Herramientas de Redes
1. Honey Pot
Un HoneyPot (Pote de Miel), o sistema trampa o señuelo, es una herramienta de la seguridad informática dispuesto en una red o sistema informático para ser el objetivo de un posible ataque informático, y así poder detectarlo y obtener información del mismo y del atacante.
Si el sistema dispuesto para ser atacado forma toda una red de herramientas y computadoras dedicadas en exclusiva a esta tarea se le denomina Honeynet.
Hay varios tipos diferentes de honeypots:
- Honeypot de investigación: este tipo de trampa es utilizada por desarrolladores, administradores de sistemas y gerentes que trabajan en instituciones como universidades, colegios, escuelas y otras asociaciones relacionadas.
- Honeypot de producción: es utilizado por instituciones públicas y privadas, empresas y corporaciones para investigar el comportamiento y las técnicas de los piratas informáticos que buscan atacar redes en Internet.
Estos sistemas de trampas a menudo se configuran en una máquina virtual o un servidor en la nube conectado a una red, pero aislados y monitoreados estrictamente por equipos de sistemas y redes. Para ayudarlos a ser notados por los malos, los honeypots están diseñados para ser intencionalmente vulnerables, con debilidades que un atacante detectará e intentará explotar.
Estas debilidades pueden ser parte de un agujero de seguridad dentro de una aplicación o vulnerabilidades del sistema, como puertos abiertos innecesarios, versiones de software desactualizadas, una contraseña débil o un kernel antiguo sin parchear.
Una vez que el atacante haya encontrado su objetivo vulnerable, intentará lanzar un ataque y escalar los privilegios hasta que pueda obtener cierto control de la caja o la aplicación.
Veamos algunos.
Honeypots Genéricos.
T-POT: T-Pot es la plataforma honeypot "todo en uno", opcionalmente distribuida, multiarch (amd64, arm64), compatible con más de 20 honeypots e innumerables opciones de visualización mediante Elastic Stack, mapas animados de ataque en vivo y muchas herramientas de seguridad para mejorar aún más la experiencia de engaño.
FaPro: FaPro es una herramienta de servidor de protocolo falso, puede iniciar o detener fácilmente múltiples servicios de red. El objetivo es admitir tantos protocolos como sea posible y admitir tantas interacciones profundas como sea posible para cada protocolo: DNS, DCE/RPC, EIP, Elasticsearch, FTP, HTTP, IEC 104, Memcached, Modbus, MQTT, MySQL, RDP, Redis, S7, SMB, SMTP, SNMP, SSH, Telnet, VNC, IMAP, POP3, NTP, RTSP, PORTMAP, PostgreSQL, SIP, SSDP, BACnet, Oracle TNS, AMQP, NFS, COAP, WEMO, DHT, Ethereum, SOCKS5, EOS.IO, ONVIF, NetBIOS, WebLogic, ICAP, MSSQL, LDAP
Honeypot de Escritorios Remotos.
rdpy: RDPY es una implementación pura de Python del protocolo Microsoft RDP (Remote Desktop Protocol) (lado del cliente y del servidor). RDPY se basa en el motor de red impulsado por eventos Twisted. RDPY admite la capa de seguridad RDP estándar, RDP sobre SSL y autenticación NLA (a través del protocolo de autenticación ntlmv2).
OpenCanary: En esencia, OpenCanary crea un honeypot de red que le permite atrapar a los atacantes antes de que comprometan completamente sus sistemas. Como definición técnica, OpenCanary es un demonio que ejecuta varias versiones de canary de servicios que alerta cuando se usa un servicio (ab). Soporta SNMP, RDP y SAMBA [Opcional] SNMP requiere la biblioteca de Python scapy [Opcional] RDP requiere la biblioteca python rdpy [Opcional] El módulo Samba necesita una instalación funcional de samba.
Honeypots de SSH:
Kippo: este honeypot SSH escrito en Python ha sido diseñado para detectar y registrar ataques de fuerza bruta y, lo que es más importante, el historial completo de shell realizado por el atacante. Está disponible para la mayoría de las distribuciones de Linux modernas y ofrece configuración y administración de comandos cli, así como una interfaz basada en web. Kippo ofrece un sistema de archivos falso y la capacidad de ofrecer contenido falso a los atacantes (como archivos de contraseña de usuario, etc.), así como un poderoso sistema de estadísticas llamado Kippo Graph.Honeypot de HTTP.
