Honeypot - PowerPoint PPT Presentation

1 / 17
About This Presentation
Title:

Honeypot

Description:

Title: Bandbreitenkontrolle auf Cisco-Routern/Switches Author: Bodo Gelbe Last modified by: A.Issleiber Created Date: 10/1/1998 9:34:56 PM Document presentation format – PowerPoint PPT presentation

Number of Views:44
Avg rating:3.0/5.0
Slides: 18
Provided by: BodoG
Category:
Tags: honeypot | nmap

less

Transcript and Presenter's Notes

Title: Honeypot


1
Honeypots oderWer will an meine Honigtöpfe
  • Bodo Gelbe
  • Andreas Ißleiber

2
Problemstellung
  • Zunehmende Scans und Attacken auf die eigenen
    Systeme.
  • Interesse des Sicherheitsbeauftragten
  • Wer attackiert?
  • Welche Applikationen werden angegriffen?
  • Welche Techniken werden angewendet?
  • Aber nicht gewünschte (gefährliche) Verbindungen
    werden
  • (hoffentlich) durch Firewall-Komponenten
    abgewiesen und
  • IDS-Systeme können nur bedingt Auskunft über die
    verwen-
  • deten Techniken geben (nach welchen
    Userid/Passwort-Kom-
  • binationen wird z.B. gesucht)

3
Lösung
  • System(e) anbieten, die frei zugänglich sind und
    Scans unter-
  • worfen,attackiert und kompromittiert werden
    können, soge-
  • nannte Honeypots (Honigtöpfe). Realisierung
    über
  • Emulation einiger Anwendungen (Services), nicht
    des kom-pletten Operating-Systems
  • Komplettes (reales) Operating-System, z.B auch
    unter VMware
  • Hardware und komplettes (reales) Operating-System
  • Die GWDG setzt ein System ein, das verschiedene
    Anwendun-
  • gen unter verschiedenen Operating-Systemen
    emuliert
  • Honeyd von Niels Provost
  • http//www.citi.umich.edu/u/provos/honeyd/

4
Honeyd Konfiguration (1)
  • Steuerung über eine Konfigurationsdatei
  • create router1 set router1 personality "Cisco
    7206 running IOS 11.1(24)
  • set router1 default tcp action reset
  • add router1 tcp port 23 "/hd/router1-telnet.pl
    ipsrc sport ipdst dport"
  • bind 1.1.1.1 router1
  • Emuliert einen Cisco-Router mit IP-Adresse
    1.1.1.1 und der Anwendung Telnet-
  • Server (per Script router1-telnet.pl).
  • create msmailer1 set msmailer1 personality
    "Windows NT 4.0 Server SP5-SP6
  • add msmailer1 tcp port 25 "sh
    /hd/exchange-smtp.sh ipsrc sport ipdst dport"
  • add msmailer1 tcp port 80 "sh /hd/iis.sh ipsrc
    sport ipdst dport"
  • add msmailer1 tcp port 143 "sh
    /hd/exchange-imap.sh ipsrc sport ipdst dport"
  • set msmailer1 default icmp action reset
  • set msmailer1 default tcp action reset
  • set msmailer1 default udp action reset
  • set msmailer1 uptime 111204
  • bind 1.1.1.2 msmailer1
  • Emuliert einen Exchange-Server mit IP-Adresse
    1.1.1.2 und den Anwendungen

5
Honeyd Konfiguration (2)
  • create mailer1
  • set mailer1 personality "Linux Kernel 2.4.0 -
    2.4.18 (X86)"
  • add mailer1 tcp port 21 "sh /hd/ftp.sh ipsrc
    sport ipdst dport"
  • add mailer1 tcp port 22 "sh /hd/ssh2.sh ipsrc
    sport ipdst dport"
  • add mailer1 tcp port 25 "sh /hd/sendmail.sh
    ipsrc sport ipdst dport"
  • add mailer1 tcp port 80 "sh /hd/apache.sh
    ipsrc sport ipdst dport"
  • add mailer1 tcp port 110 "sh /hd/emulate-pop3.sh
    ipsrc sport ipdst dport"
  • set mailer1 default icmp action reset
  • set mailer1 default tcp action reset
  • set mailer1 default udp action reset
  • set mailer1 uptime 1924204
  • bind 1.1.1.3 mailer1
  • Emuliert einen Linux-Mail-Server mit IP-Adresse
    1.1.1.3 und den Anwen-
  • dungen FTP-Server (Port 21), SSH-Server (Port
    22), SMTP-Server (Port
  • 25), WWW-Server (Port 80) und IMAP-Server (Port
    143)

