Honeypots para o português “Pote de Mel”, explicando resumidamente, é um ferramenta computacional, que tem o objetivo de ser atacada e monitorada, analisando as ações dos invasores, pode ser de baixa interatividade( uso de máquinas virtuais simulando uma máquina real) e de alta interatividade (os atacantes interagem com sistemas operacionais, aplicações e serviços reais), neste caso estarei aprentando um software , baseado na linguagem de programação Perl, com a funcionalidade de honeypot, lembrando que este tema, também é encontrado no oráculo, o Google, através de outros colaboradores de TI.
Para começar, baixe o pacote honeyperl.tar.gz no site http://www.honeypot.com.br/projetos.htm
Com download feito, vamos descopacta-lo:
# tar -zxvf honeyperl-0.0.7.1.tar.gz
Neste caso, foi descompactado no diretorio /home, estando no diretório /honeyperl-0.0.7.1 , devemos executar o "verify.pl" para verificar se os módulos Perl estão todos instalados.
# cd /home/honeyperl-0.0.7.1
# perl verify.pl
Na figura acima, é listado os arquivos de configuração do honeyperl, e dos servidores fakes.Visão do arquivo honeyperl.conf.
Seção 1
Define algumas configurações do servidor fake e o uso de firewall.
Seção 2Dentro do mesmo diretório, onde foi configurado o honeyperl.conf, estão os arquivos de configuraçãos dos falsos serviços. /home/honeyperl-0.0.7.1/conf/.
Fakesquid.conf: Arquivo de configuração do fakesquid, emulador de proxy Squid. O parâmetro de inicialização é bugsquid="Squid/2.4 Stable3", que indica a versão que deve aparecer nas respostas do fakesquid.
Fakesmtp.conf: Arquivo de configuração do fakesmtp, emulador de servidores de correio,possui os seguintes parâmetros: $serveemul = "sendmail" #indica qual servidor de correio será emulado, as opções válidas são: exchange, sendmail, qmail e postfix, enquanto
$logdir="/etc/honeyperl-005/logs/smtp"; # define o local onde será guardados os logs do servidor smtp falso
Httpd.conf: Arquivo de configuração do fakehttpd, emulador do Apache, tem o parâmetro ur $httpd="Apache/1.3.27"; que indica a versão do Apache.
Pop3.conf: Arquivo de configuração do fakepop3, que emula servidores POP3, as opções válidas são teapop, qpopper e pop3. Já $logdir = “logs/pop3.log” define o local do arquivo de log do serviço.
$conteudoftp="total 1 0\x0d\x0a”; indica para o fake qual conteúdo será exibido para o invasor.
Executando Honeyperl
Atráves do terminal, dentro da pasta /home/ honeyperl-0.0.7.1/, execute o comando perl honeyperl , e receberá uma mensagem na tela, informando que está em execução.
Parâmetros utilizados
& : Para rodar o programa em background, em segundo plano.
-h: tópico de ajuda.
-v: imprime no terminal avisos sobre ataques mesmo que o arquivo de configuração determine o contrário.
Apartir do inicio da execução do honeyperl, o mesmo escutará qualquer ataque que seja feito às portas ativas dos fakes em execução. Os logs ficarão armazenados no sud-diretório logs, onde a estrutura do nome dos aquivos é logs/squid/08-06-2008(15:23:45).log. Ou seja, logs/serviço/mês-dia-ano(hora).log.
Referência: http://www.honeypot.com.br
Observação: O site referência está fora do ar ! (dia 14/09/2008), à espera de que volte ao projeto!
