Laboratorio 4 - Honeypot
Laboratorio 4 - Honeypot
Laboratorio 4 - Honeypot
¿Qué es cowrie?
Se usa principalmente para registrar las sesiones de un atacante, luego con cowrie
obtenemos una mejor comprensión de los detalles del atacante, como las
herramientas, métodos y procedimientos del atacante. Cowrie es una simulación de su
servidor que significa que el atacante pensará que ha hackeado / atacado su
servidor. Entonces, cuando un atacante ingresa los datos correctos (nombre de usuario
o contraseña) para iniciar sesión en su sistema, el sistema los dejará entrar sin ningún
error y se colocarán en un sistema falso. El honeypot mantiene los registros y las pistas
del atacante, como sus comandos, o cada tecla escrita y guarda todo lo que el atacante
descargó. Esta es una forma efectiva de capturar a un atacante.
El servicio SSH daemon se ejecutará en un puerto alto que es 22222, Cowrie en 2222 y
el puerto 22 se redirigirá a 2222 usando iptables. Luego, el bot o atacante SSH se
conectará al puerto 22 que se redirige a nuestro honeypot en el puerto 2222.
Requisitos y procedimientos para instalar cowrie:
Cambie el puerto predeterminado 22 al puerto 22222 (Servidor Ubuntu):
En la línea 13 como la anterior, elimine el "#port 22" y reemplace con el Puerto 22222.
Adjunte captura de pantalla.
Ahora escriba:
Con la ayuda del comando netstat y los comodines adecuados muestre la información
del nuevo puerto ssh, compruebe que ahora se conecta por medio del puerto 22222.
Pegue una captura de la evidencia.
id
$ cd cowrie
$ pwd
/home/cowrie/cowrie
Luego, necesitamos instalar los paquetes de Python que Cowrie necesita para ejecutar:
$ source cowrie-env/bin/activate
(cowrie-env) $ pip install --upgrade pip
Del paso anterior debe descargar e instalar unos paquetes, adjuntar evidencia.
Este comando crea un archivo de configuración que podemos editar y luego usar un
editor para modificar este archivo.
Después de eso, editaremos este archivo cambiando primero el nombre de host, ya que
esto hará que el atacante piense que está en nuestro servidor sin que sepamos:
En hostname, colocar un nombre de servidor que pueda ser blanco para un ataque, por
defecto estará como svr04
Adjuntar captura.
bin/cowrie start
Luego necesitamos redirigir el tráfico del puerto 22 y 23 a los puertos altos 2222 y 2223
usando iptables:
Para escanear los puertos y escanear lo que está sucediendo en el honeypot escriba:
cat var/log/cowrie/cowrie.log