Honeypot & Tarpit prikaz delovanja "lonca medu"

1. Honeypot & Tarpitprikaz delovanja "lonca medu" nejc@skoberne.net

2. O medenih loncih in limanicah • V računalniški terminologiji se izraz “medeni lonec” ali honeypot uporablja za past, ki jo napadalec odkrije in zlorabi, na podlagi njegove aktivnosti pa lahko na drugi strani tisti, ki je past postavil pridobi informacije o načinu, ki ga je napadalec uporabil za vdor. • Limanice pa predstavljao specifično programsko opremo, ki v osnovi zelo močno zakasni oziroma upočasni prihajajoče povezave.

3. Limanice • Limanice so se razvile takoj, ko so se v internetu začeli pojavljati črvi, ideja pa je bila čim bolj upočasnit razširanje nezaželene pošte ter mrežnega skeniranja. • Danes se limanice uporabljajo navečkrat na SMTP strežnikih (nekateri imajo to funkcionalnost integirano pri drugih pa postavimo tarpit-proxy pred SMTP server) • V osnovi limanica za nekaj sekund ne pošlje SMTP “pozdrava”. S tem se sicer upočasni dostava legitimne pošte vendar dosežemo želen učinek pri pošiljateljih “spam-a”. • http://support.microsoft.com/?kbid=842851 – SMTP tar pit feature for MS Windows Server 2003

4. Limanice • IP – Tarpit – omogoča “lepljenje” ARP zahtevkov. Najbolj poznana rešitev je Labrea tarpit, ki jo je razvil Tom Liston (http://labrea.sourceforge.net/labrea-info.html). Labrea omogoča, da en sam računalnik varuje vaše celotno omrežje. Program zasede vse proste IP številke v vašem omrežju in na njih posluša za ARP zahtevki. Če se v omrežju pojavi omrežni črv in začen skenirati omrežje za potencialnimi žrtvami ga program zalepi v drugem koraku t.i. 3-way-handshake. Tako črv nikdar ne začne s pošiljanjem podatkov – oziroma problematične vsebine.

5. Delitev loncev medu • Lonci medu se v osnovi delijo v dve skupini • Low-interaction • Kot primer lahko pogledamo projekt honeyd, ki “pripravi” ogromno mrežno strukturo z uporabo enega samega računalnika. Honeyd lonec medu lahko zelo natančno nastavimo z uporabo raznih skript. Uporabnikom prikazuje t.i. bannerje oziroma “splash screen-e” simuliranih servisov. (npr. predstavi se kot Exchange SMTP strežnik) • High-interaction • Resnejši honeypot sistem je pa sistem Honeynet – ta omogoča resnejšo analizo prometa saj vzpostavivi most med honeypot omrežjem ter zunanjim omrežjem – tako lahko sledi celotnemu prihajajočemu in odhajajočemu prometu. • Honeynet web vmesnik omogoča natančno analizo vsakega napada. Vzorce napadov pa analizira s pomočjo aplikacije Snort

6. Projekt Honeynet • Težava • Kako se lahko zaščitimo pred napadalcem, ki ga sploh ne poznamo? • Cilj • Naučiti se, taktik, motivov ter dela z orodji, ki so prisotni pri napadu na računalniška omrežja • Podajanje teh informacij dalje ... • Dvigniti nivo zavedanja o groženjah, ki so prisotne • Za tiste, ki se zavedajo – globje informirati o samih grožnjah • Raziskovalni namen – dati organizacijam možnost, da se učijo in raziskujejo na svojem področju

7. Projekt Honeynet • Honeynet research alliance • začetki segajo v leto 2002 • Člani “aliance” • South Florida Honeynet Project • Georgia Technical Institute • Azusa Pacific University • USMA Honeynet Project • Pakistan Honeynet Project • Paladion Networks Honeynet Project (India) • Internet Systematics Lab Honeynet Project (Greece) • Honeynet.BR (Brazil) • UK Honeynet • French Honeynet Project • Italian Honeynet Project • Portugal Honeynet Project • German Honeynet Project • Spanish Honeynet Project • Singapore Honeynet Project • China Honeynet Project

8. Projekt Honeynet • BackOfficer Friendly • KFSensor • Honeyd • Honeynets Low Interaction High Interaction

9. Projekt Honeynet • Honeynet-i z visoko interakcijo omogočajo zajem “globjih” informacij • Ponavadi so to zelo kotrolirana omrežja kjer je vsak paket, ki vstopa ali izstopa natančno pregledan, “ulovljen” in analiziran • Kontrola podatkov • Zajem podatkov • Analiza podatkov

10. Projekt Honeynet

11. Projekt Honeynet • Kontrola podatkov • Zmanjša možnost, da bi se honeypot izkoristilo za napad na produkcijsko omrežje • Štetje izhodnih in vhodnih sej • IPS – Snort line • Kontrola pasovne širine

12. Projekt Honeynet • Brez kontrole podatkov

13. Projekt Honeynet • Z uporabo kontrole podatkov

14. Projekt Honeynet • Zajem podatkov • Zajem vseh aktivnosti na več nivojih • Aktivnost mreže • Aktivnost aplikacij • Aktivnost sistema

15. Projekt Honeynet • SEBEK • Skrit jedrni modul, ki zajema vse aktivnosti gostitelja • Izpisuje aktivnost omrežja

16. Projekt Honeynet • Zajem podatkov • Zajem vseh aktivnosti na več nivojih • Aktivnost mreže • Aktivnost aplikacij • Aktivnost sistema

17. Lonec medu – Honey pot- Pregled spletnega portala Brazilske CERT organizacijehttp://www.honeynet.org.brhttp://www.honeynet.orghttp://www.honeypots-alliance.org.br- Back officer friendly honeypot for Windows http://www.nfr.com/ Limanica – Tarpit- http://labrea.sourceforge.net (official)http://heanet.dl.sourceforge.net/sourceforge/labrea

18. Topologija omrežja

19. Povezave • http://www.nevarnost.org – spletni portal, ki se ukvarja z računalniško (ne)varnostjo • http://www.insecure.org/ - hacking resources • http://www.snort.org/ - “de facto” standard za preprečevanje in zaznavanje vdorov • http://rootprompt.org/ - novice v zvezi z računalniško varnostjo • http://www.dshield.org/ - distribucijski sistem za detekcijo in preprečevanje vdorov • http://www.milw0rm.com/ - programi in skripte za izkoriščanje ranljivosti (exploits) • http://www.metasploit.com/ - okolje za razvoj/testiranje exploit-ov • http://www.wireshark.org/ - analizator omrežnih protokolov in vohljač (bivši Ethereal) • http://www.tcpdump.org/ - vohljač (sledenje omrežnih paketov) • http://labrea.sourceforge.net/ - program za izvedbo limanice • http://support.microsoft.com/?kbid=842851/ - limanice za MS SMTP

20. Vprašanja? nejc@skoberne.net / http://nejc.skoberne.net luka@manojlovic.net / http://luka.manojlovic.net