Segurana em Servidores Linux

Tcnicas de Evaso
Prof. Humberto Caetano
Faculdade Santo Agostinho
Ps-Graduao em Redes de Computadores

Honeypot

2015

uma ferramenta que simula falhas de forma

proposital. Assim identificamos agentes que
esto em busca destas falhas e podemos
efetuar o bloqueio destes de maneira
prativa.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

2.16

O Honeyd

O Honeyd um daemon desenvolvido por Niels Provos para ser

utilizado tanto em Windows quanto *nix.
Ele funciona criando hosts virtuais os quais podem ser
configurados para emular vrios servios diferentes como email, SSH, Telnet, DNS, backdoors como o MyDoom, etc. Alm
de emular servios, o Honeyd tambm pode enganar scanners de
rede fingindo ser outro sistema operacional. Por exemplo, voc
consegue emular um roteador Cisco, um Windows XP, Windows
2000, Windows Server 2003, Cisco IOS, OS/400, entre vrios
outros. Ele consegue isso utilizando o banco de dados de
fingerprints do NMap (http://www.insecure.org/nmap).

2015

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

3.16

O Honeyd

2015

O Honeyd software livre licensiado sob a

GPL, ou seja, use vontade para qualquer
finalidade. Ele tambm utilizado bastante
pelo Honeynet.BR Project (entidade
brasileira de pesquisa de honeypots).
Website oficial http://www.honeyd.org.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

4.16

Lab 18: O Honeyd

Instalao

2015

wget
http://ftp.us.debian.org/debian/pool/main/h/honeyd/honeyd_1.5c7+b1_i386.deb

wget
http://ftp.us.debian.org/debian/pool/main/libe/libevent/libevent-1.42_1.4.13-stable-1_i386.deb

wget
http://ftp.us.debian.org/debian/pool/main/r/readline5/libreadline5_5.
2-7_i386.deb

wget http://ftp.us.debian.org/debian/pool/main/h/honeyd/honeydcommon_1.5c-7_all.deb

wget http://www.honeyd.org/contrib/fabian.bieker/honeyd.tgz
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

5.16

Lab 18: O Honeyd

2015

Instalao

dpkg -i honeyd_1.5c-7+b1_i386.deb libevent-1.42_1.4.13-stable-1_i386.deb libreadline5_5.27_i386.deb honeyd-common_1.5c-7_all.deb

tar zxvf honeyd.tgz

cp -r honeyd/* /usr/share/honeyd/

apt-get install farpd libdumbnet1 libpcap0.8

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

6.16

Lab 18: O Honeyd

2015

Configurao

# vim /etc/default/honeyd

(Aqui coloque a interface de trabalho e o IP)

# cd /etc/honeypot

# mv honeyd.conf honeyd.back

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

7.16

Lab 18: O Honeyd

Configurao. Vamos criar uma mquina Linux com FTP

e WEB.

2015

# vim /etc/honeypot/honeyd.conf

create linuxftp

set linuxftp personality "Linux 2.4.7 (X86)"

add linuxftp tcp port 80 "sh scripts/web.sh"

add linuxftp tcp port 21 "sh scripts/unix/linux/suse8.0/proftpd.sh

$ipsrc $sport $ipdst $dport"

set linuxftp default tcp action reset

set linuxftp default icmp action open

bind 192.168.1.50 linuxftp

Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

8.16

Lab 18: O Honeyd

Iniciando o servio

# farpd 192.168.1.50 -i eth0

# /etc/init.d/honeyd start

2015

(Aqui o servio apresentar um erro, mas est

funcional)
# ps -ef | grep honey

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

9.16

Lab 18: O Honeyd

Testando

2015

A partir de outra mquina execute testes de

ping, nmap e telnet

# ping 192.168.1.50

# nmap --send-ip -O -sS 192.168.1.50

# telnet 192.168.1.50 21

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

10.16

Port Knocking

2015

A tcnica de Port Knocking funciona como

uma combinao de um cofre. Depois que voc
digita os cdigos corretos o servidor abre a
conexo para voc.
No caso os cdigos so portas TCP para
acesso um servio.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

11.16

Lab 19: Port Knocking

Acessando servio SSH atravs do Port

Knocking.

2015

A sequncia ser 100, 200, 300 e 400. Aps

essas quatro transaes o SSH ser habilitado.

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

12.16

Lab 19: Port Knocking

Script do Port Knocking

2015

iptables -N INTO-FASE2

iptables -A INTO-FASE2 -m recent --name FASE1 --remove

iptables -A INTO-FASE2 -m recent --name FASE2 --set

iptables -A INTO-FASE2 -j LOG --log-prefix "INTO FASE2: "

iptables -N INTO-FASE3

iptables -A INTO-FASE3 -m recent --name FASE2 --remove

iptables -A INTO-FASE3 -m recent --name FASE3 --set

iptables -A INTO-FASE3 -j LOG --log-prefix "INTO FASE3: "

Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

13.16

Lab 19: Port Knocking

Script do Port Knocking

iptables -N INTO-FASE4

iptables -A INTO-FASE4 -m recent --name FASE3 --remove

iptables -A INTO-FASE4 -m recent --name FASE4 --set

iptables -A INTO-FASE4 -j LOG --log-prefix "INTO FASE4: "

iptables -A INPUT -m recent --update --name FASE1

2015

iptables -A INPUT -p tcp --dport 100 -m recent --set --name FASE1

iptables -A INPUT -p tcp --dport 200 -m recent --rcheck --seconds 15 --name FASE1 -j INTOFASE2
iptables -A INPUT -p tcp --dport 300 -m recent --rcheck --seconds 15 --name FASE2 -j INTOFASE3
iptables -A INPUT -p tcp --dport 400 -m recent --rcheck --seconds 15 --name FASE3 -j INTOFASE4
Humberto Caetano @FSA
Ps Graduao em Redes de Computadores

14.16

Lab 19: Port Knocking

Script do Port Knocking

2015

iptables -A INPUT -p tcp --dport 22 -m recent

--rcheck --seconds 3600 --name FASE4 -j
ACCEPT

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

15.16

Lab 19: Port Knocking

Testando:

2015

# for x in 100 200 300 400; do nmap -Pn

--host_timeout 100 --max-retries 0 -p $x
192.168.1.23 && sleep 1; done && ssh
humberto@192.168.1.23

Humberto Caetano @FSA

Ps Graduao em Redes de Computadores

16.16