Tutorial Honeyperl

Honeypots para o português “Pote de Mel”, explicando resumidamente, é um ferramenta computacional, que tem o objetivo de ser atacada e monitorada, analisando as ações dos invasores, pode ser de baixa interatividade( uso de máquinas virtuais simulando uma máquina real) e de alta interatividade (os atacantes interagem com sistemas operacionais, aplicações e serviços reais), neste caso estarei aprentando um software , baseado na linguagem de programação Perl, com a funcionalidade de honeypot, lembrando que este tema, também é encontrado no oráculo, o Google, através de outros colaboradores de TI.

Para começar, baixe o pacote honeyperl.tar.gz no site http://www.honeypot.com.br/projetos.htm

Com download feito, vamos descopacta-lo:
# tar -zxvf honeyperl-0.0.7.1.tar.gz

Neste caso, foi descompactado no diretorio /home, estando no diretório /honeyperl-0.0.7.1 , devemos executar o "verify.pl" para verificar se os módulos Perl estão todos instalados.
# cd /home/honeyperl-0.0.7.1
# perl verify.pl

Se ocorrer algum erro, faça os download dos módulos Perl e instale-os. Na sequência iremos editar arquivo de configuração do Honeyperl , o honeyperl.conf, localizado em /home/honeyperl-0.0.7.1/conf/.

Na figura acima, é listado os arquivos de configuração do honeyperl, e dos servidores fakes.
Visão do arquivo honeyperl.conf.

Seção 1
Define algumas configurações do servidor fake e o uso de firewall.

Seção 2

Dentro do mesmo diretório, onde foi configurado o honeyperl.conf, estão os arquivos de configuraçãos dos falsos serviços. /home/honeyperl-0.0.7.1/conf/.

Fakesquid.conf: Arquivo de configuração do fakesquid, emulador de proxy Squid. O parâmetro de inicialização é bugsquid="Squid/2.4 Stable3", que indica a versão que deve aparecer nas respostas do fakesquid.

Fakesmtp.conf: Arquivo de configuração do fakesmtp, emulador de servidores de correio,possui os seguintes parâmetros: $serveemul = "sendmail" #indica qual servidor de correio será emulado, as opções válidas são: exchange, sendmail, qmail e postfix, enquanto
$logdir="/etc/honeyperl-005/logs/smtp"; # define o local onde será guardados os logs do servidor smtp falso

Httpd.conf: Arquivo de configuração do fakehttpd, emulador do Apache, tem o parâmetro ur $httpd="Apache/1.3.27"; que indica a versão do Apache.

Pop3.conf: Arquivo de configuração do fakepop3, que emula servidores POP3, as opções válidas são teapop, qpopper e pop3. Já $logdir = “logs/pop3.log” define o local do arquivo de log do serviço.

Fakeftp.conf: Arquivo de configuração do fakeftp, emulador do servidor FTPwuftp. Tendo os seguintes parâmetros: %programaftp="wuftp"; indica o servidor FTP a ser emulado. Enquanto
$conteudoftp="total 1 0\x0d\x0a”; indica para o fake qual conteúdo será exibido para o invasor.

Executando Honeyperl

Atráves do terminal, dentro da pasta /home/ honeyperl-0.0.7.1/, execute o comando perl honeyperl , e receberá uma mensagem na tela, informando que está em execução.

Parâmetros utilizados

& : Para rodar o programa em background, em segundo plano.

-h: tópico de ajuda.

-v: imprime no terminal avisos sobre ataques mesmo que o arquivo de configuração determine o contrário.

-l: arquivo de log, específica um arquivo de log e sobrescreve o parâmetro equivalente no arquivo honeyperl.conf.

Apartir do inicio da execução do honeyperl, o mesmo escutará qualquer ataque que seja feito às portas ativas dos fakes em execução. Os logs ficarão armazenados no sud-diretório logs, onde a estrutura do nome dos aquivos é logs/squid/08-06-2008(15:23:45).log. Ou seja, logs/serviço/mês-dia-ano(hora).log.

Referência: http://www.honeypot.com.br

Observação: O site referência está fora do ar ! (dia 14/09/2008), à espera de que volte ao projeto!