- Glastopf: este honeypot basado en HTTP le permite detectar ataques de aplicaciones web de forma eficaz. Escrito en Python, Glastopf puede emular varios tipos de vulnerabilidades, incluida la inserción de archivos local y remota, así como la inyección de SQL (SQLi) y el uso de un sistema de registro centralizado con HPFeeds.
- Nodepot: este honeypot de aplicación web se centra en Node.js, e incluso te permite ejecutarlo en hardware limitado como Raspberry Pi / Cubietruck. Si está ejecutando una aplicación Node.js y busca obtener información valiosa sobre los ataques entrantes y descubrir qué tan vulnerable es, entonces este es uno de los honeypots más relevantes para usted. Disponible en la mayoría de las distribuciones de Linux modernas, su ejecución depende de unos pocos requisitos.
- Google Hack Honeypot: comúnmente conocido como GHH, este honeypot emula una aplicación web vulnerable que los rastreadores web pueden indexar, pero permanece oculta a las solicitudes directas del navegador. El enlace transparente utilizado para este propósito reduce los falsos positivos y evita que se detecte el honeypot. Esto le permite probar su aplicación contra los siempre tan populares de Google Dorks. GHH ofrece un archivo de configuración fácil, así como algunas capacidades de registro agradables para obtener información crítica del atacante, como IP, agente de usuario y otros detalles del encabezado.
Honeypots de base de datos
- ElasticHoney: con Elasticsearch explotado con tanta frecuencia en la naturaleza, nunca es una mala idea invertir en un honeypot creado específicamente para este tipo de base de datos. Este es un honeypot simple pero efectivo que le permitirá detectar solicitudes maliciosas que intentan explotar las vulnerabilidades de RCE. Funciona al recibir solicitudes de ataque en varios puntos finales populares como /, / _search y / _nodes, y luego responde brindando una respuesta JSON que es idéntica a la instancia vulnerable de Elasticsearch. Todos los registros se guardan en un archivo llamado elastichoney.log. Una de las mejores cosas es que esta herramienta honeypot está disponible para los sistemas operativos Windows y Linux.
- HoneyMysql: este sencillo honeypot MySQL se crea para proteger sus bases de datos basadas en SQL. Escrito en Python, funciona en la mayoría de las plataformas y se puede instalar fácilmente clonando su repositorio de GitHub.
- MongoDB-HoneyProxy: uno de los honeypots de MongoDB más populares, se trata específicamente de un proxy honeypot que puede ejecutar y registrar todo el tráfico malicioso en un servidor MongoDB de terceros. Se requieren Node.js, npm, GCC, g ++ y un servidor MongoDB para que este honeypot de MongoDB funcione correctamente. Se puede ejecutar dentro de un contenedor Docker o cualquier otro entorno de VM.
HoneyPots de Correo Electrónico.
- Honeymail: si está buscando una forma de detener los ataques basados en SMTP, esta es la solución perfecta. Escrito en Golang, este honeypot para correo electrónico le permitirá configurar numerosas funciones para detectar y prevenir ataques contra sus servidores SMTP. Sus principales características incluyen: configurar mensajes de respuesta personalizados, habilitar el cifrado StartSSL / TLS, almacenar correos electrónicos en un archivo BoltDB y extraer información del atacante como dominio de origen, país, archivos adjuntos y partes del correo electrónico (HTML o TXT). También proporciona una protección DDoS simple pero potente contra conexiones masivas.
- Mailoney: Este es un gran honeypot de correo electrónico escrito en Python. Se puede ejecutar en diferentes modos, como open_relay (registrando todos los correos electrónicos que se intentaron enviar), postfix_creds (utilizado para registrar las credenciales de los intentos de inicio de sesión) y schizo_open_relay (que le permite registrar todo).
- SpamHAT: esta trampa está diseñada para atrapar y evitar que el spam ataque cualquiera de sus buzones de correo electrónico. Para que esto funcione, asegúrese de tener instalado Perl 5.10 o superior, así como algunos módulos CPAN como IO :: Socket, Mail :: MboxParser, LWP :: Simple, LWP :: UserAgent, DBD :: mysql, Digest: : MD5 :: Archivo, además de tener un servidor MySQL en ejecución con una base de datos llamada 'spampot'.
