Mô hình triển khai một honeynet dựa trên Vmware có thể như sau:
Máy 1: Cài đặt Honeywall Roo
Máy 2: Windows XP – sử dụng để management dành cho admin
Máy 3: Máy giả lập Attacker.
Máy 4: Máy trong hệ thống honeynet: trên máy này cài thành phần Sebek client để thu nhận các hành động của Attacker (keystrokes).
Note: chúng ta có thể thêm các máy tính trong hệ thống honeynet lên, tùy theo mục đích nghiên cứu của mình.
Cài đặt:
Để cài đặt các bạn download bản Honeywall Roo 1.4 tại:
Sau đó cài đặt lên một máy ảo. Quá trình cài đặt rất đơn giản. Sau khi màn hình cài đặt xuất hiện, chỉ cần Enter sau đó quá trình cài đặt tự động.
Chú ý: Khi tạo máy ảo VMware thì lựa chọn HDD theo chuẩn IDE.
Quá trình cài đặt hoàn tất, đợi cho máy khởi động lại, bạn đăng nhập vào hệ thống sử dụng account và pass mặc định là:
User: roo
Pass: honey
Sau khi login với tài khoản roo xong. Để vào tài khoản của root thì gõ lện su – sau đó gõ pass của root vào. Pass mặc định của root cũng là honey.
Chú ý: Khi cài xong honeywall theo mặc định hệ thống có sẵn 2 account là roo (ID=501) và root (ID=0), pass mặc định của 2 account này đều là honey.
Để cấu hình hệ thống thì chúng ta có thể sử dụng 2 giao diện: dòng lệnh và đồ họa.
Mặc định lần đầu tiên khi nhập pass của root vào thì giao diện đồ họa sẽ được bật lên cho phép chúng ta config. Nếu bạn muốn config hệ thống bằng giao diện dòng lệnh thì có thể sử dụng VIM để mở file honeywall.conf theo đường dẫn /etc/honeywall.conf
Trong phần này tôi sẽ hướng dẫn config hệ thống dựa trên giao diện dòng lệnh:
File config hệ thống cho phép config rất nhiều tùy chọn. Một số tùy chọn quan trọng mà các bạn cần chú ý là:
# This Honeywall's public IP address(es)
HwHPOT_PUBLIC_IP=10.0.0.10 10.0.0.20=>>IP của các honeypot trong hệ thống honeynet
# The name of the externally facing network interface
HwINET_IFACE=eth0=> giao diện eth0 cho phép attacker đi vào
# The name of the internally facing network interface
HwLAN_IFACE=eth1=> giao diện tới mạng chứa các honeypot
# Enable the SEBEK collector which delivers keystroke and files
# to a remote system even if an attacker replaces daemons such as sshd
HwSEBEK=yes=> cho phép thành phần Sebek client tổng hợp thông tin từ các honeypot
# Specify the SEBEK destination host IP address
HwSEBEK_DST_IP=10.0.0.253=> Địa chỉ IP đích của Sebek client
# Specify the SEBEK destination port
HwSEBEK_DST_PORT=1101=> Port đích của Sebek
# Specy the network interface for remote management. If set to br0, it
# will assign MANAGE_IP to the logical bridge interface and allow its use
# as management interface. Set to none to disable the management
# interface.
HwMANAGE_IFACE=eth2=> Giao diện quản lý của admin
# IP of management Interface
HwMANAGE_IP=10.10.10.66=> Địa chỉ IP managerment
Sau khi config xong, restart hệ thống, chúng ta có thể quản lý honeywall thông qua giao diện web: https://10.10.10.66
Cài đặt cấu hình Sebek:
- Trước tiên chúng ta tìm hiểu về Sebek.
Sebek là một công cụ được thiết kế để thu giữ dữ liệu, nó sẽ cố gắng thu giữ hầu hết hành động của Attacker trên honeypot mà Attacker không hay biết. Sau đó gửi dữ liệu tới hệ thống lưu trữ log trung tâm (như hình dưới). Sebek có khả năng ghi nhận được nhiều loại hành động như keystrokes, tải file lên, thay đổi mật khẩu và IRC (Internet Relay Chat), kể cả khi chúng được mã hóa (SSH, IPSec, SSL).
Sebek hoạt động theo mô hình client server. Thành phần client sẽ được cài tại các honeypot. Thành phần server sẽ được cài tại máy chủ server, trong mô hình nghiên cứu này thì sebek server được cài trên Honeynet sensor.
Sebek client là một phần của hệ thống Sebek, nó được cài đặt trên tất cả các honeypot. Sebek như một thành phần nhân (kernel module), thực hiện sao lưu toàn bộ những hành động của Attacker sau đó gửi đến máy chủ ở xa. Thành phần nhân trong suốt với tất cả các gói tin Sebek gửi từ honeypot qua mạng. Attacker rất khó có thể phát hiện.
Sebek server là một hệ thống thu nhận và tổng hợp log trung tâm. Nó sẽ nhận toàn bộ gói tin từ honeypots gửi về từ honeypots. Thông thường Sebek server được cài đặt trên Honeywall gateway.
- Cài đặt và cấu hình Sebek.
Sebek hỗ trợ trong cả môi trường Linux và Windows. Trong bài này tôi hướng dẫn cài đặt và cấu hình Sebek trong môi trường Windows.
Dowload gói cài Sebek tại:
Sebek Homepage
(Lưu ý chọn bản cho windows tương ứng với thế hệ Honeynet mà mình muốn triển khai nhé)
Sau khi dowload và tiến hành unzip và thực hiện cài đặt thông qua file setup.exe
Các bước cài đặt theo thứ tự như sau.
Sau khi cài xong chúng ta config thông qua file Configuration Wizard.exe
Quá trình config như sau:
Chú ý:
- Distination MAC là địa chỉ MAC của eth1 của Honeywall gateway
- Distination IP là địa chỉ IP ta đã config trong phần config Honeywall
ở đây là 10.0.0.253
Sau khi cài đặt và config xong, restart lại hệ thống và kiểm tra trên xem thành phần Sebek server và Sebek client đã nhận ra nhau chưa.
Hết…………
Bài viết được trích từ:
Máy 1: Cài đặt Honeywall Roo
Máy 2: Windows XP – sử dụng để management dành cho admin
Máy 3: Máy giả lập Attacker.
Máy 4: Máy trong hệ thống honeynet: trên máy này cài thành phần Sebek client để thu nhận các hành động của Attacker (keystrokes).
Note: chúng ta có thể thêm các máy tính trong hệ thống honeynet lên, tùy theo mục đích nghiên cứu của mình.
Cài đặt:
Để cài đặt các bạn download bản Honeywall Roo 1.4 tại:
Sau đó cài đặt lên một máy ảo. Quá trình cài đặt rất đơn giản. Sau khi màn hình cài đặt xuất hiện, chỉ cần Enter sau đó quá trình cài đặt tự động.
Chú ý: Khi tạo máy ảo VMware thì lựa chọn HDD theo chuẩn IDE.
Quá trình cài đặt hoàn tất, đợi cho máy khởi động lại, bạn đăng nhập vào hệ thống sử dụng account và pass mặc định là:
User: roo
Pass: honey
Sau khi login với tài khoản roo xong. Để vào tài khoản của root thì gõ lện su – sau đó gõ pass của root vào. Pass mặc định của root cũng là honey.
Chú ý: Khi cài xong honeywall theo mặc định hệ thống có sẵn 2 account là roo (ID=501) và root (ID=0), pass mặc định của 2 account này đều là honey.
Để cấu hình hệ thống thì chúng ta có thể sử dụng 2 giao diện: dòng lệnh và đồ họa.
Mặc định lần đầu tiên khi nhập pass của root vào thì giao diện đồ họa sẽ được bật lên cho phép chúng ta config. Nếu bạn muốn config hệ thống bằng giao diện dòng lệnh thì có thể sử dụng VIM để mở file honeywall.conf theo đường dẫn /etc/honeywall.conf
Trong phần này tôi sẽ hướng dẫn config hệ thống dựa trên giao diện dòng lệnh:
File config hệ thống cho phép config rất nhiều tùy chọn. Một số tùy chọn quan trọng mà các bạn cần chú ý là:
# This Honeywall's public IP address(es)
HwHPOT_PUBLIC_IP=10.0.0.10 10.0.0.20=>>IP của các honeypot trong hệ thống honeynet
# The name of the externally facing network interface
HwINET_IFACE=eth0=> giao diện eth0 cho phép attacker đi vào
# The name of the internally facing network interface
HwLAN_IFACE=eth1=> giao diện tới mạng chứa các honeypot
# Enable the SEBEK collector which delivers keystroke and files
# to a remote system even if an attacker replaces daemons such as sshd
HwSEBEK=yes=> cho phép thành phần Sebek client tổng hợp thông tin từ các honeypot
# Specify the SEBEK destination host IP address
HwSEBEK_DST_IP=10.0.0.253=> Địa chỉ IP đích của Sebek client
# Specify the SEBEK destination port
HwSEBEK_DST_PORT=1101=> Port đích của Sebek
# Specy the network interface for remote management. If set to br0, it
# will assign MANAGE_IP to the logical bridge interface and allow its use
# as management interface. Set to none to disable the management
# interface.
HwMANAGE_IFACE=eth2=> Giao diện quản lý của admin
# IP of management Interface
HwMANAGE_IP=10.10.10.66=> Địa chỉ IP managerment
Sau khi config xong, restart hệ thống, chúng ta có thể quản lý honeywall thông qua giao diện web: https://10.10.10.66
Cài đặt cấu hình Sebek:
- Trước tiên chúng ta tìm hiểu về Sebek.
Sebek là một công cụ được thiết kế để thu giữ dữ liệu, nó sẽ cố gắng thu giữ hầu hết hành động của Attacker trên honeypot mà Attacker không hay biết. Sau đó gửi dữ liệu tới hệ thống lưu trữ log trung tâm (như hình dưới). Sebek có khả năng ghi nhận được nhiều loại hành động như keystrokes, tải file lên, thay đổi mật khẩu và IRC (Internet Relay Chat), kể cả khi chúng được mã hóa (SSH, IPSec, SSL).
Sebek hoạt động theo mô hình client server. Thành phần client sẽ được cài tại các honeypot. Thành phần server sẽ được cài tại máy chủ server, trong mô hình nghiên cứu này thì sebek server được cài trên Honeynet sensor.
Sebek client là một phần của hệ thống Sebek, nó được cài đặt trên tất cả các honeypot. Sebek như một thành phần nhân (kernel module), thực hiện sao lưu toàn bộ những hành động của Attacker sau đó gửi đến máy chủ ở xa. Thành phần nhân trong suốt với tất cả các gói tin Sebek gửi từ honeypot qua mạng. Attacker rất khó có thể phát hiện.
Sebek server là một hệ thống thu nhận và tổng hợp log trung tâm. Nó sẽ nhận toàn bộ gói tin từ honeypots gửi về từ honeypots. Thông thường Sebek server được cài đặt trên Honeywall gateway.
- Cài đặt và cấu hình Sebek.
Sebek hỗ trợ trong cả môi trường Linux và Windows. Trong bài này tôi hướng dẫn cài đặt và cấu hình Sebek trong môi trường Windows.
Dowload gói cài Sebek tại:
Sebek Homepage
(Lưu ý chọn bản cho windows tương ứng với thế hệ Honeynet mà mình muốn triển khai nhé)
Sau khi dowload và tiến hành unzip và thực hiện cài đặt thông qua file setup.exe
Các bước cài đặt theo thứ tự như sau.
Sau khi cài xong chúng ta config thông qua file Configuration Wizard.exe
Quá trình config như sau:
Chú ý:
- Distination MAC là địa chỉ MAC của eth1 của Honeywall gateway
- Distination IP là địa chỉ IP ta đã config trong phần config Honeywall
ở đây là 10.0.0.253
Sau khi cài đặt và config xong, restart lại hệ thống và kiểm tra trên xem thành phần Sebek server và Sebek client đã nhận ra nhau chưa.
Hết…………
Bài viết được trích từ:
Comment