Honeypots und Honeynets die süße Versuchung Erstellt und präsentiert von: DANGL Stephan Mat. Nr.: c0510159074
Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots
Klassisches Security Firewall Blockt Netzwerkverkehr an den NW-Grenzen IDS Überwachung des Netzwerkverkehrs IPS Wie IDS + Abwehr Viren-, Spyware-, Malware-Scanner
Was IDS können Anzahl und Art der Angriffe ermitteln Netzwerküberwachung
Was IDS nicht können Unbekannte, neuartige Angriffe erkennen (keine Signatur, Muster) Rekonstruktion d. Angriffsabfolge IDS als Angriffsziel
Honeypots - das Warum Kann keine unbekannten, neuartigen Angriffe erkennen (keine Signatur) kann unbekannte Angriffe entdecken Keine Rekonstruktion d. Angriffsabfolge zeichnet sogar Tastatureingaben auf IDS als Angriffsziel SOLL angegriffen werden, Ablenkung
Honeypots - Rechtliches Rechtliche Bedenken sind Beihilfe zu einer Straftat Schäden durch Angriff von einem Honeynet Provozieren einer Straftat Mit-Loggen der Angreifer Aktivitäten Durch das dt. Gesetz gedeckt, wenn das Honeynet abgesichert ist Keine Verurteilung bekannt
Honeypots - Anwendung FBI fahnden mit Hilfe von Honeypots nach Konsumenten von Kinderpornografie GVU Verfolgung von Urheberrechtsverletzungen
Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots
Honeypots Definition 1 A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource Lance Spitzner (Gründer des Honeynet-Projekts)
Honeypots Definition 2 Honeypots sind kein produktives System Zugriff auf Honeypot = Angriff Ehrliche User kennen nur die tatsächlichen Komponenten Angreifer kennt das Netz nicht und greift daher auf den Honeypot zu
Honeypots Beschreibung 1 Honeypot aus der Sicht des Angreifers ssh Opfer IP Login - Abfrage Username & Passwort
Honeypots Beschreibung 2 Honeypot aus der Sicht des Opfers ssh Opfer IP Gefälschte Loginabfrage Username admin & Passwort admin Neuerliche Abfrage Log Datei: Datum und Uhrzeit Angreifer IP und Port Opfer IP und Port Username: admin Passwort: admin
Honeypots Beschreibung 3 Telnet Abfrage aus Angreifersicht
Honeypots Unterscheidung 1 Nach Interaktionsgrad: Low Interaction Honeypot Geringer Aufwand, einfach, sicher Wenig Information über Angreifer Simuliert nur Teile des Betriebssystems High Interaction Honeypot Maximale Information über Angreifer Hoher Aufwand, komplex, unsicher Bietet alle Aspekte des Betriebssystems
Honeypots Unterscheidung 2 Nach Aufwand und Umfang: Forschungshoneypots Maximaler Aufwand für maximale Information Ziel: möglichst viel über Angreifer rausfinden Sind High Interaction Honeypots Produktionshoneypots Wenig Zeit, Geld, Know-How, Unterstützung Ziel: Werden wir angegriffen und wie oft? Ziel: Ablenkung von tatsächlichen Servern Sind Low Interaction Honeypots
Honeypots Unterscheidung 3 Nach Art der Implementierung: Physikalisch Vorteil: einfacher als virtuelle Variante Nachteil: Neu Aufsetzen nach Angriff Virtuell Vorteil: Kein Neu Aufsetzen nötig Nachteil: Erhöhte Komplexität (NAT, )
Honeypots - Conclusio = ungeschütztes System, mit der Absicht, angegriffen zu werden Mehrere Unterscheidungen Honeypot = 1 System mit mehreren (emulierten) Diensten
Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots
Honeynets - Definition = Netzwerk, welches aus mehreren Honeypots besteht Z.B.: Exchange Server, Mailserver, FTP Server, Web Server, Realisierung? siehe Programme, High Interaction Honeypot Beispiel
Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad Honeypot(s) Hoher Interaktionsgrad Honeypot(s)
Programme f. Honeypots Low Interaction BackOfficer Friendly (Windows & Linux) HoneyD (Linux) High Interaction Honeynets mit Sebek, Honeywall
BackOfficer Friendly Fakten 1 1998 als Trojaner entwickelt Ziele: Computer übernehmen Tastatureingaben aufzeichnen Logging Funktion Sehr limitierte Emulationsfunktion
BackOfficer Friendly Fakten 2 Funktion: Horcht auf vordefinierten Ports Bei Angriffen Alarmierung Loggen des Angriffs Gibt gefälschte Antworten zurück
BackOfficer Friendly Screen
BackOfficer Friendly Fazit Läuft auf Windows und Linux Einfach zu installieren und zu betreiben Stark limitiert Wenig Information Fazit: Zu wenig Information wird gesammelt Wenige Ports die überwacht werden können
HoneyD Idee Simuliert bis zu 60 000 IP Adressen Simuliert Betriebssysteme durch Fingerprints (nmap, xprobe) Grundfunktion: Anfrage durch den Angreifer auf eine IP Existiert IP nicht Umleitung auf HP 2 Arten der Umleitung
HoneyD Umleitungsarten 1 Blackholing HoneyD überwacht ein gesamtes Netz Anfrage auf Netz = Angriff Umleitung auf das HoneyD Netz
