Honeypots und Honeynets die süße Versuchung. Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c

Ähnliche Dokumente
Honeypots und Honeywall in der Praxis DFN-CERT Workshop,

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

Praktikum IT- Sicherheit

DIMVA 2004 Session 5: Honeypots. Ermittlung von Verwundbarkeiten mit elektronischen Ködern

Packetsniffer. Jens Zentgraf. 26. Juli Zentgraf Packetsniffer 26. Juli / 21

User Mode Linux as a Honeypot. Seminar User Mode Linux Christian Delis WS 05/06 koblenz.de

Dr. Bruteforce Oder wie ich lernte SSH-Angriffe zu lieben

Lange Nacht der Wissenschaften Gefahr aus dem Internet Wie kann ich mein Windows System schützen?

Mobile Honeypot. Theodor Nolte. Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik

Bibliografische Informationen digitalisiert durch

DECUS IT-Symposium 2004

Dirk Becker. OpenVPN. Das Praxisbuch. Galileo Press

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

DECUS IT-Symposium 2005

Einfache und zuverlässige Erkennung von Angriffen mit der honeybox

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Übung - Mit Wireshark eine UDP-DNS-Aufzeichnung untersuchen

Nexinto Business Cloud - HAProxy Anleitung zum Aufsetzen eines HAProxy Images. Version: 1.0

Mobile Honeypot. Theodor Nolte. Hochschule für Angewandte Wissenschaften Hamburg Fakultät Technik und Informatik Department Informatik

Wie man SSH-Angreifern mit Linux Honeypots nachstellt

Remote Tools. SFTP Port X11. Proxy SSH SCP.

TrumanBox - Transparente Emulation von Internetdiensten

Netzwerk Teil 1 Linux-Kurs der Unix-AG

ARP-Spoofing. ARP-Spoofing Handout IAV 06-08

IT - Sicherheit und Firewalls

Sicherheit am Strand. Netzwerksicherheit. Risiken und Schutzmöglichkeiten

Verteidigung der Diplomarbeit 3D-Netzwerk-Visualisierung

Wie man das Internet abschaltet

Firewall. My Company - My Castly. Kontinuierlicher Prozess

Leistungsbeschreibung vserver. Stand: 09/2018

Absicherung von WLANs: Methoden

NoAH Übersicht über das Honeypot-Projekt

A2012/2930 HACKING SCHOOL. Handbuch. Interaktiver Trainingskurs

Network-Attached Storage mit FreeNAS

Aufgaben zum ISO/OSI Referenzmodell

46. DFN-Betriebstagung - Forum Sicherheit

Generating Fingerprints of Network Servers and their Use in Honeypots. Thomas Apel

Realisierung eines Honeypot-Netzes. Pascal Brückner, Thorsten Strufe Technische Universität Dresden

Live Hacking: : So brechen Hacker in Ihre Netze ein

Die Netzwerke Lage der IT-Sicherheit

Sinn und Unsinn von Desktop-Firewalls

SSH-Angreifern mit Honeypots über die Schulter schauen

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

NAT Network Adress Translation

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

Firewall Implementierung unter Mac OS X

Fachbereich Medienproduktion

IT Solutions. AnyConnect unter Linux (Ubuntu 14.04) Gültige VPN Accounts:

Vorlesung Linux Praktikum

A new Attack Composition for Network Security

Linux-Netzwerke. Aufbau, Administration, Sicherung. Dr. Stefan Fischer, Ulrich Walther. SuSE PRESS

Botnetz DoS & DDoS. Botnetze und DDoS. Ioannis Chalkias, Thomas Emeder, Adem Pokvic

VPN vs. VDS Der digitale Bürgerkrieg

Praktikum IT-Sicherheit

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Netzwerk Teil 1 Linux-Kurs der Unix-AG

Die Wartung und Betreuung folgender Software-Applikationen ist bei der Variante Managed inkludiert:

Switching. Übung 2 System Management. 2.1 Szenario

Linux-Camp: Remote-Zugriff

Lernprogramm IT-Sicherheit in Unternehmen und im Privatbereich

Konfiguration Agenda Anywhere

ISA Server 2004 IP-Einstellungen definieren - Von Marc Grote

WSHowTo - DNS Amplification Attack vs. DNS Response Rate Limiting Windows Server Inhalt. Der Angriff eine DNS Amplification Attacke

CeBIT Effektive Virtualisierung von Serversystemen und Netztopologien durch Virtual Security Appliances (VSA) Prof- Dr.-Ing.

