Thứ Hai, 25 tháng 5, 2015

Install Honeywall roo 1.4 for Honeynet

Hướng dẫn cài đặt và cấu hình Honeywall roo 1.4 làm Honeynet:
Mục tiêu: Sử dụng hệ thống Honeynet để nghiên cứu, học tập.
Chuẩn bị:
Bài viết hướng dẫn cài đặt Honeywall sử dụng máy ảo VMware, đối với mô hình thực tế chỉ cần cấu hình các giao diện mạng theo đúng thứ tự là hệ thống chạy được.
- Bộ cài Honeywall roo 1.4 ISO
- Phần mềm thu thập thông tin Sebek-Win32-3.0.5 cho Windows
- Máy ảo Windows 7 đã cài sẵn công cụ Nmap
- Máy ảo Windows Server 2k3 làm Honeypot
- Máy ảo Windows XP làm máy quản trị
1. Mô hình cài đặt
 Máy ảo Honeywall có 3 giao diện mạng theo thứ tự:
- Giao diện thứ 1: (eth0) đặt chế độ là Bridged: Kết nối được các máy tính trong mạng LAN và máy Windows 7, không đặt IP.
- Giao diện thứ 2: (eth1) đặt chế độ là Host-only: Kết nối được máy vật lý và máy ảo Server 2k3, không đặt IP.
- Giao diện thứ 3: (eth2) đặt chế độ là Vmnet 2: Kết nối với máy ảo Windows XP. IP: 172.16.1.2/24
Máy ảo Windows 7 kết nối vào mạng LAN thông qua giao diện Bridged. IP: 192.168.1.50
Máy ảo Windows XP sử dụng giao diện Vmnet 2 để kết nối với Honeywall thông qua eth2. IP: 172.16.1.10/24
Máy ảo Windows 2k3 làm Honeypot và sử dụng giao diện Host-only. IP: 192.168.1.2/24
(Tất cả lưu lượng đi vào Windows 2k3 đều phải qua Honeywall)
2. Các bước thực hiện
Bước 1: Cài đặt Honeywall:
- Cho đĩa (ISO) vào máy ảo Honeywall để bắt đầu cài đặt.
- Quá trình cài đặt như cài hệ điều hành CentOS thông thường.
Bước 2: Cấu hình Honeywall:
- Sau khi cài đặt thành công đăng nhập bằng tài khoản:
User: roo    pass: honey
- Chuyển sang quyền root để cấu hình: (su - ; pass: honey)
- Sử dụng trình soạn thảo vi cấu hình file: /etc/honeywall.conf
- Khai báo IP quản lý: 172.16.1.2
- Khai báo IP máy Honeypot (2k3): 192.168.1.2
- Sebek Destination: 192.168.1.2
- Lưu và thoát khỏi trình soạn thảo vi (:x)
- Sử dụng lệnh sau để cập nhật thông tin cấu hình:
#/usr/local/bin/hwctl -s -p /etc/honeywall.conf
Bước 3: Cài đặt Sebek lên Windows 2k3
- Cài đặt và cấu hình Sebek lên 2k3: điểm chú ý: không đặt IP mà đặt địa chỉ MAC là eth1 của Honeywall.
(Có thể cài đặt Sebek cho Honeypot là Linux)
3. Kiểm tra kết quả
Chuyển sang máy Window 7 sử dụng công cụ Nmap quét cổng vào IP của 2k3 (192.168.1.2)
Chuyển sang máy XP đăng nhập theo địa chỉ: https://172.16.1.2
Tài khoản: User: roo    pass: honey
Kết quả xuất hiện với dấu hiệu tấn công là quét cổng.
(Bài đăng nhằm mục đích chia sẻ kinh nghiệm)