miércoles, 24 de octubre de 2012

HoneyPot EASY. PART VI

Después del último post sobre Honeyd  quedan pendientes varias cosas a tener en cuenta antes de poner en producción nuestro servidor llorica.
Después de pelearme una semana entera con una instalación de Honeyd sobre windows, LA PRIMERA VEZ EN MI VIDA que me ha resultado más dificil instalar algo en windows que en linux. Ya comentaremos más cosas en otro post en la instalación sobre Linux.
Después de la pelea, he llegado a la conclusión que no se puede instalar correctamente Honeyd en Windows posterior a Sp2, es decir, no se puede instalar xD. Si puedes, y funciona, como habéis podido ver en el anterior post, pero debido a una modificación de Microsoft respecto a los raw sockets, no recibiremos respuesta alguna a nuestros intentos de conexion, ping etc.


Para probar el correcto funcionamiento del sistema, he decidido montarlo sobre una instalación nueva de windows 2003 server, que según fuentes de Microsoft, tiene soporte completo para trabajar con raw socket, y no como en windows 7 que SI mantiene raw socket, pero con algunas limitaciones que no he conseguido documentación sobre ellas.
Aparte, para eliminar los problemas con las tablas arp he decidido publicar el servidor 2003 "endulzado" haciendo una redirección de los puertos que me interesan hacia la ip del honeyd.
para simplificar el asunto, he abierto el puerto 84.


El puerto open 80 es el interface de administración del router de timofónica, que aunque está deshabilitado el acceso desde wan ( y comprobado xD) aparece open. Cosas de los Zyxell patateros.
Probando los scripts para emular servicios con cierto nivel de interactuación no he conseguido pasar los límites del router, ni en local.
No voy a seguir con esta serie de Honeyd sobre Windows, porque no he conseguido sacarle punta. No hay ningún tipo de soporte, ni oficial ni extraoficial, y después de dos meses de trabajo, llego a la conclusión de que no se puede hacer con sistemas post windows xp sp2, por mucho soporte de raw socket que microsoft diga que tiene.
En próximas entregas trabajaremos más con algún honeypot sobre windows, y montaremos el "pollo" de captura y monitorización sobre linux.

Gracias por leerme.