Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Größe: px

Ab Seite anzeigen:

Download "Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30"

Kerstin Vogt
vor 8 Jahren
Abrufe

1 Planung und Aufbau eines virtuellen Honeynetzwerkes Diplomarbeit Sebastian Reitenbach Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

2 Agenda traditionelle Sicherheitstechnologien Klassifizierung von Honeypots und -netzen Architekturelle Anforderungen Risiko durch Honeypots, rechtliche Grundlagen Erfahrungen beim Aufbau des virtuellen Honeynetzwerkes Datenanalyse aus Testbetrieb Erkenntnisse und Ausblick, Diskussion Planung und Aufbau eines virtuellen Honeynetzwerkes p.2/30

Erfahrungen beim Aufbau des virtuellen Honeynetzwerkes Datenanalyse aus Testbetrieb

3 Traditionelle Sicherheitstechnologien Firewall: stoppt Eindringlinge an den Grenzen des Netzwerkes IDS: anomalie-, behaviour- oder patternbasierte Überwachung des produktiven Netzwerkverkehr IPS: Arbeitsweise wie IDS, zusätzlich automatische Abwehrmaßnahmen Viren-, Spyware-, Malware-Scanner: aktives Suchen auf Festplatten und im Netzwerk Planung und Aufbau eines virtuellen Honeynetzwerkes p.3/30

Arbeitsweise wie IDS, zusätzlich automatische Abwehrmaßnahmen Viren-, Spyware-, Malware-Scanner:

4 Definition: Honeypot A honeypot is a security resource whose value lies in being probed, attacked, or compromised. Ein Honeypot ist eine Sicherheitsresource, deren Wert darin liegt, untersucht, angegriffen und kompromittiert zu werden. Honeypot ist kein produktives System Anomaliebasiert: jede Verbindung zum Honeypot ist Angriff Planung und Aufbau eines virtuellen Honeynetzwerkes p.4/30

Ein Honeypot ist eine Sicherheitsresource, deren Wert darin liegt, untersucht, angegriffen und

5 Definition: Honeynet Nicht produktives Netzwerk (unterschiedlicher) Honeypots Befindet sich hinter umgekehrter Firewall Ausgehender Verkehr wird gefiltert Detailliertes Aufzeichnen der Vorgänge im Honeynet Honeynetze der 1. und 2. Generation Auch als virtuelle Architektur implementierbar Planung und Aufbau eines virtuellen Honeynetzwerkes p.5/30

Aufzeichnen der Vorgänge im Honeynet Honeynetze der 1. und 2.

6 Low-Interaction Honeypots Simuliert nur einige Teile eines Betriebssystems Simulierte Dienste können nicht exploited werden Eingeschränkte Datenaufzeichnungsfunktionen Geeignet, um Netzwerkproben und Wurmaktivitäten zu erkennen Beispiel: honeyd, Port-Listener Planung und Aufbau eines virtuellen Honeynetzwerkes p.6/30

Datenaufzeichnungsfunktionen Geeignet, um Netzwerkproben und Wurmaktivitäten zu

7 Medium-Interaction Honeypots Installation und Management komplex wie bei High-Interaction, gesammelte Informationen gering wie Low-Interaction Honeypots Selten eingesetzt, in Spezialfällen Unix-Konzepte: chroot und Jail Planung und Aufbau eines virtuellen Honeynetzwerkes p.7/30

Low-Interaction Honeypots Selten eingesetzt, in Spezialfällen

8 High-Interaction Honeypots Bietet alle Aspekte eines Betriebssystems Eindringlinge können unter nahezu realen Bedingungen beobachtet werden Erhöhtes Risiko aufgrund der Komplexität Beispiel: Honeynetzwerke 1. und 2. Generation Planung und Aufbau eines virtuellen Honeynetzwerkes p.8/30

Erhöhtes Risiko aufgrund der Komplexität Beispiel: Honeynetzwerke 1.

