Honeypots und Honeynets die süße Versuchung. Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c

Transkript

1 Honeypots und Honeynets die süße Versuchung Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c

2 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

3 Klassisches Security Firewall Blockt Netzwerkverkehr an den NW-Grenzen IDS Überwachung des Netzwerkverkehrs IPS Wie IDS + Abwehr Viren-, Spyware-, Malware-Scanner

4 Was IDS können Anzahl und Art der Angriffe ermitteln Netzwerküberwachung

5 Was IDS nicht können Unbekannte, neuartige Angriffe erkennen (keine Signatur, Muster) Rekonstruktion d. Angriffsabfolge IDS als Angriffsziel

6 Honeypots - das Warum Kann keine unbekannten, neuartigen Angriffe erkennen (keine Signatur) kann unbekannte Angriffe entdecken Keine Rekonstruktion d. Angriffsabfolge zeichnet sogar Tastatureingaben auf IDS als Angriffsziel SOLL angegriffen werden, Ablenkung

7 Honeypots - Rechtliches Rechtliche Bedenken sind Beihilfe zu einer Straftat Schäden durch Angriff von einem Honeynet Provozieren einer Straftat Mit-Loggen der Angreifer Aktivitäten Durch das dt. Gesetz gedeckt, wenn das Honeynet abgesichert ist Keine Verurteilung bekannt

8 Honeypots - Anwendung FBI fahnden mit Hilfe von Honeypots nach Konsumenten von Kinderpornografie GVU Verfolgung von Urheberrechtsverletzungen

9 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

10 Honeypots Definition 1 A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource Lance Spitzner (Gründer des Honeynet-Projekts)

11 Honeypots Definition 2 Honeypots sind kein produktives System Zugriff auf Honeypot = Angriff Ehrliche User kennen nur die tatsächlichen Komponenten Angreifer kennt das Netz nicht und greift daher auf den Honeypot zu

12 Honeypots Beschreibung 1 Honeypot aus der Sicht des Angreifers ssh Opfer IP Login - Abfrage Username & Passwort

13 Honeypots Beschreibung 2 Honeypot aus der Sicht des Opfers ssh Opfer IP Gefälschte Loginabfrage Username admin & Passwort admin Neuerliche Abfrage Log Datei: Datum und Uhrzeit Angreifer IP und Port Opfer IP und Port Username: admin Passwort: admin

14 Honeypots Beschreibung 3 Telnet Abfrage aus Angreifersicht

15 Honeypots Unterscheidung 1 Nach Interaktionsgrad: Low Interaction Honeypot Geringer Aufwand, einfach, sicher Wenig Information über Angreifer Simuliert nur Teile des Betriebssystems High Interaction Honeypot Maximale Information über Angreifer Hoher Aufwand, komplex, unsicher Bietet alle Aspekte des Betriebssystems

16 Honeypots Unterscheidung 2 Nach Aufwand und Umfang: Forschungshoneypots Maximaler Aufwand für maximale Information Ziel: möglichst viel über Angreifer rausfinden Sind High Interaction Honeypots Produktionshoneypots Wenig Zeit, Geld, Know-How, Unterstützung Ziel: Werden wir angegriffen und wie oft? Ziel: Ablenkung von tatsächlichen Servern Sind Low Interaction Honeypots

17 Honeypots Unterscheidung 3 Nach Art der Implementierung: Physikalisch Vorteil: einfacher als virtuelle Variante Nachteil: Neu Aufsetzen nach Angriff Virtuell Vorteil: Kein Neu Aufsetzen nötig Nachteil: Erhöhte Komplexität (NAT, )

18 Honeypots - Conclusio = ungeschütztes System, mit der Absicht, angegriffen zu werden Mehrere Unterscheidungen Honeypot = 1 System mit mehreren (emulierten) Diensten

19 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

20 Honeynets - Definition = Netzwerk, welches aus mehreren Honeypots besteht Z.B.: Exchange Server, Mailserver, FTP Server, Web Server, Realisierung? siehe Programme, High Interaction Honeypot Beispiel

21 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad Honeypot(s) Hoher Interaktionsgrad Honeypot(s)

22 Programme f. Honeypots Low Interaction BackOfficer Friendly (Windows & Linux) HoneyD (Linux) High Interaction Honeynets mit Sebek, Honeywall

23 BackOfficer Friendly Fakten als Trojaner entwickelt Ziele: Computer übernehmen Tastatureingaben aufzeichnen Logging Funktion Sehr limitierte Emulationsfunktion

24 BackOfficer Friendly Fakten 2 Funktion: Horcht auf vordefinierten Ports Bei Angriffen Alarmierung Loggen des Angriffs Gibt gefälschte Antworten zurück

25 BackOfficer Friendly Screen

26 BackOfficer Friendly Fazit Läuft auf Windows und Linux Einfach zu installieren und zu betreiben Stark limitiert Wenig Information Fazit: Zu wenig Information wird gesammelt Wenige Ports die überwacht werden können

27 HoneyD Idee Simuliert bis zu IP Adressen Simuliert Betriebssysteme durch Fingerprints (nmap, xprobe) Grundfunktion: Anfrage durch den Angreifer auf eine IP Existiert IP nicht Umleitung auf HP 2 Arten der Umleitung

28 HoneyD Umleitungsarten 1 Blackholing HoneyD überwacht ein gesamtes Netz Anfrage auf Netz = Angriff Umleitung auf das HoneyD Netz

29 HoneyD Umleitungsarten 2 ARP Spoofing = Binden einer MAC zu einer IP, die so nicht zusammen gehören ARP Request = Broadcasts ARP Response = Unicast HoneyD betreibt ARP Spoofing Für den Angreifer existiert die Honeynet IP und die MAC in der ARP Tabelle

30 HoneyD Arbeitsweise 1 Identifizierung des Honeypots: Durch nmap Fingerprints kommt die richtige Antwort zurück Z.B. Windows XP SP1 Nmap und xprobe = Großteil d. Scanner

31 HoneyD Arbeitsweise 2 Kann mit TCP, UDP und ICMP Traffic umgehen Verbindung an einen Port: Aufruf eines Scripts (Perl, Python, Shell) Simulation des richtigen Verhaltens Loggen in eine Log-Datei Konfiguration in honeyd.conf

32 HoneyD Dienste Dienste die simuliert werden können: FTP SMTP POP3 Windows Exchange Server (mit LDAP) Telnet Web-Server Secure Shell Verbindung

33 HoneyD Fazit Sehr viele Interaktionsmöglichkeiten Sehr viele Dienste Für Low Interaction HP viele Informationen Trotzdem nur Low Interaction HP Schwierigste Low Interaction-Lösung

34 Honeynet Fakten Programme die benötigt werden: Honeywall Sebek Honeywall zum Speichern der Daten und Auswerten in einer GUI Sebek zum Verschleiern der Honeypot Aktivitäten und Pakete

35 Honeynet Honeywall 1 Auf honeynet.org zum freien Download Nachfolger von Eyore Honeywall Installation: Rechner muss 2-3 NIC s haben 2 NIC s bekommen keine IP-Adresse Honeywall Gateway = transp. L2 Bridge Fernwartung über SSH, SSL an NIC 3

36 Honeynet Honeywall 2

37 Honeynet Sebek 1 Ist ein Kernel Modul Muss auf 2 Rechnern installiert sein: Sebek Server (Honeywall Gateway) Sebek Client (Honeypot) Aufgabe: Daten zum Server (Honeywall) schicken Verbergen des Sebek Moduls Verbergen der geschickten Pakete

38 Honeynet Sebek 2 Datenübertragung zum Sebek Server:

39 Honeynet Sebek Aufgaben 1 Aufgabe 1: Datensammlung am Client Sebek sammelt die Daten durch ein eigenes Kernel Modul Aufzeichnung von verschlüsselten Angriffen möglich (Klartext im Kernel) Ersetzen des read() System Calls

40 Honeynet Sebek Aufgaben 2 Ersetzen des read() System Calls

41 Honeynet Sebek Aufgaben 3 Aufgabe 2: Verbergen d. Client-Moduls Übernimmt das Cleaner Modul Wird mit installiert Manipuliert Liste aller installierten Module Sebek scheint nicht mehr auf und kann nicht mehr entdeckt werden

42 Honeynet Sebek Aufgaben 4 Aufgabe 3: Verbergen der Pakete Daten aus Datalogger wird mit einem Header versehen Umgehen des TCP/IP Stacks Kein Blocken (IPTables) möglich Kein Sniffen (Wireshark) möglich

43 Honeynet Sebek Aufgaben 5 Arbeitsweise:

44 Honeynet das Ganze Aufbau eines Honeynets:

45 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

46 Beispiel: High Interaction HP 1 Verwendete Programme: Sebek Honeywall VMWare (Server) zur Virtualisierung Weiterleitung zur HP-IP mittels NAT Aufbau auch physikalisch möglich

47 Beispiel: High Interaction HP 2 Virtueller Aufbau eines Honeynets:

48 Beispiel: Low Interaction HP 1 Verwendete Programme: Honeyd (f)arpd ( mehr oder weniger) Beispielfunktion: Ssh Verbindung auf Port 80

49 Beispiel: Low Interaction HP 2 Honeyd Aufbau:

50 Beispiel: Low Interaction HP 3 Beispielkonfiguration: create suse80 set suse80 personality "Linux Kernel (X86)" add suse80 tcp port 22 "/bin/sh scripts/suse8.0/ssh.sh" set suse80 default tcp action reset set suse80 default udp action reset set suse80 default icmp action block bind suse80

51 Vorteile / Nachteile 1 Methode Honeynet (virtuell): High Interaction Honeypot Ausgezeichnete Honeypot Tarnung Aufbereitung durch Honeywall Kein Neu-Aufsetzen nötig Höhere Interaktion = höheres Risiko Komplexer zu installieren / konfigurieren 2-3 Netzwerkkarten Virtualisierung macht Szenario komplexer

52 Vorteile / Nachteile 2 Methode HoneyD: Sehr viele Dienste Schnelle Konfiguration Open Source Nmap- und xprobe-fingerprints Scriptqualität Keine mitgelieferte Daten-Aufbereitung Keine Alarmierungsmechanismen Probleme bei anderen Scannern

53 Gegenüberstellung Aufwand Information Sicherheit Honeyd Wenig Wenig Sicher Honeywall & Honeypot (physikalisch) Sehr Viel Viel Unsicher Honeywall & Honeypot (virtuell) Viel Viel Unsicher

54 Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

55 Verwendete Literatur Honeypots Tracking Hackers, Lance Spitzner, 2002, 480 Seiten, ISBN: Honeypots for Windows, Roger A.Grimes, 2005, 424 Seiten, ISBN: Sebek Manual (Download auf honeyd.org), letzter Zugriff: Honeyd Manual (Download auf honeyd.org), letzter Zugriff: Honeyd.org, letzter Zugriff:

56 Honeypots Genug Theorie Demonstration eines HoneyD Honeypots