El objetivo de esta página es proporcionarte la documentación más reciente, el
código fuente, y las utilidades para la suite de herramientas Sebek. Sebek es
una herramienta de captura de datos diseñada para capturar toda la actividad de
los atacantes en un sistema trampa (honeypot), sin que el atacante lo
sepa. Tiene dos componentes. El primero es un cliente que se ejecuta en los
sistemas trampa, cuyo propósito es el de capturar toda la actividad de los
atacantes (pulsaciones de teclado, envío de ficheros, contraseñas) para enviarla
luego de forma oculta al servidor. El segundo componente es el servidor, que
recopila los datos de los sistemas trampa. El servidor se ejecuta normalmente en
el Honeywall gateway. Véase la Figura A
para ver la arquitectura general de Sebek.
Desarrolladores:
Actualizaciones (a fecha de 25 de febrero de 2004):
Versión actualizada del cliente de Linux publicada (ver 2.1.7). Esta versión
arregla un problema con los contadores de paquete y varios arreglos menores.
|
|
Documentación
Para un artículo detallado que explique qué es Sebek, cómo funciona, detalles
internos, desarrollo, y uso, véase
Conoce a tu enemigo: Sebek. Además, cada distribución de Sebek viene con un
fichero README que describe cómo configurarlo, instalarlo, y utilizar la
distribución.
Por último, puedes leer las Preguntas más Frecuentes de Sebek. 
Clientes Sebek
El cliente Sebek es lo que se instala en cada sistema trampa. El cliente Sebek
opera como una parte misma del kernel. Según el puerto, puede ser un LKM
o un kernel src patch. Funciona monitorizando la actividad de sys_read y
registrando datos de interés. Estos datos son luego exportados de forma oculta
al servidor.
-
Linux 2.1.7. Sebek-linux
es el módulo del kernel utilizado para el kernel 2.4.X
de Linux.
- OpenBSD 2.6. Sebek-OpenBSD
es un parche para el kernel utilizado para ser ejecutado en la
versión 3.4 y actual de OpenBSD.
-
Solaris 2.05.03. Sebek-Solaris
es el módulo del kernel utilizado para Solaris 2.8/2.9 en
sistemas Sparc/X86. Actualmente 64 bit sólo en Sparc.
- Win32 2.1.5.
Cliente Sebek para Win2000 y WinXP. Por el momento sólo captura
actividades de la línea de comandos con el cmd.exe. Puede encontrar el
código fuente aquí.
- Clientes para FreeBSD and OpenBSD disponibles en breve.
- Archivos.
Versiones anteriores de clientes Sebek.
Servidor Sebek
Herramientas utilizadas para recopilar datos de Sebek.
- Sebek
Server 2.1.6.
El servidor Sebek es una suite de tres herramientas utilizadas para capturar
los datos de la red trampa (Honeynet). El primer componente se denomina
sbk_extract. El propósito de esta herramienta es el de extraer los datos de
Sebek. Esto se hace tanto desde ficheros tcpdump como obteniendo los datos
directamente desde la interfaz de red. De cualquier forma, tendrás que utilizar
esta herramienta para recuperar los datos de Sebek. Una vez que sbk_extract
extrae los datos, puedes hacer dos cosas con ellos. Una consiste en enviarlos a
una herramienta llamada sbk_ks_log.pl que es un script en Perl que
recoge las pulsaciones de teclado del atacante y las envía a STDOUT. La otra
opción consiste en enviarlos a sbk_upload.pl, que es un script en Perl
que carga los datos de Sebek en una base de datos mysql. Estos datos pueden ser
luego analizados mediante la Interfaz Web de abajo. Se recomienda ejecutar
estas herramientas en un entorno protegido, como con chroot(1) y un parche de
seguridad del kernel (como el de
grsecurity.org).
-
Archivos.
Versiones anteriores del servidor Sebek.
Análisis de datos Sebek
Herramientas utilizadas para analizar los datos de Sebek recogidos en sistemas
trampa.
- Web Interface
0.8.
Esta es una nueva interfaz Web basada en PHP/mysql para Sebek. Proporciona la
habilidad de recuperar transferencias de ficheros, monitorizar pulsaciones de
teclado y buscar atributos específicos.
|
