Honeypot

Hoteypot powinien być zainstalowany na komputerze służącym jedynie do monitorowania sieci nie
przechowującym żadnych istotnych danych. Możemy wyłączyć działanie antywirusa w folderze
działania honeypota, by nie blokował nam komputera. Należy tak skonfigurować firewall, by
dopuszczał dowolne połączenia przychodzące do honeypota, ale blokował wszystkie pozostałe. Jeśli
chcemy uruchamiać programy na honeypocie, to warto je skonfigurować w najmniej bezpieczny
sposób (np. działanie na standardowym porcie) by zwiększyć szansę ataku. Upewniamy się że
komputer ma połączenie z siecią i przypisany swój adres IP.

Windows 
Programem netstat.exe –a zwalniamy porty na rzecz honeypota. Jedyny port który musi pozostać dla
systemu to 135 UDP i TCP.
Sama instalacja przebiega poprzez uruchomienie pliku HoneyBOT_010.exe i postępowanie wg
instrukcji. Dalsza konfiguracja i nasłuchiwanie odbywa się w środowisku okienkowym.
Nasłuchujące porty konfiguruje się w pliku service.ini wg wzorca:
port protokół opis, gdzie dla UDP protokół:=0, a dla TCP protokół:=1.

Debian 
Instalacja honeyd: rozpakowujemy paczkę http://www.citi.umich.edu/u/provos/honeyd/honeyd-
1.5a.tar.gz, doinstalowujemy biblioteki libevent, libdnet, libpcap i arpd.  Przekierowujemy ruch
sieciowy z naszego adresu IP do honeyd komendą # arpd adres_ip. Przykładowe uruchomienie:

honeyd -p nmap.prints -f honeyd.conf -l logfile.log adres_ip 

Przykładowa zawartość pliku honeyd.conf:
create winxp 
set winxp personality "Microsoft Windows XP Professional SP1" 
set winxp uptime 319671 
add winxp tcp port 80 "perl scripts/iis5.net/main.pl" 
set winxp default tcp action reset