Connectivity Everywhere

1 Einleitung 1. 2 Netzwerkgrundlagen 11

Material zum Praktikumsversuch Netzwerke 2

TCP/IP im Überblick IP ARP ICMP TCP UDP DNS... 25

Informations- und Kommunikationssysteme

Konfiguration Agenda Anywhere

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

P106: Hacking IP-Telefonie

Installation und Konfiguration des Netzwerkhardlocks

Firewalls mit Iptables

Sicherheits-Richtlinien

Moderne APT-Erkennung: Die Tricks der Angreifer

(Distributed) Denial of Service

Neues aus dem DFN-CERT. 48. DFN-Betriebstagung - Forum Sicherheit 26. Februar 2008 Andreas Bunten, DFN-CERT

Virtuelle Private Netzwerke in der Anwendung

G DATA MailSecurity & Microsoft Exchange Server 2013

Packet Filters - iptables

4. Network Interfaces Welches verwenden? 5. Anwendung : Laden einer einfachen Internetseite 6. Kapselung von Paketen

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Netzwerkadministration unter SuSE Linux. Daniel Willmann. Stefan Schmidt. Begrüßung. Inhalt. Zeitplan

Erste Schritte mit dem RaspberryPi

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Sicherheitsmechanismen im Netzwerk

HowTo OpenVPN Client mit öffentlich erreichbaren Feste IP Adressen

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Mobile Web-Technologien. Interaktionen und

IP-COP The bad packets stop here

In diesem Beispiel verwende ich einen Raspberry Pi 3 (wg. Ethernetanschluss) mit einem MMDVM Hat Klon.

Filius Simulation von Netzwerken

Transkript:

Honeypots und Honeynets die süße Versuchung Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c0510159074

Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

Klassisches Security Firewall Blockt Netzwerkverkehr an den NW-Grenzen IDS Überwachung des Netzwerkverkehrs IPS Wie IDS + Abwehr Viren-, Spyware-, Malware-Scanner

Was IDS können Anzahl und Art der Angriffe ermitteln Netzwerküberwachung

Was IDS nicht können Unbekannte, neuartige Angriffe erkennen (keine Signatur, Muster) Rekonstruktion d. Angriffsabfolge IDS als Angriffsziel

Honeypots - das Warum Kann keine unbekannten, neuartigen Angriffe erkennen (keine Signatur) kann unbekannte Angriffe entdecken Keine Rekonstruktion d. Angriffsabfolge zeichnet sogar Tastatureingaben auf IDS als Angriffsziel SOLL angegriffen werden, Ablenkung

Honeypots - Rechtliches Rechtliche Bedenken sind Beihilfe zu einer Straftat Schäden durch Angriff von einem Honeynet Provozieren einer Straftat Mit-Loggen der Angreifer Aktivitäten Durch das dt. Gesetz gedeckt, wenn das Honeynet abgesichert ist Keine Verurteilung bekannt

Honeypots - Anwendung FBI fahnden mit Hilfe von Honeypots nach Konsumenten von Kinderpornografie GVU Verfolgung von Urheberrechtsverletzungen

Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

Honeypots Definition 1 A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource Lance Spitzner (Gründer des Honeynet-Projekts)

Honeypots Definition 2 Honeypots sind kein produktives System Zugriff auf Honeypot = Angriff Ehrliche User kennen nur die tatsächlichen Komponenten Angreifer kennt das Netz nicht und greift daher auf den Honeypot zu

Honeypots Beschreibung 1 Honeypot aus der Sicht des Angreifers ssh Opfer IP Login - Abfrage Username & Passwort

Honeypots Beschreibung 2 Honeypot aus der Sicht des Opfers ssh Opfer IP Gefälschte Loginabfrage Username admin & Passwort admin Neuerliche Abfrage Log Datei: Datum und Uhrzeit Angreifer IP und Port Opfer IP und Port Username: admin Passwort: admin

Honeypots Beschreibung 3 Telnet Abfrage aus Angreifersicht

Honeypots Unterscheidung 1 Nach Interaktionsgrad: Low Interaction Honeypot Geringer Aufwand, einfach, sicher Wenig Information über Angreifer Simuliert nur Teile des Betriebssystems High Interaction Honeypot Maximale Information über Angreifer Hoher Aufwand, komplex, unsicher Bietet alle Aspekte des Betriebssystems

Honeypots Unterscheidung 2 Nach Aufwand und Umfang: Forschungshoneypots Maximaler Aufwand für maximale Information Ziel: möglichst viel über Angreifer rausfinden Sind High Interaction Honeypots Produktionshoneypots Wenig Zeit, Geld, Know-How, Unterstützung Ziel: Werden wir angegriffen und wie oft? Ziel: Ablenkung von tatsächlichen Servern Sind Low Interaction Honeypots

Honeypots Unterscheidung 3 Nach Art der Implementierung: Physikalisch Vorteil: einfacher als virtuelle Variante Nachteil: Neu Aufsetzen nach Angriff Virtuell Vorteil: Kein Neu Aufsetzen nötig Nachteil: Erhöhte Komplexität (NAT, )

Honeypots - Conclusio = ungeschütztes System, mit der Absicht, angegriffen zu werden Mehrere Unterscheidungen Honeypot = 1 System mit mehreren (emulierten) Diensten

Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

Honeynets - Definition = Netzwerk, welches aus mehreren Honeypots besteht Z.B.: Exchange Server, Mailserver, FTP Server, Web Server, Realisierung? siehe Programme, High Interaction Honeypot Beispiel

Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad Honeypot(s) Hoher Interaktionsgrad Honeypot(s)

Programme f. Honeypots Low Interaction BackOfficer Friendly (Windows & Linux) HoneyD (Linux) High Interaction Honeynets mit Sebek, Honeywall

BackOfficer Friendly Fakten 1 1998 als Trojaner entwickelt Ziele: Computer übernehmen Tastatureingaben aufzeichnen Logging Funktion Sehr limitierte Emulationsfunktion

BackOfficer Friendly Fakten 2 Funktion: Horcht auf vordefinierten Ports Bei Angriffen Alarmierung Loggen des Angriffs Gibt gefälschte Antworten zurück

BackOfficer Friendly Screen

BackOfficer Friendly Fazit Läuft auf Windows und Linux Einfach zu installieren und zu betreiben Stark limitiert Wenig Information Fazit: Zu wenig Information wird gesammelt Wenige Ports die überwacht werden können

HoneyD Idee Simuliert bis zu 60 000 IP Adressen Simuliert Betriebssysteme durch Fingerprints (nmap, xprobe) Grundfunktion: Anfrage durch den Angreifer auf eine IP Existiert IP nicht Umleitung auf HP 2 Arten der Umleitung

HoneyD Umleitungsarten 1 Blackholing HoneyD überwacht ein gesamtes Netz Anfrage auf Netz = Angriff Umleitung auf das HoneyD Netz

HoneyD Umleitungsarten 2 ARP Spoofing = Binden einer MAC zu einer IP, die so nicht zusammen gehören ARP Request = Broadcasts ARP Response = Unicast HoneyD betreibt ARP Spoofing Für den Angreifer existiert die Honeynet IP und die MAC in der ARP Tabelle

HoneyD Arbeitsweise 1 Identifizierung des Honeypots: Durch nmap Fingerprints kommt die richtige Antwort zurück Z.B. Windows XP SP1 Nmap und xprobe = Großteil d. Scanner

HoneyD Arbeitsweise 2 Kann mit TCP, UDP und ICMP Traffic umgehen Verbindung an einen Port: Aufruf eines Scripts (Perl, Python, Shell) Simulation des richtigen Verhaltens Loggen in eine Log-Datei Konfiguration in honeyd.conf

HoneyD Dienste Dienste die simuliert werden können: FTP SMTP POP3 Windows Exchange Server (mit LDAP) Telnet Web-Server Secure Shell Verbindung

HoneyD Fazit Sehr viele Interaktionsmöglichkeiten Sehr viele Dienste Für Low Interaction HP viele Informationen Trotzdem nur Low Interaction HP Schwierigste Low Interaction-Lösung

Honeynet Fakten Programme die benötigt werden: Honeywall Sebek Honeywall zum Speichern der Daten und Auswerten in einer GUI Sebek zum Verschleiern der Honeypot Aktivitäten und Pakete

