IDS : HoneyNet und HoneyPot

Transkript

1 IDS : HoneyNet und HoneyPot Know your Enemy Hauptseminar Telematik WS 2002/2003 -

2 Motivation In warfare, information is power. The better you understand your enemy, the more able you are to defeat him. [Bruce Schneier Mitbegründer des Honeynet Project] Quelle : Know your Enemy - Vorwort 2

3 Gliederung Aktive Gegenmaßnahmen und IDS Konzept und Aufbau eines HoneyNet Das HoneyNet Project 3

4 Gliederung Aktive Gegenmaßnahmen und IDS Konzept und Aufbau eines HoneyNet Das HoneyNet Project 4

5 Aktive Gegenmaßnahmen Klassische Elemente der Netzwerksicherheit sind überwiegend rein defensiv ausgelegt Technologie, Taktik und Motivation des Gegners sind oftmals unbekannt HoneyNets sind eine Möglichkeit den Gegner zu attackieren indem man ihn in einer genau abgegrenzten Umgebung beobachtet ohne das ihm das bewusst ist HoneyPots unterstützen Konzepte der Digitalen Forensik und sind deshalb auch aus rechtlicher Perspektive interessant 5

6 Digitale Forensik Strafrechtlich verwertbare Sammlung und Analyse von Beweismitteln, die durch den elektronischen Angriff auf EDV Systeme entstehen Spezielle Technologien notwendig da Hacker unter Umständen in der Lage sind ihre digitalen Spuren zu verwischen 6

7 IDS als neue Sicherheit Unternehmensnetze müssen zunehmend an die Außenwelt angebunden werden (Ebusiness( Ebusiness,, CRM, Zugriff auf Datenbanken durch Mitarbeiter des Außendienstes, etc.) Unternehmensnetze müssen zunehmend vor Angriffen geschützt werden (DoS( DoS,, Würmer, etc.) IDS sollen den Angreifer nicht aussperren sondern ihn entdecken, um den Verantwortlichen die Möglichkeit zu Gegenmaßnahmen zu geben 7

8 Probleme von IDS Lösungen Erfolgskriterien eines IDS Erfolgreiche Erkennung eines Eindringlings Geringe Fehlalarmquote Integration einer IDS Lösung in ein Unternehmensnetzwerk ist äußerst aufwendig Vielfalt von Diensten und Anwendungen innerhalb einer Netzwerkarchitektur erfordert hohen Wissensstand der Verantwortlichen Wer darf von Wo Welchen Dienst Wann nutzen? Welche Netzwerkkomponenten erzeugen von sich aus automatisch Traffic? (z.b. USV Geräte etc.) 8

9 Probleme von IDS Lösungen Zwei klassische Lösungsansätze Alarmierung durch Mustererkennung eines Angriffs Problem : Informationsrückstand neue Angriffe verbreiten sich sehr schnell (wenige Stunden bis Tage) Alarmierung durch Vergleich mit zugelassenen Aktivitäten Problem : unvollständige Informationslage hoher Personal- und Zeitaufwand um normalen Netzverkehr zu definieren Neuer Lösungsansatz HoneyNet Beseitigen des Informationsrückstandes durch Beobachtung in abgegrenzter Umgebung 9

10 Gliederung Aktive Gegenmaßnahmen und IDS Konzept und Aufbau eines HoneyNet Das HoneyNet Project 10

11 Aufbau und Aufgaben eines HoneyPot Aufbau Ansiedlung im Unternehmensnetzwerk Lockt Angreifer durch das vortäuschen vermeintlicher Sicherheitslücken an Nimmt nicht am normalen produktiven Netzverkehr teil, deswegen ist jede Aktivität auf einem HoneyPot grundsätzlich verdächtig Beinhaltet Tools zur Datensicherung und analyse Aufgaben IDS Funktionalität Anlocken und Binden eines Angreifers Forensische Aufzeichnung und Analyse des Angriffes 11

12 Ziele eines HoneyNets Im Gegensatz zu einem HoneyPot dient ein HoneyNet nicht zur Abwehr von Angriffen in Unternehmensnetzwerken Zweck eines HoneyNet ist die Erforschung der Techniken, Taktiken und Motiven von Hackern Forschungsziele Aufzeigen der Schwäche selbst von vermeintlich sicheren Systemen Identifizierung neuer Angriffstechnologien Informationen über technologische Stärke bzw. technologisches Wissen der Hacker Entwicklung von Technologien zur forensischen Datensicherung 12

13 Kriterien eines HoneyNet Datensicherung und analyse Speicherung sämtlicher Aktivitäten um Angriff rekonstruieren zu können Verdeckte Sicherung der LogFiles in Echtzeit auf einem Server, da viele Angreifer lokale LogFiles löschen Aufzeichnung auch von verschlüsselten Diensten wie zum Beispiel SSH Datenkontrolle Ein HoneyNet darf nicht als Ausgangspunkt für Angriffe auf Systeme außerhalb des eigenen Netzes dienen Gewisse ausgehende Verbindungen müssen aber erlaubt werden um es dem Angreifer zu ermöglichen Tools wie z.b. Backdoors aus dem Internet zu laden 13

14 Aufbau eines HoneyNet (Gen I) Ein Gen I HoneyNet besteht im Allgemeinen aus drei Bestandteilen HoneyPots Zugriffskontrolle Datensammlung Und zwei Netzwerksegmenten data control network - HoneyPots und Zugriffskontrolle administrative network Datensammlung und Management Das administrative network ist von außen nicht sichtbar 14

15 HoneyPots 15

16 Zugriffskontrolle Konfiguration der Firewall für inbound connections unbeschränkt Outbound connections müssen explizit überwacht werden Eine Möglichkeit ist es eine bestimmte Anzahl zuzulassen und dann jede weitere Verbindung zu blocken 16

17 Datensammlung Logging Daten aller HoneyPots werden in Echtzeit auf dem Syslogd Server in einer Datenbank gespeichert Ein System mit kommerziellen IDS Systemen soll Vergleichs- und Leistungswerte liefern 17

18 Zusammenhang 18

19 Aufbau Honeynet (Gen II) 19

20 Gliederung Aktive Gegenmaßnahmen und IDS Konzept und Aufbau eines HoneyNet Das HoneyNet Project 20

21 Das HoneyNet Project Gegründet im Juni 2000 (erste Entwicklungen seit April 1999) Zusammenschluss von 30 Fachleuten aus den Bereichen IT Sicherheit Recht Physiologie Veröffentlichung des Buches Know your Enemy im August 2001 bei Addison Wesley Fasst die Arbeit von zwei Jahren Forschung mit dem HoneyNet zusammen 21

22 Vier Entwicklungsphasen Phase I ( ) Konzeption des Gen I HoneyNet Veröffentlichung von Know your Enemy Phase II ( ) 2003) Konzeption des Gen II HoneyNet Konzeption von Virtual HoneyNets Gründung der HoneyNet Research Alliance Phase III (ab 2003) Entwicklung einer bootfähigen CD-Rom die ein schnelles und einfaches Aufsetzen eines HoneyNet ermöglichen soll (Honeywall) Phase IV Entwicklung von Distributed HoneyNets 22

23 Ergebnisse Etwa 20 neuartige Scans pro Tag (unique( scan) Die kürzeste Zeit, in der ein System erfolgreich angegriffen wurde, waren 15 Minuten Anstieg der Aktivitäten um 100% - 900% von 2001 auf 2002 Lebensdauer einer RedHat 6.2 Installation innerhalb des HoneyNet beträgt 72 Stunden Eine Windows 98 Installation mit aktivierten Freigaben wurde innerhalb von 24 Stunden kompromittiert, innerhalb der nächsten 4 Tage weitere 5 mal Häufigste Angriffsmethoden Mass Scan,, DNS Version Query und RPC Service Querys 23

24 Ein Feind Der Skriptkiddie Die meisten Angriffe werden von Personen durchgeführt die offenbar nur wenig technisches Verständnis für die Betriebssysteme haben die sie angreifen Sie verwenden existierende Skripte und Tools die sie anscheinend gemäß einer Anleitung anwenden Um ein leichtes Opfer zu finden werden Massen Scans nach bekannten Schwächer durchgeführt Angriffsmuster, Technologie und Motive der Skriptkiddies häufig homogen aber dafür äußerst zahlreich 24

25 Konsolenbefehle /]# ps -aux grep portmap /]# ps -aux grep inetd ; ps -aux grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf.bash* ; rm -rf /root/.bash_history ; rm - rf /usr/sbin/namedps -aux grep inetd ; ps -aux grep portmap ; rm /sbin/por<grep inetd ; ps -aux grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf.bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf.bash* ; rm -rf /root/.bash_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/named 359? 00:00:00 inetd rm: cannot remove `/sbin/portmap': No such file or directory rm: cannot remove `/tmp/h': No such file or directory >rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory [root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or directory 25

26 Zusammenfassung HoneyNets sind Systeme die konzipiert wurden um angegriffen zu werden Die Schwierigkeit besteht darin dem Angreifer genug Freiheiten zu lassen aber dabei auch andere Systeme ausreichend zu schützen Die Architektur Konzepte des HoneNet Project versuchen erfolgreich diese Gradwanderung zu meistern Die Ergebnisse sind dabei oft erstaunlich und sollten das Sicherheitsbewusstsein von Verantwortlichen erhöhen 26

27 Das Ende Vielen Dank für die Aufmerksamkeit 27