremos añadiendo y configurando los diferentes servicios indicados anteriormente. Como consejo os emplazo a ver cómo están configurados los diferentes servicios del escenario por defecto y aprender de ellos.

Por ejemplo, para configurar un IIS 7 lo hacemos de la siguiente manera:

Fijaros que si en Action Type ponemos Sim Std Server podemos elegir la versión del IIS que nos interese en SIM Name

Finalmente nuestro escenario queda definido de la siguiente manera:

Vemos desde la ventana principal como ha quedado todo.

Para los intentos de conexión recordar que deberemos habilitar los protocolos TCP y UDP que pertoquen en el firewall de Windows, si si, ese que siempre la gente deshabilita por el morro, y luego se llena la boca de seguridad informática

 

Si ahora probamos a conectarnos por ejemplo al IIS, telnet y smtp vemos el resultado:

Podemos verificar también el estado con un nmap:

demo@ubuprofe:~# nmap -sT -p23,25,53,80 192.168.153.128

Starting Nmap 7.01 ( https://nmap.org ) at 2018-06-03 18:34 CEST

Nmap scan report for 192.168.153.128

Host is up (0.00052s latency).

PORT STATE SERVICE

23/tcp open telnet
25/tcp open smtp
53/tcp open domain
80/tcp open http
demo@ubuprofe:~# nmap -sU -p53 192.168.153.128

Starting Nmap 7.01 ( https://nmap.org ) at 2018-06-03 18:35 CEST

Nmap scan report for 192.168.153.128

Host is up (0.00038s latency).

PORT STATE SERVICE
53/udp open|filtered domain

Podemos incluso ver que ante un escaneo detallado con nmap, este detecta que la versión es un IIS 7… Vamos una caña… que la simulación es capaz de engañar a todo un clásico de la seguridad informática.

root@ubuprofe:~# nmap -T4 -A -p80 192.168.153.128

Starting Nmap 7.01 ( https://nmap.org ) at 2018-06-03 18:37 CEST

Nmap scan report for 192.168.153.128

Host is up (0.00057s latency).

PORT STATE SERVICE VERSION

80/tcp open http Microsoft IIS httpd 7.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.0
|_http-title: IIS7

Todos los intentos de conexión quedan perfectamente trazados, y en espera los examinemos para examinar toda esa información.

Evidentemente que esto es solo el principio, y por lo tanto nos queda mucho por hacer… exportar los datos, analizarlos, establecer alertas, firmas, etc.

En un próximo Post daremos una vuelta de tuerca a todo esto.

 

You may also like

Leave a Comment