9 Produktionshoneypot Low-Interaction Honeypots Einfache Installation Gesammelte Daten bestehen meist nur aus Meta-Daten der Verbindungen Einsatz als Detektor, Alarmfunktion Zur Unterstützung traditioneller Sicherheitstechnologien Planung und Aufbau eines virtuellen Honeynetzwerkes p.9/30

Einsatz als Detektor, Alarmfunktion Zur Unterstützung traditioneller

10 Forschungshoneypot High-Interaction Honeypots Komplexe Technologie, Installation in der Regel aufwändig Zeichnet während Angriff große Menge an Informationen auf Hauptsächlicher Einsatz zu Lehrzwecken und in Sicherheitsorganisationen Ziel: Entdeckung und Erforschung neuer Angriffstechniken und Programme Planung und Aufbau eines virtuellen Honeynetzwerkes p.10/30

Einsatz zu Lehrzwecken und in Sicherheitsorganisationen Ziel: Entdeckung und Erforschung

11 Anforderungen an die Architektur Honeynet Definitions, Requirements, and Standards, ver Datenkontrolle: Eingrenzung der potenziell vom Honeynet ausgehenden Gefahr Datenaufzeichnung: Erfassung aller Vorgänge im Honeynetz Datensammlung und Korrelation: in verteilten Honeynetzen Planung und Aufbau eines virtuellen Honeynetzwerkes p.11/30

3 Datenkontrolle: Eingrenzung der potenziell vom Honeynet ausgehenden Gefahr

12 Risiken Gefährdung von Nicht-Honeypot Systemen, Honeynet dient als Ausgangsplattform für weitere Angriffe Gefahr der Erkennung, Fingerprinting Angriffe gegen Honeynetze, DoS, Hijacking Missbrauch, Warez-Server Risiko lässt sich nur minimieren, nicht eliminieren Planung und Aufbau eines virtuellen Honeynetzwerkes p.12/30

Angriffe gegen Honeynetze, DoS, Hijacking Missbrauch, Warez-Server Risiko lässt

13 Erkennung von Honeypots Blackhats analysieren Honeypot Technologie Fingerprinting von Honeypots Gegensätze: Betriebssystem Solaris aber Web-Server IIS VMware Erkennung Erkennung von Honeynetzwerken Erkennung von SEBEK Planung und Aufbau eines virtuellen Honeynetzwerkes p.13/30

Web-Server IIS VMware Erkennung Erkennung von Honeynetzwerken

14 Rechtliche Grundlagen Zivil- und strafrechtliche Überlegungen Datenschutz Ethische Bedenken? Kein Präjudiz, in dem sich Honeynetbetreiber vor Gericht verantworten musste Planung und Aufbau eines virtuellen Honeynetzwerkes p.14/30

Kein Präjudiz, in dem sich Honeynetbetreiber vor Gericht

15 Planung des Honeynets Welchen Zweck soll das Honeynet haben? Was für Hardware steht zur Verfügung? Welches Virtualisierungskonzept? Sicherheitsrichtlinie entwerfen! Systemtests, um Funktionalität und Einhaltung der Sicherheitsrichtlinie zu überprüfen! Vorbereitung auf Kompromittierung: Incident Response Plan! Planung und Aufbau eines virtuellen Honeynetzwerkes p.15/30

16 Das virtuelle Honeynet Planung und Aufbau eines virtuellen Honeynetzwerkes p.16/30

17 Sicherheitsrichtlinie Richlinien und Vorschriften zur Sicherheit und Funktionsweise des Honeynetzwerkes Muss sich in Richtlinien der Organisation eingliedern, darf diesen nicht widersprechen Erstellung eines CSIRT Rolleneinteilung und Aufgabenverteilung Grundlage für Implementierung, Tests, IRP Beinhaltet Incident Response Plan Planung und Aufbau eines virtuellen Honeynetzwerkes p.17/30

widersprechen Erstellung eines CSIRT Rolleneinteilung und Aufgabenverteilung Grundlage für

18 Datenkontrolle Honeywall Sicherheitsüberwachungsscript snort_inline SWATCH-Firewallüberwachung Planung und Aufbau eines virtuellen Honeynetzwerkes p.18/30

19 Datenaufzeichnung SEBEK Clients und Server Promiscous-Mode Syslog Server TcpDump zeichnet Netzwerkverkehr auf p0f Passive OS-Fingerprinting Planung und Aufbau eines virtuellen Honeynetzwerkes p.19/30

