Aquí encontrará herramientas para implementar tu Honeynet (Red trampa). Todo el software creado por el Honeynet Project es OpenSource y está bajo la Licencia BSD, a menos que se especifique otra cosa. El software listado aquí no desarrollado por el Honeynet Project debe como mínimo ser OpenSource. Si usted está implementando una Honeynet, asumimos que ha leído y entiende los conceptos, riesgos y asuntos discutidos en CTE: Honeynets. Si encuentra cualquier fallo, problema de seguridad, o tiene alguna sugerencia sobre el código de este sitio, por favor contacte con project@honeynet.org. Puede encontrar todos los avisos que hemos publicado en el Archivo de avisos.

NOTA: El Honeynet Project no garantiza, o se puede hacer responsable de los daños causados por cualquiera de las herramientas de este sitio.

Honeywall CDROM
Es un CDROM de arranque que intenta facilitar la construcción de un Honeywall gateway (pasarela Honeywall). Automatiza la construcción y el despliegue del control de datos, captura de datos, y alertas. Lleva a cabo esta tarea combinando la mayoría de las herramientas de abajo y reuniéndolas en un CDROM reducido basado en Linux. Puede aprender más en la página del Honeywall CDROM.

Control de datos
Herramientas para controlar y contener la actividad de los atacantes. 

• rc.firewall. Script IPTables utilizado para contar y controlar las conexiones salientes en sistemas Linux. Esta nueva versión soporta GenI (enrutamiento IP de nivel 3), GenII (funciones de puente de nivel 2), y capacidades de QUEUE (colas), que puede trabajar junto con Snort_inline. Desarrollado y mantenido por Rob McMillen del Proyecto Honeynet.
• Snort_inline: Modificaciones de Snort que pueden bloquear o modificar ataques basados en la concordancia de firmas o patrones. Trabaja junto con el script rc.firewall para inspeccionar, y luego actuar sobre paquetes entrantes y salientes. Basado en Snort 2.0. Creado inicialmente por Jed Haile, y ahora mantenido por Rob McMillen del Proyecto Honeynet. Para aprender más, únete a la lista de correo snort-inline (en inglés).
  • Snort_inline.conf: Fichero de configuración de Snort_inline.
  • Script de inicio Snort_inline:. Un script ejecutable utilizado para iniciar Snort_inline.
  • Snort-Inline Toolkit: Un conjunto de herramientas que contiene un binario estático, precompilado de Snort_inline para Linux, con documentación, conjunto de reglas drop.rules, y el fichero de configuración snort_inline.conf. La idea es proporcionarte un paquete que sea fácil de instalar y listo para empezar.
  • SnortConfig. Script en Perl desarrollado por Brian Caswell que toma las reglas actuales de Snort y las convierte para utilizarlas por Snort-inline (drop, sdrop, replace). Tiene un gran número de opciones de configuración, incluyendo la habilidad para cambiar reglas basadas en fichero, classify, o sid.
• Bridge / IPTable's patch. Este parche permitirá a tu IPTables en kernel 2.4.X trabajar en modo puente. La mayoría de los kernels no soportan esta característica, y necesitan este parche del kernel. Soportado por defecto por el kernel 2.6.X.
• Session Limit. Una modificación de la herramienta de cortafuegos de OpenBSD "pf". Te proporciona capacidades de control de límite de sesiones. Esto puede ser  utilizado tanto a nivel 3 (enrutamiento) como a nivel 2 (modo puente). Desarrollado por el equipo de Brasil del la Alianza de Desarrollo Honeynet.
• Limitación del Ancho de Banda en Honeypots. Varias tecnologías y opciones de configuración para crear latencia del ancho de banda de red o limitación. Utilizado para limitar cuántos paquetes salientes pueden enviar los chicos malos desde tu Honeynet.

Captura de datos
Herramientas utilizadas para registrar y capturar toda la actividad de los atacantes.

• Utilidades de Snort: Herramientas para que Snort capture la actividad de los atacantes.
  • Fichero de configuración de snort  que utiliza el Proyecto Honeynet.
  • Script de inicio de snort  ejecutado diariamente en los gateways de una Honeynet. Esto permite asegurarse de que los registros y alertas de Snort se rotan de forma diaria.
• Sebek. Esta es la principal utilidad que utiliza el Proyecto Honeynet para capturar la actividad en los honeypots (Sistemas trampa).
• Bash Patch. Este parche trabaja con bash 2.05b. Modifica el shell /bin/bash para enviar todas las pulsaciones de teclado del usuario vía UDP a la red, de forma que puedan ser recogidas por un sniffer o un servidor syslogd. Este parche no depende de syslogd para enviar los paquetes. Es una versión actualizada del parche de bash de Anton Chuvakin.
• Termlog ver 1.0.2. Utilidad de captura TTY diseñada para FreeBSD. Incluye nuevas características, como checksums MD5. Desarrollada por C.S. Peron.

Recolección de datos
Herramientas utilizadas para recoger y relacionar datos provenientes de múltiples Honeynets.

• Upload Script. Script utilizado por los miembros del Honeynet para sanear y subir datos a una base de datos central de forma diaria. Este script sube dos conjuntos de datos, los registros de cortafuegos de IPTable y los ficheros de registro binarios de Snort.
• Obfugator 0.9.1. Herramienta utilizada para sanear los registros de sistema, que incluye no sólo las cabeceras de los paquetes, sino también datos incluidos en los mismos.

Análisis de datos
Herramientas utilizadas para analizar los datos recogidos por las Honeynets.

• Demo Data. Conjunto de datos de valor recogidos durante un mes por una sola Honeynet. Estos datos son utilizados para desarrollar, probar, y demostrar herramientas de análisis de datos, tales como el inminente Honey Inspector.
• Privmsg, un script en Perl creado por Max Vision del Proyecto Honeynet. Utilizado para extraer conversaciones IRC de ficheros de registro binarios de tcpdump, muy bueno para eliminar "ruido" o "basura".
• Sleuthkit. Conjunto de herramientas forenses OpenSource para el análisis de sistemas comprometidos.
• WinInterrogate. Soluciones OpenSource utilizadas para el análisis de sistemas de ficheros y procesos win32.