Honeypots de IOT
- HoneyThing: Creado para Internet de los servicios habilitados para TR-069, este honeypot funciona actuando como un módem / enrutador completo que ejecuta el servidor web RomPager y es compatible con el protocolo TR-069 (CWMP). Este honeypot de IOT es capaz de emular vulnerabilidades populares para Rom-0, Misfortune Cookie, RomPager y más. Ofrece soporte para el protocolo TR-069, incluyendo la mayoría de sus comandos CPE populares, como GetRPCMethods, Get / Set parameter values, Download, etc. A diferencia de otros, este honeypot ofrece una interfaz basada en web fácil y pulida. Finalmente, todos los datos críticos se registran en un archivo llamado honeything.log
- Kako: la configuración predeterminada ejecutará una serie de simulaciones de servicio para capturar información de ataque de todas las solicitudes entrantes, incluido el cuerpo completo. Incluye servidores Telnet, HTTP y HTTPS. Kako requiere los siguientes paquetes de Python para funcionar correctamente: Click, Boto3, Requests y Cerberus. Una vez que esté cubierto con los paquetes requeridos, puede configurar este honeypot de IOT usando un archivo YAML simple llamado kako.yaml. Todos los datos se registran y se exportan a AWS SNS y al formato JSON de archivo plano.
Otros Honeypots.
- Dionaea: este honeypot de baja interacción escrito en C y Python usa la biblioteca Libemu para emular la ejecución de instrucciones Intel x86 y detectar códigos de shell. Además, podemos decir que es un honeypot multiprotocolo que ofrece soporte para protocolos como FTP, HTTP, Memcache, MSSQL, MySQL, SMB, TFTP, UPNP etc. Sus capacidades de registro ofrecen compatibilidad con Fail2Ban, hpfeeds, log_json y log_sqlite.
- Miniprint: Dado que las impresoras son algunos de los dispositivos que más se pasan por alto en las redes informáticas, Miniprint es el aliado perfecto cuando necesita detectar y recopilar ataques basados en impresoras. Funciona al exponer la impresora a Internet mediante un sistema de archivos virtual donde los atacantes pueden leer y escribir datos simulados. Miniprint ofrece un mecanismo de registro muy profundo y guarda cualquier trabajo de impresión de postscript o texto plano en un directorio de carga para su posterior análisis.
- Honeypot-ftp: Escrito en Python, este honeypot FTP ofrece soporte completo para FTP simple y FTPS para que pueda realizar un seguimiento profundo de las credenciales de usuario y contraseña utilizadas en intentos de inicio de sesión ilegales, así como los archivos cargados para cada sesión FTP / FTPS.
- HoneyNTP: NTP es uno de los protocolos que más se pasa por alto en Internet, y por eso es una buena idea ejecutar un Honeypot NTP. Este es un servidor NTP simulado de Python que se ejecuta sin problemas en los sistemas operativos Windows y Linux. Funciona al registrar todos los paquetes NTP y los números de puerto en una base de datos de Redis para que pueda realizar un análisis posterior.
- DShield Honeypot: DShield Honeypot es un honeypot ligero destinado a imitar un sistema vulnerable para recopilar información sobre amenazas. Luego, estos datos se envían al vasto repositorio de datos de SANS ISC con fines de investigación. Puede funcionar en una RaspBerry Pi.
HoneyPots en RaspBerry Pi
De acuerdo a la documentación existente, honeeepi, es un desarrollo para raspberry pi que se basa en el sistema operativo raspbian personalizado que posee varias honeypots que se pueden utilizar de acuerdo a la necesidad, dentro de las cuales se encuentran:
- Conpot: Es un honeypot de sistemas de control industrial de baja interactividad, fácil de implementar, modificar y extender, capaz de emular una infraestructura industrial compleja. Cuenta con una interfaz de interacción humana para aumentar la superficie de ataque del honeypot.
- Dionaea: Es un honeypot diseñado para atrapar el malware que explota las vulnerabilidades publicadas por los servicios de red. El objetivo es obtener una copia del malware. Puede realizar la publicación de servicios como SIP, FTP, TFTP, SMB, bases de datos, entre otros.
- Glastopf: Es una aplicación web desarrollada en Python que emula vulnerabilidades.
- Cowrie: Es un honeypot de servicios SSH y Telnet de interacción media para registrar ataques de fuerza bruta y captura la interacción realizada por un atacante.
- Kippo: Es un honeypot SSH de interacción media que registra ataques de fuerza bruta y proporciona toda la información asociada a la interacción del atacante.
- Honeyd: Realiza la creación de host virtuales en una red. Estos dispositivos pueden configurarse para que ejecuten ciertos servicios y un sistema operativo determinado.
- Amun: Es un honeypot desarrollado en python de baja interacción que permite la captura de malware. Emula múltiples vulnerabilidades asociadas a sistemas operativos.