Honeynet Honeywall 1 Auf honeynet.org zum freien Download Nachfolger von Eyore Honeywall Installation: Rechner muss 2-3 NIC s haben 2 NIC s bekommen keine IP-Adresse Honeywall Gateway = transp. L2 Bridge Fernwartung über SSH, SSL an NIC 3

Honeynet Honeywall 2

Honeynet Sebek 1 Ist ein Kernel Modul Muss auf 2 Rechnern installiert sein: Sebek Server (Honeywall Gateway) Sebek Client (Honeypot) Aufgabe: Daten zum Server (Honeywall) schicken Verbergen des Sebek Moduls Verbergen der geschickten Pakete

Honeynet Sebek 2 Datenübertragung zum Sebek Server:

Honeynet Sebek Aufgaben 1 Aufgabe 1: Datensammlung am Client Sebek sammelt die Daten durch ein eigenes Kernel Modul Aufzeichnung von verschlüsselten Angriffen möglich (Klartext im Kernel) Ersetzen des read() System Calls

Honeynet Sebek Aufgaben 2 Ersetzen des read() System Calls

Honeynet Sebek Aufgaben 3 Aufgabe 2: Verbergen d. Client-Moduls Übernimmt das Cleaner Modul Wird mit installiert Manipuliert Liste aller installierten Module Sebek scheint nicht mehr auf und kann nicht mehr entdeckt werden

Honeynet Sebek Aufgaben 4 Aufgabe 3: Verbergen der Pakete Daten aus Datalogger wird mit einem Header versehen Umgehen des TCP/IP Stacks Kein Blocken (IPTables) möglich Kein Sniffen (Wireshark) möglich

Honeynet Sebek Aufgaben 5 Arbeitsweise:

Honeynet das Ganze Aufbau eines Honeynets:

Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

Beispiel: High Interaction HP 1 Verwendete Programme: Sebek Honeywall VMWare (Server) zur Virtualisierung Weiterleitung zur HP-IP mittels NAT Aufbau auch physikalisch möglich

Beispiel: High Interaction HP 2 Virtueller Aufbau eines Honeynets:

Beispiel: Low Interaction HP 1 Verwendete Programme: Honeyd (f)arpd ( mehr oder weniger) Beispielfunktion: Ssh Verbindung auf Port 80

Beispiel: Low Interaction HP 2 Honeyd Aufbau:

Beispiel: Low Interaction HP 3 Beispielkonfiguration: create suse80 set suse80 personality "Linux Kernel 2.4.0-2.4.18 (X86)" add suse80 tcp port 22 "/bin/sh scripts/suse8.0/ssh.sh" set suse80 default tcp action reset set suse80 default udp action reset set suse80 default icmp action block bind 192.168.1.5 suse80

Vorteile / Nachteile 1 Methode Honeynet (virtuell): High Interaction Honeypot Ausgezeichnete Honeypot Tarnung Aufbereitung durch Honeywall Kein Neu-Aufsetzen nötig Höhere Interaktion = höheres Risiko Komplexer zu installieren / konfigurieren 2-3 Netzwerkkarten Virtualisierung macht Szenario komplexer

Vorteile / Nachteile 2 Methode HoneyD: Sehr viele Dienste Schnelle Konfiguration Open Source Nmap- und xprobe-fingerprints Scriptqualität Keine mitgelieferte Daten-Aufbereitung Keine Alarmierungsmechanismen Probleme bei anderen Scannern

Gegenüberstellung Aufwand Information Sicherheit Honeyd Wenig Wenig Sicher Honeywall & Honeypot (physikalisch) Sehr Viel Viel Unsicher Honeywall & Honeypot (virtuell) Viel Viel Unsicher

Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots

Verwendete Literatur Honeypots Tracking Hackers, Lance Spitzner, 2002, 480 Seiten, ISBN: 0321108957 Honeypots for Windows, Roger A.Grimes, 2005, 424 Seiten, ISBN: 1590593359 Sebek Manual (Download auf honeyd.org), letzter Zugriff: 18.01.2009 Honeyd Manual (Download auf honeyd.org), letzter Zugriff: 13.01.2009 Honeyd.org, letzter Zugriff: 18.01.2009

Honeypots Genug Theorie Demonstration eines HoneyD Honeypots

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback