1.1k likes | 1.71k Views
Module 9 : 誘捕系統實習. 學習目的. 利用誘捕系統,找出網路中潛在的威脅 本模組共有四個小節包括 (1) 誘捕系統簡介 (2) 誘捕系統工具介紹 (3) 誘捕系統的實務 (4) 誘捕系統的專案 實作. Module 9 : 誘捕系統實習. Module 9-1 :誘捕系統簡介 (*) Module 9-2 :誘捕系統工具介紹 (*) Module 9-3 :誘捕系統的實務 (**) Module 9-4 :誘捕系統的專案實作 (*). * 初級 (basic) :基礎性教材內容
E N D
學習目的 • 利用誘捕系統,找出網路中潛在的威脅 • 本模組共有四個小節包括 (1)誘捕系統簡介 (2)誘捕系統工具介紹 (3)誘捕系統的實務 (4)誘捕系統的專案實作
Module 9:誘捕系統實習 • Module 9-1:誘捕系統簡介(*) • Module 9-2:誘捕系統工具介紹(*) • Module 9-3:誘捕系統的實務(**) • Module 9-4:誘捕系統的專案實作(*) * 初級(basic):基礎性教材內容 **中級(moderate):教師依據學生的吸收情況,選擇性介紹本節的內容 ***高級(advanced):適用於深入研究的內容
誘捕系統(Honeypot)的介紹 • 誘捕系統(Honeypot):受到嚴密監控的網路誘騙系統,具有以下特點 • 迷惑敵人,誘使駭客攻擊Honeypot而無暇去攻擊一些系統中比較重要的機器 • 對新攻擊發出預警 • 引誘駭客攻擊 • 可使用入侵偵測系統與防火牆等結合使用,以提升安全性
誘捕系統(Honeypot)的重要性 • 引誘攻擊者入侵組織資訊系統的陷阱 • 作為對系統弱點預警的監視工具 • 減低資訊科技系統及網路遭攻擊的風險 • 蒐集入侵方法並加以分析,為系統的潛在漏洞提供寶貴資訊
誘捕系統(Honeypot)的重要性 (續) • 傳統的IDS 針對已知的入侵手法對外來的attacker作出警告 • Honeypot 學習駭客入侵的工具,以找出作業系統的弱點 增加對惡意程式的蒐證
誘捕系統(Honeypot)的功能 • 誘捕系統模擬成有缺陷的系統,等待攻擊者來攻擊,藉以蒐集攻擊的手法與方式 • Honeypot解決IDS或防火牆記錄等資訊過量問題 • 為一個模擬或真實的網路系統 • 隱藏在防火牆後面,所有進出的資料皆受到監視 • 使用不同的作業系統及設備,如Solaris、Linux、Windows NT及Cisco Switch
誘捕系統(Honeypot)的功能 (續) • 不同的系統平台上面運行著不同的服務 • 例:Linux的DNS server、Windows NT的webserver或Solaris的FTP Server • 入侵者會將目標定於幾個特定的系統漏洞上 • 不同的服務有不同的攻擊手法 • 分析記錄使我們了解服務的弱點
誘捕系統(Honeypot)的分類 • 低互動性誘捕系統(Low-Interaction Honeypot) • 提供有限的服務,藉由模擬服務與作業系統來運作 • 風險也較小,因攻擊者絕不會進到一個真實的作業系統 • 高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統與真實的應用程式來運作,而非模擬 • 風險相對較高,因攻擊者可能攻陷一個真實的作業系統 ,並威脅真實的網路
低互動性誘捕系統(Low-Interaction Honeypot) • 模擬現有作業系統上的服務 • 監控沒有使用的 IP 位址空間 • 記錄攻擊 • 主要優勢 • 較容易部署與維護 • 風險亦較小,因攻擊者絕不會進到一個真實的作業系統 • 例:Honeyd、Nepenthes及Honeytrap
高互動性誘捕系統(High-Interaction Honeypot) • 以真實的作業系統來構建,提供真實的系統和服務給駭客攻擊 • 不預設一個攻擊者會有什麼樣的行為,而提供可以追蹤所有活動的環境 • 缺點: • 更多的風險 - 駭客可能透過真實系統攻擊和滲透網路中的其他機器 • 部署較為複雜,技術層面較高 • 例:Honeywall-ROO、HIHAT及Honeybow
誘捕系統(Honeypot)工具比較 • 商業軟體 • 優:效果佳 • 缺:成本高 • 例:Symantec Decoy Server與KFSensor • 免費軟體 • 優:成本低 • 缺:缺少某些商業軟體所提供的效果 • 例:Honeyd與Nepenthes
誘捕系統(Honeypot)工具比較 9-16
誘捕系統(Honeypot)工具- Symantec Decoy Server • 由賽門鐵克公司所發展商用之誘捕系統 • 會警示由內/外部所發出之未經授權的入侵意圖 • 可自動地偵測與回應新型態的攻擊 • 在與對手互動時產生模擬的流量 • 過程可重播
誘捕系統(Honeypot)工具- KFSensor • 可針對Windows作業系統所提供的各項服務以及弱點進行模擬 • 可模擬Windows的網路,如NetBIOS、SMB、CIFS • 可偵測到針對Windows檔案分享的攻擊 • 模擬常見的通訊協定如:FTP、SMB、POP3、HTTP、Telnet、SMTP與SOCKS等以蒐集攻擊者的資訊 資料來源:http://www.keyfocus.net/kfsensor/
誘捕系統(Honeypot)工具 - Honeyd • 輕型Open-source的虛擬Honeypot • 模擬多個作業系統和網路服務 • 諸多外掛模組,用於模擬常見的服務 • 模擬微軟 IIS 網頁伺服器的Scripts • 模擬SMTP • 模擬HTTP • 模擬Telnet • 支援IP協定架構 • 模擬任意拓撲架構的虛擬網路與網路通道
誘捕系統(Honeypot)工具 - Honeyd (續) • 處理目的IP位址屬於虛擬Honeypot之一的網路封包的方法 • 對指向Honeyd主機的虛擬IP位址創建特定路由 • 使用ARP-Proxy • 使用網路通道
使用ARP - Proxy 封包的Destination=Honeypot Windows NT 4.0 9-21
使用ARP - Proxy (續) 路由器查詢它的路由表由找到10.0.0.13的轉送位址 9-22
使用ARP - Proxy (續) 沒有配置專用的路由 9-23
使用ARP - Proxy (續) 路由器透過ARP請求確定10.0.0.13 的MAC位址 9-24
使用ARP - Proxy (續) 路由器把發送Honeypot Windows NT 4.0的封包轉到Honeyd主機的MAC位址 9-25
Honeyd原理說明 在port 80等待連線
Honeyd原理說明 (續) 有人連進來,由subsystem接受連線 9-27
Honeyd原理說明 (續) 由internal service決定如何回應 9-28
Honeyd配置 • 透過配置模板(Template)來配置虛擬的Honeypot • 配置語言是一種Context-free文法(上下文順序無關),可以設定虛擬網路、作業系統及服務
配置模板 創建一作業系統模板 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-30
配置模板 (續) 設定該模板的Nmap 指紋 • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 9-31
配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定預設的TCP和UDP和ICMP 動作 9-32
配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 設定系統監聽埠號,並且呼叫腳本iisemul8.pl和cmdexe.pl 9-33
配置模板 (續) • ### Default Template • create default • # Set default behavior • set default personality "Microsoft Windows XP Home Edition" • set default default tcp action open • set default default udp action open • set default default icmp action open • add default tcp port 80 "perl /opt/honeyd/scripts/windows/iis/iisemu18.pl" • add default tcp port 23 "perl /opt/honeyd/scripts/windows/cmdexe.pl" • add default tcp port 139 open • add default tcp port 137 open • add default udp port 137 open • add default udp port 135 open 打開TCP 139與137 Port 打開UDP 137與135 Port 9-34
誘捕系統(Honeypot)工具 - Nepenthes • Nepenthes為惡意程式誘捕系統,藉由模擬系統弱點,誘使惡意程式對誘捕系統進行攻擊,進而捕捉到惡意程式,是屬於Low-Interaction Honeypot
誘捕系統(Honeypot)工具 - Nepenthes (續) Vulnerability Modules:模擬網路服務的弱點
誘捕系統(Honeypot)工具 - Nepenthes (續) Shellcode parsing Modules:分析與反解Exploit Payload,找出Mal-URL
誘捕系統(Honeypot)工具 - Nepenthes (續) Fetch Modules:利用HTTP、FTP、TFTP…從遠端抓取惡意程式Binary
誘捕系統(Honeypot)工具 - Nepenthes (續) Submission Modules:將抓下來的惡意程式存到Disk,或其他伺服器
Nepenthes … 誘捕系統(Honeypot)工具 - Nepenthes (續) • 於Linux環境下執行,透過模組模擬不同的系統弱點,並可將蒐集的惡意程式儲存在分散式的資料庫中 • Developer:Paul Baecher, Markus Koetter • Nepenthes網址: • http://nepenthes.carnivore.it • http://nepenthes.mwcollect.org
誘捕系統(Honeypot)工具 - Nepenthes (續) • Nepenthes可以模擬的弱點
漏洞掃描工具 - X-Scan • 掃瞄內容包括:遠端系統服務類型、操作系統類型及版本,各種弱點漏洞、後門、應用服務漏洞 • 原創作者:XFOCUS Team • X-Scan網址:http://www.xfocus.org/programs/200507/18 9-42
結論 • Honeyd可以應用在網路安全的許多領域 • 例︰病毒探測、反蠕蟲、阻止垃圾郵件及轉移攻擊目標等 • Honeypot系統都是正在發展中的技術,還需要不斷地擴充和完善功能,提升迷惑性和自身的安全性 • 誘捕系統為安全研究使用較多,部署於企業內部需考量其風險及安全性,並配合適當的監控及分析技術,否則仍不適用於一般的企業作為安全機制的一環
說明 • 架設實作(一),請使用HoneyD軟體配置Honeypot誘捕系統。依實驗拓樸,請使用HoneyD主機做安裝及測試 • 架設實作(二),請使用Nepenthes軟體配置Nepenthes誘捕系統,並利用X-Scan做掃描。依實驗拓樸,請使用Nepenthes主機做Nepenthes軟體安裝及測試,attacker主機做7z軟體及X-Scan軟體安裝及測試
架設實作(一) Honeypot架設實作實習
實作環境介紹 attacker OS:WINXP-SP2 IP:10.1.2.2 HoneyD OS:FC6-yum-STD IP:10.1.1.2 安裝軟體:Honeyd IP2 IP1 router OS:FC6-STD IP1:10.1.1.3 IP2:10.1.2.3
誘捕系統(Honeypot)工具 - Honeyd • 版本 • honeyd-1.5c • 支援作業平台 • Linux及OpenBSD • 其他需求工具 • libpcap、libdnet、 libevent、libedit、 termcap、pcre 、及arpd • 下載位址 • http://www.honeyd.org/uploads/honeyd-1.5c.tar.gz
誘捕系統(Honeypot)工具 - Honeyd • Libpcap:是Linux系統中用以擷取封包的工具之ㄧ • Libdnet:提供了修改封包IP的功能 • Libevent:透過libevent使我們可以設定當某些事件發生時就會執行的某些函示,也就是我們可以透過libevent來呼叫特定的script來模擬某些作業系統的網路特徵 • Libedit:提供讀取封包的功能 • Termcap:提供傳送控制訊息的功能 • Pcre:處理PCRE - Perl Compatible Regular Expressions正規表示式的一個函式庫 • Arpd:如果駭客的ARP requests是指向一個虛擬IP ,arpd會回應駭客使駭客以為這個虛擬IP指向honeyd