NoAH Übersicht über das Honeypot-Projekt

Transkript

1 NoAH Übersicht über das Honeypot-Projekt Andreas Bunten / Jan Kohlrausch DFN-CERT Services GmbH [bunten kohlrausch]@dfn-cert.de

2 Gliederung Übersicht und Grundlagen Honeypots Das NoAH Honeypot-Projekt Ausblick Slide 2

3 Einleitung Honeypots Systeme, die angegriffen werden sollen. Ziel: Sammeln von Informationen über die Angriffe. Unterteilung in: Hoher Interaktionsgrad (high-interaction) Niedriger Interaktionsgrad (now/medium interaction) Slide 3

4 Beispiele für Honeypots Niedriger Interaktionsgrad: Nepenthes honeyd honeytrap Hoher Interaktionsgrad: GEN III vom honeynet.org Argos (Vrije Universiteit Amsterdam) Slide 4

5 Hohe Interaktion Verwendung nativer Betriebssysteme Direkt auf der Hardware Alternativ als Gast in virtueller Maschine Funktioniert für alle Angriffsvarianten Umfangreiche Resultate Ineffizient Risiko für Dritte? Slide 5

6 Niedrige Interaktion Simulation verwundbarer Dienste Abgestimmt auf einzelne Exploits/Angriffe Skript liefert genau die Antwort, die der Exploit erwartet. Funktioniert sehr effizient für bekannte Angriffe. Geringes Risiko Schlägt bei unbekannten Angriffen fehl. Slide 6

7 Optimierungsproblem Optimierung für den Einsatzzweck: Universalität Effizienz des Einsatzes Genauigkeit der Resultate Slide 7

8 Optimierungsproblem Nepenthes: Sehr Effizient Reaktion nur auf wenige Angriffe und Würmer Slide 8

9 Optimierungsproblem Honeynet: Natives System Umfangreiche Daten Aufwendige Interpretation Slide 9

10 Optimierungsproblem Honeytrap: Sehr flexibel bzgl. des Systems Spiegeln von Verbindungen Proxy für Verbindungen Slide 10

11 Optimierungsproblem Argos: Sehr genaue Daten Spezialisierung auf Buffer Overflows Slide 11

12 NoAH Projekt: Übersicht EU Projekt des 6. Rahmenwerks Leiter: FORTH Seit April 2005 Ende 2008 Slide 12

13 NoAH Projekt: Ziele Aufbau eines Netzwerkes von Honeypots Entdeckung von neuartigen Angriffen Analyse der Angriffe Unterstützung von Experten Slide 13

14 NoAH Projekt: Ziele II Generierung von Angriffssignaturen Offene Schnittstellen für die Integration von: Honeypots Relays End-Anwender Slide 14

15 NoAH Projekt: Architektur Slide 15

16 NoAH Projekt: Argos Sensoren laufen in Argos Umgebung. Was ist Argos? Basiert auf QEMU Alle Daten aus dem Netzwerk werden als verschmutzt (tainted) markiert. Verschmutzte Daten dürfen den Programmablauf nicht beliebig beeinflussen! Slide 16

17 NoAH Projekt: Argos Slide 17

18 NoAH Projekt: Argos Slide 18

19 NoAH Projekt: Argos Slide 19

20 NoAH Projekt: Aktueller Stand Test der Komponenten ist abgeschlossen. Aufbau eines Testbetts in 3 Phasen: 1) Integration aller Komponenten (intern) 2) Integration neuer Sensoren (intern) 3) Integration und Kooperation mit externen Partnern Erweiterung auf Client-Honeypots geplant Slide 20

21 Zusammenfassung NoAH unterstützt uns bei der Analyse neuer Angriffe ( zero-day Exploits ). Erstellung von aktuellen Angriffssignaturen Interesse zur Kooperation? Slide 21

22 Ausblick Anwendungs-Potential: Warnung vor zero-day Exploits Test-Funktionalität für verdächtige Dokumente HTML-Seiten andere Inhalte. Erweiterung der Datenquellen des AW-Dienstes Verteilung von Snort-Signaturen für neue Schwachstellen Slide 22

23 Referenzen NoAH Projekt: Argos: Nepenthes: Honeytrap: Honeynet Projekt: Kojoney SSH-Honeypot: Slide 23

24 Vielen Dank für Ihre Aufmerksamkeit Andreas Bunten / Jan Kohlrausch [bunten kohlrausch]@dfn-cert.de