6
Honeyd Design
  • Honeyd läuft als Daemon auf einem System, für die
    Honeypots bestimmter Traffic muß auf dem
    Internet-Router an dieses System geleitet werden
  • Trägersystem Linux, BSD oder Solaris
  • Honeyd simuliert den TCP/IP-Stack und zwar gemäß
    der in der Konfiguration zugewiesenen
    Personality, z.B. Linux Kernel 2.4.0 - 2.4.18
    (X86). Diese entspricht den nmap-Spezifikationen,
    sodaß ein Personality-Scan mit nmap das
    entsprechende System ausweist.
  • Wird ein in der Konfiguration definierter Service
    angesprochen, ruft Honeyd das entsprechende
    Script auf und übergibt eingehenden Traffic an
    dieses. Vom Script erzeugte Ausgabe läuft durch
    den simulierten TCP/IP-Stack. Verfügbare Scripts
    apache, cyrus-imap, pop3, exchange-imap,
    exchange-nntp, exchange-smtp, fingerd, ftp, iis,
    lpd, msftp, msldap, msvnc, proftpd, qpop,
    router-telnet, sendmail, smtp, squid, ssh, ssh2,
    syslog, telnet

7
Honeyd bei der GWDG
  • Zwei Class-C-Netze, die vorher noch nicht benutzt
    wurden und in keinem Nameserver auftauchen
  • Emulierte Systeme
  • Windows-Server-Systeme mit Anwendungen wie
    WWW-Server (IIS) und Mail-Server (Exchange)
  • Windows-Client-Systeme
  • Linux-Server-Systeme mit Anwendungen wie
    WWW-Server (Apache), POP-Server und FTP-Server
    (wu-ftpd)
  • Cisco-Router

8
Honeyd Erfahrungen (1)
  • Wenige Stunden nach Inbetriebnahme bereits erste
    Attacken
  • Statistik September 2003
  • Pings 599.396
  • Zugriffe auf TCP 1434 3.497.644SQL-Server-Port
    UDP 1434 138.951Lücke im RPC-Dienst TCP
    135 2.374.480 UDP 137 358.916 TCP
    445 1.382.956Blaster-Wurm TCP 4444 1.022.498
  • Sieger im September 61.74.81.35 (kornet.net
    Provider in Korea) mit 928.398 Paketen

9
Honeyd Erfahrungen (2)
  • Attacken auf Applikationen
  • IIS
  • ca 10.000 Sessions im September 2003
  • Suche nach Code Red
  • GET /scripts/..255c255c../winnt/system32/cmd.exe
    ?/cdir
  • FTP
  • Suche nach offenen Usern admin, guest, backup,
    z.B. 2000 Versuche von einem t-dialin.net Account
  • Versuch, ein beschreibbares Verzeichnis zu finden

10
Einsatzscenarien
  • Wo/Wie kann ein Honeypot sinnvoll eingesetzt
    werden?
  • Als dauerhaft installiertes System
    (Produktivsystem)
  • Aufwand, die anfallenden Daten auszuwerten
  • Anlocken von zu vielen Angreifern
  • Problem Wird von guten Hackern der Honepot als
    Honeypot erkannt, motiviert es den Hacker
    weitertzugehen
  • Honeypots dienen i.d.R. der Statistik
  • Wirkung der Honeypots fraglich bei Script
    gesteuerten Angriffen semiprofessioneller Hacker
  • Juristisches Problem Verleitung zu Angriffen ?

AI
11
Einsatzscenarien
  • Wo/Wie kann ein Honeypot sinnvoll eingesetzt
    werden?
  • Als mobiles System (sinnvoll)
  • Sinnvoller Einsatz als Austauschsystem gegen
    Systeme, die kompromittiert wurden (Einbruch ist
    bereits erfolgt)
  • Zur Verfolgung der Quelladresse bei Einbrüchen
    (etwaige Beweissicherung)
  • Zur Rekonstruktion und Verfolgung eines Angriffes

12
Einsatzscenarien
  • Wie setze ich ein Honeypot richtig ein ?
  • Auf einem minimalisiertem System (Linux, BSD,
    ohne X und weitere Dienste)
  • System selbst solle durch Firewall (lokal)
    gesichert werden (LINUX -gt IPTABLES)
  • Einsatz nur in Umgebungen, die netztechnisch
    nicht in direkter Nähe von Produktivsystemen
    stehen
  • Heonypot-System selbst darf nicht kompromittiert
    werden (wenig Dienste und Anwendungen auf dem
    System)
  • Vor einer Firewall (oder in DMZ)
  • Im realen IP-Adressbereich des Instituts

13
Einsatzscenarien
  • Welche Honeypot Systeme gibt es ?
  • BackOfficer Friendly als Windows Anwendung
    (Freeware)
  • Minimalprogramm zur Simulation von(FTP,Telnet,SM
    TP,Imap,POP3,HTTP etc.)
  • Geringer Leistungsumfang, schwache Auswertung
  • Symmantec Decoy Server / ManTrap
    (Kostenpflichtig)
  • Honeyd (OpenSource)
  • Mittlerweile weit verbreitet
  • Modular, Erweiterbar
  • Im Wesentlichen für LINUX, aber (reduziert) auch
    für Windows erhältlich
  • Honeyd wird in der Regel in Verbindung mit einem
    modifiziertem ARPD eingesetzt
  • Kein Plug Play System, Handarbeit ist
    erforderlich

14
Honeyd Beispiel
  • Honeyd mit KNOPPIX/Debian LINUX
  • Knoppix (GWDG Variante)
  • System booted von CD, volatile Daten werden auf
    USB Stick, Disk, oder HDD gespeichert ( Logfiles
    sowie Einstellungen etc.)
  • OS läuft nur in RAMDISK
  • System kann auf andere Rechner portiert werden
    (gute Hardwareerkennung wg. KNOPPIX)
  • Bei Attacken auf honeyd ist die CD-Bootvariante
    weniger anfällig
  • Bei ausreichendem Interesse der Institute, kann
    die GWDG eine vordefinierte Version als
    Bootimage/CD zur Verfügung stellenDiese Version
    enthält schon fertig definierte Sätze an OS und
    Servern/Diensten (Webserver, Mailserver, IIS,
    ADS)

15
Honeyd Beispiel
Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG
Variante) Beispiel
  • Entscheidene Dateien
  • config Definition des OS, Dienste etc.
  • xprobe2.conf nmap.prints (Fingerprints der
    Systeme, IP-Stack, Verhalten)
  • Arpd (oder farpd) ARP Daemon (modifiziert)
  • Honeyd (Binary des Honeyd)
  • ./scripts/ Scripte (Shell, Perl etc.) die das
    Verhalten der Dienste simulieren (POP3.sh,
    iis-emul.pl etc.)
  • Logfiles (/var/log/honeyd/)

16
Honeyd Beispiel
Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG
Variante) Beispiel
Beispielkonfiguration GWDG, 8/2003,
A.Issleiber CISCO router create cisco set
cisco personality "CISCO 2620 running IOS
12.1(6)" add cisco tcp port 22 "/usr/bin/perl
scripts/router-telnet.pl" add cisco tcp port 23
"/usr/bin/perl scripts/router-telnet.pl" set
cisco default tcp action reset Windows 2000
mit IIS 5 create windows set windows uptime
1748870 set windows uid 32767 gid 32767 set
windows personality "Windows Millennim Edition
(Me), Win 2000, or WinXP" add windows tcp port 80
"/usr/bin/perl scripts/win2k/iisemulator-0.95/iise
mul8.pl" add windows tcp port 143 "/bin/sh
scripts/win2k/exchange-imap.sh" add windows tcp
port 25 "/bin/sh scripts/win2k/exchange-smtp.sh" a
dd windows tcp port 110 "/bin/sh
scripts/win2k/exchange-pop3.sh" add windows tcp
port 119 "/bin/sh scripts/win2k/exchange-nntp.sh"
add windows tcp port 389 "/bin/sh
scripts/win2k/ldap.sh" add windows tcp port 21
"/bin/sh scripts/win2k/msftp.sh" set windows
default tcp action reset
LINUX Suse 8.0 als Mailer etc. create
suse80 set suse80 personality "Linux Kernel 2.4.0
- 2.4.18 (X86)" add suse80 tcp port 80 "/bin/sh
scripts/suse8.0/apache.sh" add suse80 tcp port 23
"/bin/sh scripts/suse8.0/telnetd.sh" add suse80
tcp port 21 "/bin/sh scripts/suse8.0/proftpd.sh" a
dd suse80 tcp port 22 "/bin/sh scripts/suse8.0/ssh
.sh" add suse80 tcp port 25 "/bin/sh
scripts/suse8.0/sendmail.sh" add suse80 tcp port
25 "/bin/sh scripts/smtp.sh" add suse80 tcp port
110 "/bin/sh scripts/suse8.0/qpop.sh" add suse80
tcp port 143 "/bin/sh scripts/suse8.0/cyrus-imapd.
sh" set suse80 default tcp action block set
suse80 default tcp action reset set suse80
default udp action reset set suse80 default icmp
action block Binden der Konfigurationen
(Templates) an die IP-Adresse bind 192.168.1.3
windows bind 192.168.1.4 cisco bind 192.168.1.5
suse80 bind 192.168.1.6 suse70 bind 192.168.1.7
xp
17
. finish
Danke! Fragen ?
Write a Comment
User Comments (0)
About PowerShow.com