abril 19, 2024

Aplicaciones de seguridad informática de Raspberry Pi.

Álvaro Paz octubre 28, 2015 0
Comparte en redes sociales

Las grandes ventajas de una Raspberry Pi como arquitectura hardware son: su reducido tamaño, su alta capacidad de proceso en relación a su tamaño y su escaso coste. Estas son las características ideales para usar este hardware para utilidades de redes y seguridad informática.


En este post relata diferentes usos y aplicaciones de Raspberry Pi en redes y seguridad informática. A través de varios proyectos todos ellos de software libre que aportaran soluciones baratas para diferentes problemas.

Recopilar automáticamente información de una red.

ScoutBot una herramienta de reconocimiento de red que automatiza completamente el proceso de recolección de datos. Con ScoutBot es posible pre-configurar los parámetros de exploración antes de conectarse a la red, y una vez conectado, esperar a que finalice la exploración para recoger los resultados del análisis. Estos resultados pueden ser recuperados mediante la conexión al servidor FTP interno de ScoutBot.

ScoutBot es una aplicación ideal para realizar test de penetración de manera que la recopilación de información en la red se haga de forma fácil y discreta. Construido para Raspberry Pi (un pequeño ordenador con la arquitectura ARM, con sistema operativo embebido), este potente script automatiza las tareas de Footprinting, utilizando tres herramientas esenciales para esta técnica: Nmap, SNMPCheck y Wireshark.

En pocos segundo es capaz de recoger la siguiente información:

  • Un inventario completo de la red.
  • Detección de dispositivos con SNMP.
  • Servidores DHCP y alcance.
  • Dirección IP exterior.
  • Capturas de paquetes.
  • Informe filtrado de tráfico hacia la WWW.
  • Identifica el ISP utilizado por la red.
  • Realiza un traceroute hacia el exterior.
  • Chequea el estado del filtrado de salida.
  • Identifica los protocolos de enrutamiento dinámico.

Instrucciones de instalación y configuración:

ScoutBot está diseñado para la Raspberry Pi (modelo B) y viene como un archivo de imagen *.img pre-configurado. Solo hay que seguir estos cinco sencillos pasos:

  1. Descargar el archivo ScoutBot.IMG. 
  2. Montar la tarjeta SD Clase 10 de 16 Gb como mínimo. 
  3. Escribir el archivo IMG en la tarjeta SD. 
  4. Extraer la tarjeta SD e insertarla en el Raspberry Pi. 
  5. ScoutBot debería arrancar automáticamente en el script de configuración.

ScoutBot se puede configurar en tres modos diferentes de trabajo:

  • Realizar Scan:
    Realiza un escaneo rápido de la red e intenta enumerar cualquier dispositivo conectado a la red. Recopilará información como: los dispositivos en línea, entornos Windows, servidores DHCP, el estado del filtrado de salida, la dirección IP externa, los protocolos de enrutamiento dinámico… Esta información se compila en archivos separados y se genera un informe para cada objetivo.
     
  • Realizar captura de paquetes:
    ScoutBot también tiene la capacidad de realizar una captura de paquetes de la red. Esta característica es muy útil cuando se necesita un poco de información con el fin de realizar una exploración completa. ScoutBot escucha en modo promiscuo la red por un periodo de tiempo predeterminado y luego se apaga.
     
  • Recuperar resultados del escaneo:
    Una vez terminada la exploración para recuperar los resultados del análisis, simplemente eligiendo este modo en la configuración, arranca un servidor FTP en una dirección IP predeterminada.

Más información y descarga de ScoutBot:
http://lansec.net/project/scoutbot/

Añadir elementos de enrutamiento y firewall.

Existen dos sistemas ideales para convertir una Raspberry Pi en un router/firewall: ThalOS y raspenwrt (una adaptación de openWRT para Raspberry Pi).

ThalOS, es un sistema operativo completo basado en la distribución Raspbian hardfp, para la plataforma Raspberry Pi. El objetivo de ThalOS es ser un sistema extremadamente pequeño y seguro para el uso de Raspberry Pi como un router/firewall. Todo el sistema ocupa sobre 500 MB y es básicamente una instalación raspbian debootstrapped con: configuraciones especiales de raspbian, alguna configuración personalizada y un kernel modificado.

ThalOS es seguro gracias a las siguientes medidas:

  • El kernel no tiene capacidad para cargar módulos. Esto es para evitar la inyección de código en el núcleo, por un atacante en el caso de que el sistema haya sido comprometido. Todos los accesos a la /dev/mem* han sido desactivado, junto con el apoyo de perfiles del núcleo. Para asegurarse de que incluso, si el sistema se ve comprometido, por lo menos el núcleo permanecerá seguro y impedirá brechas de seguridad como la adición de rootkits.
  • Thalos aprovecha las nuevas características de protección de pila en Linux 3.15, LXC es completamente compatible para permitir el aislamiento de los procesos y sistemas de archivos VFAT que se ha eliminado. La razón para eliminar el soporte para el sistema de archivos VFAT es no permitir el montaje de la partición /boot (que es de tipo VFAT). Esto impide que alguien de sobrescribir la imagen del núcleo, mientras que el sistema está funcionando.
  • Todos los archivos y directorios tienen deshabilitado su SUID/SGID. Esto puede parecer una controversia, pero en un sistema que sólo se utilizará como un router/firewall no hay necesidad de que estos bits estén presentes. Como tal, se quita otro pequeño potencial de vector de ataque.

Más información y descarga de ThalOS:
https://github.com/headsson/ThalOS/tree/master

Raspenwrt es una adaptación de OpenWRT para Raspberry Pi. OpenWrt es una distribución GNU/Linux altamente extensible para dispositivos embebidos (típicamente routers inalámbricos). A diferencia de muchas otras distribuciones, OpenWrt es construido desde cero para ser un sistema operativo con todas las funciones, fácilmente modificable. En la práctica, esto significa que puede tener todas las características que posee un firmware de un router, impulsado por un núcleo Linux. OpenWrt utiliza principalmente una interfaz de línea de comando, pero también dispone de una interfaz WEB.

Posee características implementadas que no tienen muchos otros fabricantes de dispositivos comerciales, tales como QoS, VPN y otras características que dotan a OpenWrt de ser un dispositivo de red, realmente potente y versátil, no sólo para utilizarlos como routers, sino como: servidores de archivo, nodos P2P, servidores de WEBcams, firewall o puertas de acceso VPN.

Más información y descarga de Raspenwrt:
http://sourceforge.net/projects/raspenwrt/

Analizador de redes portátil.

NetPi es un proyecto para tratar de construir un analizador de redes con características comparables a las soluciones comerciales. El proyecto es de código abierto, publicado bajo la licencia GNU GPLv3, se ejecuta en hardware barato la plataforma de Raspberry Pi y ofrece una amplia gama de herramientas para administradores de redes. Es probable que no sea una solución para reemplazar un producto comercial, si su uso requiere una estabilidad garantizada. Sin embargo puede ser utilizado en un laboratorio de casa, escuela o al lado de una solución en entornos comerciales a modo de backup.

Entre sus características destaca:

  • Soporte para protocolos de descubrimiento de redes CDP y LLDP.
  • Software de diagrama DIA para construir topologías de red.
  • Generación de informes de estadísticas de Ping, Trace y test de velocidad.
  • Posee un kit de herramientas de red constituido por: Wireshark, escaner Wifi y ZenMap.
  • Administración remota via VNC y SSH.
  • Servidor Syslog, para recoger mensajes Syslog de los dispositivos de red para un posterior análisis.

En el proyecto se describe un hardware para construir este analizador de redes portátil, que consta de:

  • Raspberry Pi B+.
  • MicroSD HC 16 GB Samsung, No necesariamente este modelo de tarjeta, y el tamaño puede variar, pero debe ser soportado por la Raspberry Pi B+. Se han detectado problemas de compatibilidad con otras MicroSD en Debian (Wheezy).
  • JBtek 4in LCD Touch Panel, Una pantalla táctil para visualizar y manejar los datos. Tabien se pueden utilizar dispositivos HDMI y optar por una pantalla que no sea táctil en función de su uso.
  • Edimax USB WiFi, Puede ser usado para la gestión remota mediante interfaz inalámbrica, muy práctico para consultar los archivos de registro
  • Cargador USB, Para alimentar el dispositivo. En general, cualquier bloque de alimentación USB debería funcionar.
  • Teclado FAVI Micro USB, Este teclado es perfecto por su reducido tamaño, para introduccir algún comando. La configuración de NetPI es mas practica realizara por consola.
  • Funda HDE 5.2in, para facilitar su transporte y mantener el teclado, la pantalla y la Raspberry Pi todo junto.