HoneyD Umleitungsarten 2 ARP Spoofing = Binden einer MAC zu einer IP, die so nicht zusammen gehören ARP Request = Broadcasts ARP Response = Unicast HoneyD betreibt ARP Spoofing Für den Angreifer existiert die Honeynet IP und die MAC in der ARP Tabelle
HoneyD Arbeitsweise 1 Identifizierung des Honeypots: Durch nmap Fingerprints kommt die richtige Antwort zurück Z.B. Windows XP SP1 Nmap und xprobe = Großteil d. Scanner
HoneyD Arbeitsweise 2 Kann mit TCP, UDP und ICMP Traffic umgehen Verbindung an einen Port: Aufruf eines Scripts (Perl, Python, Shell) Simulation des richtigen Verhaltens Loggen in eine Log-Datei Konfiguration in honeyd.conf
HoneyD Dienste Dienste die simuliert werden können: FTP SMTP POP3 Windows Exchange Server (mit LDAP) Telnet Web-Server Secure Shell Verbindung
HoneyD Fazit Sehr viele Interaktionsmöglichkeiten Sehr viele Dienste Für Low Interaction HP viele Informationen Trotzdem nur Low Interaction HP Schwierigste Low Interaction-Lösung
Honeynet Fakten Programme die benötigt werden: Honeywall Sebek Honeywall zum Speichern der Daten und Auswerten in einer GUI Sebek zum Verschleiern der Honeypot Aktivitäten und Pakete
Honeynet Honeywall 1 Auf honeynet.org zum freien Download Nachfolger von Eyore Honeywall Installation: Rechner muss 2-3 NIC s haben 2 NIC s bekommen keine IP-Adresse Honeywall Gateway = transp. L2 Bridge Fernwartung über SSH, SSL an NIC 3
Honeynet Honeywall 2
Honeynet Sebek 1 Ist ein Kernel Modul Muss auf 2 Rechnern installiert sein: Sebek Server (Honeywall Gateway) Sebek Client (Honeypot) Aufgabe: Daten zum Server (Honeywall) schicken Verbergen des Sebek Moduls Verbergen der geschickten Pakete
Honeynet Sebek 2 Datenübertragung zum Sebek Server:
Honeynet Sebek Aufgaben 1 Aufgabe 1: Datensammlung am Client Sebek sammelt die Daten durch ein eigenes Kernel Modul Aufzeichnung von verschlüsselten Angriffen möglich (Klartext im Kernel) Ersetzen des read() System Calls
Honeynet Sebek Aufgaben 2 Ersetzen des read() System Calls
Honeynet Sebek Aufgaben 3 Aufgabe 2: Verbergen d. Client-Moduls Übernimmt das Cleaner Modul Wird mit installiert Manipuliert Liste aller installierten Module Sebek scheint nicht mehr auf und kann nicht mehr entdeckt werden
Honeynet Sebek Aufgaben 4 Aufgabe 3: Verbergen der Pakete Daten aus Datalogger wird mit einem Header versehen Umgehen des TCP/IP Stacks Kein Blocken (IPTables) möglich Kein Sniffen (Wireshark) möglich
Honeynet Sebek Aufgaben 5 Arbeitsweise:
Honeynet das Ganze Aufbau eines Honeynets:
Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots
Beispiel: High Interaction HP 1 Verwendete Programme: Sebek Honeywall VMWare (Server) zur Virtualisierung Weiterleitung zur HP-IP mittels NAT Aufbau auch physikalisch möglich
Beispiel: High Interaction HP 2 Virtueller Aufbau eines Honeynets:
Beispiel: Low Interaction HP 1 Verwendete Programme: Honeyd (f)arpd ( mehr oder weniger) Beispielfunktion: Ssh Verbindung auf Port 80
Beispiel: Low Interaction HP 2 Honeyd Aufbau:
Beispiel: Low Interaction HP 3 Beispielkonfiguration: create suse80 set suse80 personality "Linux Kernel 2.4.0-2.4.18 (X86)" add suse80 tcp port 22 "/bin/sh scripts/suse8.0/ssh.sh" set suse80 default tcp action reset set suse80 default udp action reset set suse80 default icmp action block bind 192.168.1.5 suse80
Vorteile / Nachteile 1 Methode Honeynet (virtuell): High Interaction Honeypot Ausgezeichnete Honeypot Tarnung Aufbereitung durch Honeywall Kein Neu-Aufsetzen nötig Höhere Interaktion = höheres Risiko Komplexer zu installieren / konfigurieren 2-3 Netzwerkkarten Virtualisierung macht Szenario komplexer
Vorteile / Nachteile 2 Methode HoneyD: Sehr viele Dienste Schnelle Konfiguration Open Source Nmap- und xprobe-fingerprints Scriptqualität Keine mitgelieferte Daten-Aufbereitung Keine Alarmierungsmechanismen Probleme bei anderen Scannern
Gegenüberstellung Aufwand Information Sicherheit Honeyd Wenig Wenig Sicher Honeywall & Honeypot (physikalisch) Sehr Viel Viel Unsicher Honeywall & Honeypot (virtuell) Viel Viel Unsicher
Agenda Das Warum Honeypots Definition und Beschreibung Unterscheidungen Honeynets Aufbau Programme, um Honeypots zu simulieren Beispielimplementierung Niedriger Interaktionsgrad - Honeypots Hoher Interaktionsgrad - Honeypots
Verwendete Literatur Honeypots Tracking Hackers, Lance Spitzner, 2002, 480 Seiten, ISBN: 0321108957 Honeypots for Windows, Roger A.Grimes, 2005, 424 Seiten, ISBN: 1590593359 Sebek Manual (Download auf honeyd.org), letzter Zugriff: 18.01.2009 Honeyd Manual (Download auf honeyd.org), letzter Zugriff: 13.01.2009 Honeyd.org, letzter Zugriff: 18.01.2009
Honeypots Genug Theorie Demonstration eines HoneyD Honeypots