Mục lục I Mơ hình Lab: Trong đó: Máy ảo Địa Hệ điều hành Server 192.168.20.20/24 CentOS 6.9 Attacker 192.168.10.10/24 Kali linux Honeyd Server 192.168.20.10/24 CentOS 6.9 Honeypot 192.168.20.199/24 Xây dựng hệ thống Honeypot giả lập dịch vụ Server II Các thiết lập ban đầu: - Dựng lab EVE GNS3, kết nối với máy ảo mơ hình - Đặt IP interface thiết bị - Trên R1, cấu hình NAT để internet III Cài đặt Honeyd Server: Honeyd dựa vào số thư viện: libevent: thông báo event libdnet: tạo package libpcap: package sniffing libpcre: thư viện perl regular expression (tùy chọn) III.1 Cài đặt Honeyd 1.5c CentOS 6.x: Bài lab sử dụng Honeyd phiên 1.5c, sử dụng thư viện có phiên thấp hơn, nên cần gỡ bỏ thư viện phiên cài đặt thư viện có phiên phù hợp yum remove libevent libevent-devel libdnet libdnet-devel III.1.1.Cài đặt package lib cần thiết: yum install pcre pcre-devel libpcap libpcap-devel rrdtool gcc gcc-c++ libtool readline-devel zlib-devel python-devel wget nano III.1.2.Cài đặt libdnet 1.11: cd /tmp/ wget https://sourceforge.net/projects/libdnet/files/libdnet/libdnet1.11/libdnet-1.11.tar.gz tar –xvf libdnet-1.11.tar.gz cd libdnet-1.11 /configure make make install III.1.3.Cài đặt libevent 1.3a: cd /tmp/ wget http://monkey.org/~provos/libevent-1.3a.tar.gz tar –xvf libevent-1.3a.tar.gz cd libevent-1.3a /configure make make install III.1.4.Cài đặt arpd 0.2: Arpd dịch vụ lắng nghe ARP request trả lời địa IP chưa gán Sử dụng Arpd kết hợp với Honeyd, xác định khơng gian địa chứa gán mạng với Honeypot ảo Với địa IP DHCP cấp, arpd can thiệp vào DHCP server cách làm cho Honeyd trả lời gói Ping mà DHCP server sử dụng để xác định xem địa free cd /tmp/ wget http://www.citi.umich.edu/u/provos/honeyd/arpd-0.2.tar.gz tar –xvf arpd-0.2.tar.gz cd arpd-0.2 /configure make make install III.1.5.Cài đặt Honeyd 1.5c: cd /tmp/ wget http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz tar –xvf honeyd-1.5c.tar.gz cd honeyd-1.5c /configure make make install III.2 Cấu hình Honeyd: Honeyd cấu hình theo dạng script Honeyd dựa vào script để tạo honeypot Script viết theo mẫu: CREATE Tạo template SET ETHERNET "" Đặt giá trị MAC cho Ethernet Internet SET PERSONALITY “” Đặt tên cho thiết bị dùng làm Honeypot Tên dựa vào file nmap.assoc SET DEFAULT TCP ACTION SET DEFAULT UDP ACTION SET DEFAULT ICMP ACTION Thiết lập action hệ thống gặp protocol TCP, UDP, ICMP Có action: open: port trạng thái listening reset: port trạng thái close block: drop tất packet ADD PORT Thêm action cho dịch vụ có protocol port cụ thể ADD PORT " " Thêm script để thực thi cho dịch vụ có protocol port cụ thể SET UPTIME Thiết lập thời gian sống cho hệ thống, tính giây (s) SET DROPRATE IN Thiết lập tỷ lệ (%) rớt packet để mô mạng bận rộn SET UID GID Thiết lập UID GID BIND Gán template vào honeypot với địa IP ảo Theo mơ hình lab, ta có script tạo honeypot sau: create honeypot set honeypot ethernet "00:0C:29:7A:54:25" set honeypot personality "IBM OS/400 V4R2M0" set honeypot uptime 2592000 set honeypot default tcp action reset set honeypot default udp action reset set honeypot default icmp action open add honeypot tcp port 135 open add honeypot tcp port 139 open add honeypot tcp port 445 open add honeypot tcp port 3389 open add honeypot tcp port 80 open add honeypot tcp port 53 proxy 8.8.8.8:53 bind 192.168.20.199 honeypot Lưu script thành file để dễ dàng thực thi chỉnh sửa III.3 Thực thi Honeyd: Thiết lập Firewall: iptables -A INPUT -d 192.168.20.199 -j ACCEPT iptables -A INPUT -m state state RELATED,ESTABLISHED -j ACCEPT Thực thi arpd để lắng nghe gói ARP Request /usr/local/sbin/arpd ‘192.168.20.19’ Khởi động Honeyd: Chạy Honeyd với số option: Option -d -f -l -i -N … Chức cho Honeyd chạy hiển thị console đọc cấu hình từ file ghi log packet kết nối vào logfile lắng nghe interface cụ thể in interface có Đối với lab, cho honeyd chạy nền, sử dụng file cấu hình honeyd.conf, log lưu honeyd.log honeyd –f /usr/local/share/honeyd/honeyd.conf –l /tmp/log/honeyd.log Sau khởi chạy Honeyd, máy Attacker dùng công cụ nmap để kiểm tra nmap –T4 –A –v 192.168.20.199 Trên Honeyd Server phân tích file log sinh từ honeyd Trong file log tìm địa IP attacker, thời gian thực dịch vụ bị công III.4 Khắc phục số lỗi cài đặt Honeyd: III.4.1.Lỗi cài đặt arpd: Khi thực lệnh make trình cài đặt arpd Cách khắc phục: Ghi thêm vào file arpd.c #define FUNCTION "" Sau đó, thực cài đặt lại arpd III.4.2.Khơng tìm thấy thư viện libevent-1.3a.so.1: Khi dùng arpd, số trường hợp khơng tìm thấy thư viện libevent-1.3a.so.1 libevent cài đặt [root@centos ~]# /usr/local/sbin/arpd '192.168.20.199' /usr/local/sbin/arpd: error while loading shared libraries: libevent1.3a.so.1: cannot open shared object file: No such file or directory Cách khắc phục: Thực chất, libevent-1.3a.so.1 nằm /usr/local/lib/ Để sửa lỗi này, cần tạo link cho libevent-1.3a.so.1 đến /usr/lib/ ln -s /usr/local/lib/libevent-1.3a.so.1 /usr/lib/libevent-1.3a.so.1 III.4.3.Lỗi permission denied ghi log cho honeyd: honeyd[24903]: Demoting process privileges to uid 99, gid 99 honeyd[24903]: honeyd_logstart: fopen("/tmp/log/honeyd.log"): Permission denied Cách khắc phục: Đổi owner-user owner-group cho file honeyd.log tương ứng với honeyd chown nobody:nobody /tmp/log/honeyd.log III.5 Cài đặt Honeyd 1.6 Ubuntu 16.04: Cài đặt package lib cần thiết: apt-get install libevent-dev libdumbnet-dev libpcap-dev libpcre3-dev libedit-dev bison flex libtool automake git libdnet Clone git máy: git clone https://github.com/DataSoft/Honeyd Cài đặt lệnh: cd Honeyd/ /autogen.sh /configure make make install Lưu ý: Khi chạy Honeyd có trường hợp xảy lỗi khơng tìm thấy thư viện libdnet.1 Cách khắc phục: ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1 10 IV Tài liệu tham khảo: http://www.honeyd.org/tools.php https://github.com/DataSoft/Honeyd https://bhumishgajjar.wordpress.com/2013/10/12/common-problems-with-initial-honeydconfiguration/ 11 ... có Đối với lab, cho honeyd chạy nền, sử dụng file cấu hình honeyd. conf, log lưu honeyd. log honeyd –f /usr/local/share /honeyd/ honeyd.conf –l /tmp/log /honeyd. log Sau khởi chạy Honeyd, máy Attacker... phục: Đổi owner-user owner-group cho file honeyd. log tương ứng với honeyd chown nobody:nobody /tmp/log /honeyd. log III.5 Cài đặt Honeyd 1.6 Ubuntu 16.04: Cài đặt package lib cần thiết: apt-get install... 192.168.20.199 Trên Honeyd Server phân tích file log sinh từ honeyd Trong file log tìm địa IP attacker, thời gian thực dịch vụ bị công III.4 Khắc phục số lỗi cài đặt Honeyd: III.4.1.Lỗi cài đặt arpd: Khi