Más información y descarga de NetPI:
http://blamethenetwork.com/netpi-raspberry-pi-network-analyzer/

Test de penetración redes inalámbricas.

Existen unas herramienta de software libre ideales para test de penetración para la plataforma Raspberry Pi: FruityWifi, Ha-Pi, Raspberry Pwn, Wireless Attack Toolkit (WAT) y PwnPi.Tener todas estas herramientas para test de penetración en un equipo de reducidas dimensiones como una Raspberry Pi, da un gran abanico de posibilidades, sobre todo para los pentester profesionales, su gran ventaja es, sin duda, la movilidad. Este modelo muestra algunas limitaciones de recursos frente a montar el sistema en un PC, pero sus beneficios, compensan con creces las limitaciones.

FruityWifi es una herramienta de código abierto para auditar redes inalámbricas. Permite al usuario desplegar ataques avanzados utilizando directamente la interfaz web o mediante el envío de mensajes a la misma. Fue inicialmente creado para ser utilizado en la plataforma hardware Raspberry Pi, pero puede instalarse en cualquier sistema basado en Debian. Esta probado en sistemas: Kali Linux, Kali Linux ARM (Raspberry Pi), Raspbian (Raspberry Pi), Pwnpi (Raspberry Pi) y Bugtraq.

FruityWifi tiene una interfaz basada en módulos, soporta chipsets Realtek, banda ancha móvil 4G/3G y tiene un panel de control flexible, con un entorno Web. Es posible utilizar FruityWifi con una combinación de múltiples redes y configuraciones:

  • Ethernet ↔ Ethernet.
  • Ethernet ↔ 3G / 4G.
  • Ethernet ↔ Wifi.
  • Wifi ↔ Wifi.
  • Wifi ↔ 3G/4G.

Dentro de las opciones del panel de control es posible cambiar el modo de AP entre: Hostapd y Airmon-ng que soporta más chipsets como Realtek. Es posible personalizar cada una de las interfaces de red, que permite al usuario mantener la configuración actual o cambiarla por completo.

FruityWifi se basa en módulos por lo que es muy flexible. Estos módulos se pueden instalar desde el panel de control para proporcionar a FruityWifi nuevas funcionalidades. Dentro de los módulos disponibles se pueden encontrar: urlsnarf, dnsspoof, Kismet, mdk3, ngrep, nmap, squid3, sslstrip, portal cautivo, autossh, Meterpreter, Tcpdump,WhatsApp…

DNS Spoof, permite crear un servidor DNS falso y redirigirlo.

Autossh, permite al usuario crear una conexión ssh inversa en caso de que la conexión se haya cerrado o se ha caído. Es útil para mantener una conexión permanente con FruityWifi.

Meterpreter, es una excelente herramienta para obtener información de un host comprometido y manipular los procesos del sistema. Este módulo permite comprometer más hosts y acceder a más dispositivos y redes.

Nessus, es un escáner de vulnerabilidad. Con este módulo es posible escanear sistemas sin utilizar la interfaz de Nessus. Es posible descubrir las vulnerabilidades presentes en cada uno de los anfitriones.

Tcpdump, es analizar el tráfico de red. Con este módulo se puede interceptar el tráfico que pasa a través del dispositivo, filtrarlo y  almacenarlo para su análisis posterior.

Ettercap, es una herramienta capaz de capturar el tráfico de red y realizar diferentes ataques. Con este módulo es posible realizar ataques MITM utilizando envenenamiento ARP.

WhatsApp, este módulo se basa en un fallo de privacidad en WhatsApp. Cuando se envía un mensaje, en el paquete enviado se puede ver el número de teléfono y el sistema con el cual se ha enviado el mensaje.

