Honeypots und Honeywall in der Praxis DFN-CERT Workshop,

Transkript

1 Honeypots und Honeywall in der Praxis DFN-CERT Workshop, Stefan Kelm Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall Roo im Einsatz Fazit

2 Honeypots Definition (Lance Spitzner, z.b. DFN-CERT WS 2005) A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource Has no production value, anything going to or from a honeypot is likely a probe, attack or compromise Primary value to most organizations is information Vor- und Nachteile Vorteile Einfaches Konzept; schnelle Realisierung möglich Weniger Fehlalarme ( false positives ) als z.b. IDS Ist in der Lage, neue Angriffe zu fangen Dem Angreifer über die Schulter schauen Nachteile Eingeschränkte Sichtweise Administrativer Aufwand oft unterschätzt Ggf. erhöhtes Risiko

3 Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall Roo im Einsatz Fazit Honeynet - GenIII Quelle: The Honeynet Project

4 Datenkontrolle No Restrictions Internet Honeypot Honeywall Connections Limited Packet Scrubbed Honeypot Quelle: The Honeynet Project Snort-Inline alert tcp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"dns EXPLOIT named";flags: A+; content:" CD80 E8D7 FFFFFF /bin/sh"; alert tcp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"dns EXPLOIT named";flags: A+; content:" CD80 E8D7 FFFFFF /bin/sh"; replace:" 0000 E8D7 FFFFFF /ben/sh";)

5 Sebek3: Architektur Client-Server-basiert Client schneidet Daten auf dem Honeypot mit Server (auf der Honeywall) sammelt diese Daten Client UDP basierte Kommunikation Quelle: The Honeynet Project Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall Roo im Einsatz Fazit

6 Installation Roo v1.0 Basiert auf Fedora Core 3 Boot-CD (ca. 325 MB ISO-Image) installiert sich direkt auf die Festplatte (keine Live-CD!) ca. 235 Software-Pakete (RPMs) Installation dauert nur wenige Minuten Automatisches Reboot nach der Installation startet Härtungsskript Bastille, CIS, NIST Automatische Konfiguration über Floppy möglich honeywall.conf (vgl. Anhang A) Effektiver Rollout-Mechanismus Web-Interface Walleye für Zugriff auf Logs Quelle: The Honeynet Project

7 Quelle: The Honeynet Project

8

9 Prozessansicht 9

10 Die Praxis Drei verschiedene Honeypots, einzelne IP Win2K SP4 (uralt) OpenBSD 3.7 (unverändert) + Sebek + mwcollectd (vgl. Vortrag von Thorsten Holz) Win XP Pro SP 2 (aktueller Patchlevel) Windows-Firewall aktiv + Wormradar Zeitraum: April heute Die Praxis W2K SP4 nach ca. 2 Wochen komplett übernommen PWSteal.Trojan, Win32.WebSearch.j, Win32.Lager.o, SqlSlammer,... System war irreparabel OpenBSD 3.7 Versuchte W2K-Angriffe gingen weiter, nahmen dann ab Keine erfolgreichen Angriffe Mehrere versuchte Wurmangriffe täglich = Grundrauschen insbesondere SqlSlammer Win XP Pro SP 2 Bisher keine erfolgreichen Angriffe Mehrere versuchte Wurmangriffe täglich = Grundrauschen SqlSlammer, Win32/RBot.ASN, SSH-probe, WebDAV, /sumthin, Win32.DipNet.a, Zero-day IE.WMF Exploit,...

11

12 Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall Roo im Einsatz Fazit Fazit Roo besitzt mit hflow eine mächtige, zentrale Komponente benötigt kaum Ressourcen Ausnahme: mysql (+ Web-Interface) hat noch einige Kinderkrankheiten ersetzt nicht den Know-How-Aufbau produziert auch etliche Fehlalarme, aber ist dennoch deutlich effektiver als "nur" IDS, etc. ist für immer mehr (große) Unternehmen interessant ist absolut praxistauglich, mehr als ein Spielzeug Ausblick Roo 2.0 Beta seit verfügbar

13 Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax