Clonar disco con dd

Este es un comando muy útil para sacar respaldos de un disco, clonarlo, y algunas otras carácterísticas. Tenemos un disco en un honeypot con ubuntu, ejecutamos el siguiente comando como root:

root# dd if=/dev/sda of=/dev/sdb bs=1024k

Donde if indíca el disco a clonar y of el disco donde se copiarán los datos.

bs=1024k es la opción que indíca el tamaño del bloque.

Usando este comando podemos clonar un disco completo de una forma sencilla, esto cumple una medida de seguridad y además obtener información de todo el sistema, con todos los archivos para su posterior análisis.

Sacar imagen en linux

EXTRAER IMAGEN DE LA CONFIGURACIÓN DEL SISTEMA

Este script contiene algunos comando utilizados para sacar la configuración de un sistema Linux en la versión Ubuntu, aplicado a un honeypot hemos obtenido resultados bastante buenos.

#! /bin/bash

hostname >> imagen

date -R >> imagen

fdisk -l >> imagen

df -Th >> imagen

ps aux >> imagen

route -nee >> imagen

cp /var/log/messages paso | cat paso >> imagen

cp /var/log/kern.log paso | cat paso >> imagen

cp /var/log/auth.log paso | cat paso >> imagen

cp /etc/hosts.deny paso | cat paso >> imagen

cp /etc/hosts.allow paso | cat paso >> imagen

ACLARACIÓN: Este script no saca la imagen total de un disco, para tal modo ver fdisk.

Honeynets test procedures

Deployment prodecure

1. The hard disk must be written with a constant data pattern (usually zeros). This procedure also has the benefit that disk image copies compress better, and that deleted files are easier to find.

2. The chosen operating system is installed. Default options.

3. The chosen services are installed, configured and initialized.

4. The honeypot’s configuration script is executed to create new users, configure the network settings, etc.

5. In order to monitor the attacker’s steps, keystroke recording system are configured in the honeypot. These systems can send the commands typed by an attacker to a loghost, using the syslog system, and broadcast this information directly into the network.

6. A script to generate the MD5 and SHA1 hashes of the honeypot’s files is executed. The hashes can be used later to discover which files have been changed by an attacker.

NOTE. Some authors could recommend extract a entire copy (image) of the honeynet with the purpose of a future test with the original configurations.

7. A script to generate the system’s status is executed. This is composed of the output of some Unix commands like ps, netstat, lsof, socklist and df.

8. The MD5 and SHA1 hashes and the system’s status files are stored in a loghost in the administration subnet which stores also the system’s images.

9. Traces of the steps (5-8) above are erased.

10. The system’s image is generated and exported to the loghost.

11. The new honeypot is connected in the honeynet and monitored until the moment when it will be turned off.

I’m going to try with this procedure……

That is a extract of honeynets maintanence and tools, June 2005.

Manejando tráfico en red

Manejar el tráfico de una red no es tan facil como parece o como algunos creen, adjunto unos videos de tcpick, netdiscover y etherape, aplicaciones para el reconocimiento y monitoreo de host’s en la red además la posibilidad de seguir las conexiones que se dan en una red conmutada.

Read the rest of this entry »

Honeynets

Estamos a 18 de julio, segundo día de clases, segundo de un nuevo ciclo de gestión productiva, en la cual se retomó un tema que quedó pendiente el ciclo anterior y que da titulo a este post.

Recogí conceptos, ideas, novedades, experiencias acerca de este temita, indico brevemente algunas cosas con respecto a honeynets, claro de una manera muy superficial.

Primero que nada decir que honeynets se deriva de honeypots, pero, ¿en que consiste honeypots? Las honeypots se podría decir que son laboratorios de producción o investigación que se destina a recoger información de intrusos para definir políticas de seguridad frente a estos.

Una de las diferencias entre un honeypot de producción con uno de investigación radica en que el primero recoge menos información de ataques/intrusos que el segundo. Si se desea más información acerca de honeypots revisa aquí.

¿Qué es honeynets?

Pues el concepto formal recogido desde la página fuente es: es un honeypot con mucha interacción designado principalmente para la investigación, recogiendo información del enemigo.

En un lenguaje más entendible se puede decir que una honeynet actúa como una red trampa recogiendo información de los atacantes, es decir, estos realizarán ataques pensando que se lo hace sobre una organización específica.

 

Un honeynet se clasifica como un honeypot de investigación, es decir su trabajo consiste principalmente en recoger información sin dar mucha cabida a la protección.

He aquí algunas características de honeynets:

• Las Honeynets pueden utilizar varios sistemas al mismo tiempo, como Solaris, Linux, Windows NT, router Cisco, conmutadores Alteon, etc.
• Todos los sistemas situados dentro de una Honeynet son sistemas comerciales estándar.
• Nada es emulado ni se hace nada para que los sistemas sean menos seguros
• Los riegos y vulnerabilidades encontradas en una Honeynet son las mismas que existen hoy en muchas organizaciones.

Este es uno de las tantas presentaciones que existen en slideshare que te pueden servir para comprender más este tema, penoso no poder bajar ésta presentación.