Estas herramientas para test de penetración WiFi en un equipo de reducidas dimensiones como una Raspberry Pi, da un gran abanico de posibilidades, debido a su gran movilidad. Ademas FruityWifi soporta banda ancha móvil 3G y 4G. Se puede utilizar este módulo para conectar un modem 3G/4G y dar acceso a Internet a FruityWifi sin necesidad de Wifi o Ethernet. Muestra algunas limitaciones de recursos frente a montar el sistema en un PC, pero sus beneficios, compensan con creces las limitaciones.

Más información y descarga de FruityWifi:
https://github.com/xtr4nge/FruityWifi

Ha-Pi es una imagen de Debian “squeeze” debian6-19-04-2012, con herramientas para realizar test de penetración, desde la plataforma hardware Raspberry Pi (un pequeño ordenador con la arquitectura ARM, con sistema operativo embebido).

Posee las siguientes herramientas:

  • Aircrack Ng Suite.
  • Reaver-WPS.
  • Metasploit.
  • Nmap.
  • Ettercap.
  • Scapy.
  • SET.
  • Screen.
  • Beef.
  • MACchanger.
  • Tshark.
  • Sqlmap.
  • Evilgrade.
  • Nikto.
  • Hydra.
  • Skipfish.
  • Kismet.

Con soporte para los siguientes lenguajes:

  • Ruby 1.9.3 (con rvm)
  • Python 2.6.6
  • Perl 5.10.1.

En proceso de adaptar herramientas como:

  • W3AF.
  • Dnsspoof.
  • Fping.
  • Hping.

Y funcionalidades como:

  • Control remoto a través de 3G.
  • Conectividad con base de datos Metasploit.
  • Interacción entre las distintas herramientas.

Más información y descarga de Ha-Pi:
http://sourceforge.net/projects/ha-pi

Raspberry Pwn es un instalador de Pwnie Express para transformar la  distribución Debian “wheezy” para Raspberry Pi (un pequeño ordenador con la arquitectura ARM, con sistema operativo embebido) en un kit de pruebas de penetración que se carga con un conjunto de herramientas de seguridad y auditoría.

Las herramientas que instala este kit son: SET, Fasttrack, kismet, aircrack-ng, nmap, dsniff, netcat, nikto, xprobe, scapy, wireshark, tcpdump, ettercap, hping3, medusa, macchanger, nbtscan, john, ptunnel, p0f, ngrep, tcpflow, openvpn, iodine, httptunnel, cryptcat, sipsak, yersinia, smbclient, sslsniff, tcptraceroute, pbnj, netdiscover, netmask, udptunnel, dnstracer, sslscan, medusa, ipcalc, dnswalk, socat, onesixtyone, tinyproxy, dmitry, fcrackzip, ssldump, fping, ike-scan, gpsd, darkstat, swaks, arping, tcpreplay, sipcrack, proxychains, proxytunnel, siege, sqlmap, wapiti, skipfish y w3af.

Raspberry Pwn es fácil de instalar, pero necesita de una distribución Debian “wheezy” previamente instalada en una tarjeta mayor de 4 Gb, que se puede descargar aquí.

Instalación:

1. Cambiar el tamaño de la partición raíz y utilizar toda la tarjeta SD.

2. Iniciar el servicio SSH  en la Raspberry Pi para que pueda tener acceso a la consola.

3. Cambiar al usuario root:
# sudo -s

4. Instalar git (necesita conexión):
# apt-get install git

5. Descargar o clonar el instalador Raspberry Pwn del repositorio Github:
# git clone https://github.com/pwnieexpress/Raspberry-Pwn.git

6. Ir al directorio de Raspberry Pwn y ejecutar el script de instalación “Raspberry-Pwn”: 
#./INSTALL_raspberry_pwn.sh

Más información y descarga de Raspberry Pwn:
https://github.com/pwnieexpress/Raspberry-Pwn

Wireless Attack Toolkit (WAT) un kit de herramientas diseñado para realizar test de penetración de redes WiFi en las plataformas ARM embebidas (específicamente para v6 y RaspberryPi).

Este paquete de software funciona en la versión de 512 MB RasperryPi Modelo B (su tiempo de carga seria mucho mayor),  y puede ser instalado en cualquier Debian en ARMv7 con 512 MB como mínimo.

Proporciona a los usuarios herramientas de test de penetración de redes WiFi, automatizadas que se combinan con herramientas de man-in-the-middle para testear con eficacia y de forma silenciosa los clientes inalámbricos.

Algunas de las herramientas incluidas en el kit:

  • Servidor DNS basado regex-Custom.
  • DHCP.
  • Suite Aircrack-ng.
  • Browser Exploitation Framework (preconfigurado para Metasploit).
  • Metasploit.
  • Proxy de inyección transparente basado en Python.
  • Configuración  “Pushbutton”.
  • Modo “Limpet Mine» para atacar las redes existentes.

La piedra angular de este proyecto es la capacidad de inyectar un navegador web sin ningún tipo de advertencias, alarmas y alertas de usuario. A través de la manipulación del protocolo que obliga al cliente a creer que el equipo que ejecuta el software es la puerta de enlace a Internet. Y después utiliza un proxy web que inyecta datos maliciosos en las sesiones del explorador.

Más información y descarga de Wireless Attack Toolkit (WAT):
http://sourceforge.net/projects/piwat/

PwnPi una distribución de test de penetración basado en Linux para Raspberry Pi (un pequeño ordenador con la arquitectura ARM, con sistema operativo embebido). Actualmente cuenta con 200 herramientas de seguridad de red preinstaladas, para realizar test de intrusión.

PwnPi es una versión simplificada de Debian Wheezy de la Fundación Raspberry Pi y usa Openbox como gestor de ventanas. PwnPi puede ser configurado fácilmente para enviar conexiones inversas desde el interior de una red de destino mediante la edición de un archivo de configuración simple.

Entre las herramientas que componen esta distribución destacan:

aircrack-ng, programa de cracking WEP/WPA.
arp-scan, escaneo arp y fingerprinting.
BFBTester, fuerza bruta y Binary Tester.
Bing-ip2hosts, enumera los nombres de host para una dirección IP usando Bing.
bsqlbf, inyección SQL y fuerza bruta.
btscanner, escáner basado en ncurses para dispositivos Bluetooth.
chkrootkit, detector de rootkit en redes.
darkstat, analizador de tráfico de red.
dhcpdump, analiza los paquetes DHCP desde tcpdump.
dnswalk, información de la zona dns mediante búsquedas del servidor de nombres.
dsniff, diversas herramientas para capturar el tráfico de red, buscando inseguridades en texto plano.
enum4linux, una herramienta para enumerar la información de sistemas Windows y Samba.
etherape, monitor gráfico de la red
fping, envía paquetes ICMP ECHO_REQUEST a hosts de la red.
hping3, es una herramienta en linea de comandos que permite crear y analizar paquetes TCP/IP.
Inguma, toolkit para pruebas de penetración en red.
kismet, herramienta de monitoreo inalámbrico IEE 802.11b.
metagoofil, una herramienta de recopilación de información diseñada para la extracción de metadatos.
Metasploit, proyecto de seguridad que proporciona información acerca de las vulnerabilidades.
nikto, escáner de seguridad de servidores web.
nmap, escáner de puertos y servicios.
sipcrack, sesión dumper del protocolo SIP.
sipvicious, conjunto de herramientas que se puede utilizar para auditar sistemas de VoIP basados en SIP.
SQLBrute, una herramienta para ataques de fuerza bruta de bases de datos mediante la inyección SQL.
sqlmap, herramienta que automatiza el proceso de detectar y explotar los errores de inyección SQL.
sqlninja, inyección de SQL Server y herramienta de adquisición.
ssldump, un analizador de protocolos de red SSLv3/TLS.
sslscan, explorador SSL Fast.
sslsniff, herramienta de ataque SSL/TLS man-in-the-middle.
sslstrip, herramienta de ataque SSL/TLS man-in-the-middle.
stunnel4, túnel SSL universal para los demonios de red.
tcpdump, analizador de tráfico de red en línea de comandos.
tcpreplay, herramienta para reproducir archivos tcpdump guardados a velocidades arbitrarias.
tor, anonimato de conexiones de red, a través de la red TOR.
voiphopper, herramienta de prueba de seguridad de infraestructuras VoIP.
Voipong, VoIP sniffer y detector de llamada.
w3af-console, marco para encontrar y explotar vulnerabilidades de las aplicaciones web (CLI).
wapití, escáner de vulnerabilidades de aplicaciones Web.
wfuzz, una herramienta diseñada para  fuerza bruta de aplicaciones Web.
Wireshark, analizador de tráfico de red, versión GTK +.
xprobe, identificación remota del sistema operativo.

Más información y descarga de PwnPi:
http://pwnpi.sourceforge.net/


Detección de vulnerabilidades y emulación mediante honeypot.

La detección de vulerabilidades se realizara mediante OpenVAS y el honeypot sera  el proyecto Honeeepi.

OpenVAS, consiste en una imagen para Raspberry Pi en la que corre el sistema OpenVAS 7. OpenVAS es un sistema centralizado para la detección de vulnerabilidades de red y software. Con esta herramienta se puede comprobar si el software de los sistemas que componen la red esta actualizado y tener informes detallados. El motor de OpenVAS es un desarrollo bifurcado de Nessus.

OpenVAS tiene dos componentes servidor y cliente:

OpenVAS Servidor:

Es un explorador de vulnerabilidades de red, que recoge informes y test de la herramienta cliente. Utiliza un protocolo de comunicación seguro para conectar con el cliente para: configurar, ejecutar una exploración y finalmente recibir los resultados para generar un informe. Las pruebas se ejecutan bajo plugins que necesitan ser puestos al día, para cubrir problemas de seguridad identificados recientemente.

El servidor de OpenVAS es un desarrollo bifurcado de Nessus 2.2. La bifurcación sucedió porque el desarrollo principal (Nessus 3) cambio a un modelo de licencia propietario y el desarrollo de Nessus 2.2.x está prácticamente cerrado para los contribuidores. OpenVAS continúa como software libre, bajo licencia GNU, con un estilo transparente y abierto al desarrollo. Y funciona en las distribuciones: Debian, Gentoo, OpenSUSE, RHEL, CentOS y Fedora.

El proyecto de OpenVAS ofrece unas actualizaciones públicas de las pruebas de la vulnerabilidad de red (NVTs). La actualización contiene todos los plugins de NASL disponibles en el depósito del código fuente de OpenVAS y ahora contiene cerca de 5000 plugins. Estas actualizaciones están configuradas por defecto para el servidor de OpenVAS.

OpenVAS Cliente:

El OpenVAS-Cliente es un terminal cliente para OpenVAS y Nessus. Aplica el protocolo de la transferencia de Nessus (NTP). El GUI se ejecuta usando GTK+ 2.4 y realiza sesiones de exploración de vulnerabilidades de red. El OpenVAS-Cliente es un sucesor de NessusClient 1.X. La bifurcación sucedió porque los autores originales de NessusClient decidieron lanzarlo como software propietario. Disponible en las plataformas: Debian, Ubuntu, Gentoo, OpenSUSE, RHEL, CentOS, Fedora y Windows.

Más información y descarga de imagen OpenVAS 7 para  Raspberry Pi:
http://sourceforge.net/projects/openvasvm/?source=navbar

Más información y descarga de OpenVAS:
http://www.openvas.org/index.html

Acerca de OpenVAS Cliente:
http://www.openvas.org/openvas-client.html

Acerca de OpenVAS Servidor:
http://www.openvas.org/openvas-server.html

Honeeepi, un sistema operativo OS Raspbian personalizado con: Honeypots, herramientas de monitorización de red y captura de paquetes, para su posterior análisis. Y todo esto bajo las plataformas hardware Raspberry Pi B y B+.

El proyecto Honeeepi se compone de las siguientes herramientas:

  • Conpot es un Honeypot interactivo para simular sistemas y elementos SCADA fácil de implementar, modificar y ampliar. Proporciona una gran gama protocolos de control industrial comunes. Es capaz de emular infraestructuras complejas para convencer a un adversario que acaba de encontrar un enorme complejo industrial.
  • Dionaea es un Honeypot desarrollado para atrapar malware que aprovecha las vulnerabilidades expuestas por los servicios de red.
  • Glastopf es un Honeypot que emula miles de vulnerabilidades para recopilar datos de ataques dirigidos a las aplicaciones Web.
  • Kippo es un Honeypot de interacción en SSH  diseñado para registrar ataques de fuerza bruta y, lo más importante, toda la interacción cáscara realizado por el atacante.
  • Snort es un sniffer de paquetes y un detector de intrusos basado en red.
  • Ntop es una herramienta que permite monitorizar en tiempo real una red.
  • Captura de paquetes remoto (rpcap), es un demonio que proporciona captura de tráfico remoto para posterior análisis con Wireshark.

Instalación:

El proceso de instalación es similar a las imágenes comunes para Raspberry Pi (por ejemplo Raspbian, OpenELEC).

1. Escribir la imagen Honeeepi en la tarjeta SD (se recomienda mínimo 4Gb, pero lo ideal serian 32Gb).
sudo dd bs=2M if=honeeepi-201501.img of=/dev/sdb

2. Insertar la tarjeta SD en la Raspberry Pi. Alimentar el equipo y conecte a la red cableada. La imagen Honeeepi se inicia con «dhcpd» y «sshd ‘por defecto 

3. Una vez que localizada la dirección de red Honeeepi, se accede po SSH (puerto TCP / 22).
Usuario: pi
Contraseña: honeeepi

4. Configurar con una herramienta de configuración del software Raspberry Pi ofrece diversas funciones de configuración. Por ejemplo, después de la instalación, la utilizamos para expandir el sistema de archivos a toda la tarjeta SD (espacio de 32 GB) para el uso Honeeepi.
raspi-config

5. Actualizar el software con:
apt-get update
apt-get upgrade

Configurar Honeypots y herramientas:

Conpot.

  1. Iniciar sesión como usuario pi.
  2. cd /honeeepi/conpot
  3. Para iniciar para Siemens S7-200 (inicio como fondo)
  4. sudo conpot –template default 
  5. iniciar kamstrup_382 (medidor inteligente) (inicio segundo plano)
  6. sudo conpot –template kamstrup_382 

Dionaea.

  1. Iniciar sesión como usuario pi.
  2. cd /honeeepi/dionaea-honeypot
  3. sudo ./start.sh 
  4. Para iniciar OS fingerprinting (segundo plano)
  5. sudo ./start-p0f.sh 

Glastopf.

  1. Iniciar sesión como pi
  2. sudo glastopf-runner 

Kippo.

  1. Editar su ssh a otro número de puerto.
  2. sudo vi /etc/ssh/sshd_config
  3. Editar puerto SSH a otro puerto de su elección. Cambiar el puerto por defecto 22 asegurarse de que no pisar otros servicios Honeypot.
  4. reinicio SSH
  5. sudo /etc/init.d/ssh restart
  6. sudo su kippo
  7. cd /honeeepi/kippo
  8. ./start.sh

Ejecución de Supervisión de la red Ntop.

  1. Iniciar sesión como usuario pi.
  2. cd /opt/ntop-5.0.1
  3. sudo ntop 
  4. Al iniciar por primera vez le pedirá la contraseña de administrador de usuario. 
  5. Ir al acceso del navegador, http://IP_direccion_de_honeeepi: 3000/.

Captura de paquetes remoto (rpcapd).

  1. Iniciar sesión como usuario pi.
  2. sudo passwd root
  3. Poner contraseña de root.
  4. cd /opt/rpcap
  5. sudo start.sh
  6. Configuración de captura remota utilizando Wireshark.

Más información y descarga de Honeeepi:
http://sourceforge.net/projects/honeeepi/

Este blog se presenta a los Premios Bitacoras.com 2015 en la categoria «Mejor Blog de Seguridad Informática». Si te apetece participar y votar por este blog pincha aqui:
http://bitacoras.com/premios15/votar/4119a5882667dfc3f48dcfb949c72f0b6f08315a

Más historias

Marco de reconocimiento de red que permite ejecutar su propio servicio de DNS pasivo

Álvaro Paz mayo 23, 2022 0
Herramienta liviana que realiza un reconocimiento extenso utilizando una Raspberry Pi

Herramienta liviana que realiza un reconocimiento extenso utilizando una Raspberry Pi

Álvaro Paz abril 2, 2022 1
Herramienta de enumeración de subdominios<strong><em></em></strong>

Herramienta de enumeración de subdominios

Álvaro Paz febrero 7, 2022 2

Deja un comentario