Netzwerkverkehr auf p0f Passive OS-Fingerprinting

20 Datenanalyse SEBEK-Web Syslog-Web SNORT, ACID und SnortSnarf Scripte zur statistischen Analyse der TcpDump LOG-Dateien Forensische Analyse: sleuthkit und Autopsy Planung und Aufbau eines virtuellen Honeynetzwerkes p.20/30

TcpDump LOG-Dateien Forensische Analyse: sleuthkit und

21 Funktionstests Entwicklung einer Checkliste mit Tests Sicherheitsrichtlinie ist Grundlage Separierung der Tests nach Komponenten Einzelne Tests der Komponenten nach deren Installation Abschließender Test aller Komponenten, um Wechselwirkungen zu erkennen Einsatztest - Kann es sich bewähren? Planung und Aufbau eines virtuellen Honeynetzwerkes p.21/30

22 Incident Response Plan Sicherheitsrichtlinie ist Grundlage Vorschriften und Richtlinien zur Untersuchung kompromittierter Honeypots Hinweise zum Abschalten des Honeypots und Reaktivieren eines neuen Hinweise zum weiteren Vorgehen in der Untersuchung des Vorfalles Planung und Aufbau eines virtuellen Honeynetzwerkes p.22/30

23 Aufgetretene Probleme OpenBSD SEBEK-Client hatte BUGs SEBEK-Server hatte BUGs snort_inline hatte BUG Modifizierung vom SEBEK-Server als Syslog-Server mit DB-Anbindung Tuning der Konfiguration von SWATCH Anti-Fingerprint: in vmware-vmx VMware MAC-Adressen geändert Planung und Aufbau eines virtuellen Honeynetzwerkes p.23/30

24 Übertragene Datenmengen 28 Tage Einsatztest 1x CRUX 1.3, 2x OpenBSD 3.4 Protokoll Anzahl Pakete Prozent Übertragenes Volumen Prozent TCP ,55 % 68 MB 89,0 % UDP ,95 % 1,3 MB 1,7 % ICMP ,35 % 995 KB 1.3 % Sonstiges ,15 % 6 MB 8,0 % Planung und Aufbau eines virtuellen Honeynetzwerkes p.24/30

25 Top-10 der TCP- und UDP-Ports Platz TCP-Port Verbindungen UDP-Port Verbindungen Planung und Aufbau eines virtuellen Honeynetzwerkes p.25/30

26 Erkenntnisse aus Testlauf Scans von Viren und Würmer, und nach deren Backdoors Windows PopUp Spam SSH Login Versuche Proxy Scans Warez Upload auf Anonymous FTP Server Fast alle beobachteten Angriffe können durch geeignete Maßnahmen an Grenzen des Netzwerkes abgewehrt werden Planung und Aufbau eines virtuellen Honeynetzwerkes p.26/30

27 Vorteile von Honeynetzwerken Kann umfassend Daten von Angriffen sammeln Beobachtungen von Angreifern und Sicherstellung der Tools möglich Bekommt nur die Nadeln im Heuhaufen Detektor von Bedrohungen Vielfältige Einsatzmöglichkeiten in Lehre und Forschung Planung und Aufbau eines virtuellen Honeynetzwerkes p.27/30

28 Nachteile von Honeynetzwerken Angreifer sind sich deren Existenz bewusst Erkennt nur direkt gegen ihn selbst gerichtete Angriffe Risiko, kann nur begrenzt, aber nicht ganz eliminiert werden Hoher Aufwand bei Installation und Administration Planung und Aufbau eines virtuellen Honeynetzwerkes p.28/30

29 Ausblick Korrelation der Daten aller Sensoren Intelligentere Alarmierungsfunktionen mit Triggern Unterscheidung zwischen spitzen und stumpfen Nadeln Multicast Honeypot P2P-Honeypots, Kommunikation untereinander über geheime, verschlüsselte Kanäle, Simulation von Netzwerkverkehr zur Tarnung Planung und Aufbau eines virtuellen Honeynetzwerkes p.29/30

30 Ende Haben Sie noch Fragen? Planung und Aufbau eines virtuellen Honeynetzwerkes p.30/30

Ähnliche Dokumente

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit