honeypot & tarpit prikaz delovanja "lonca medu"
DESCRIPTION
Honeypot & Tarpit prikaz delovanja "lonca medu". [email protected]. O medenih loncih in limanicah. - PowerPoint PPT PresentationTRANSCRIPT
Honeypot & TarpitHoneypot & Tarpitprikaz delovanja "lonca medu"prikaz delovanja "lonca medu"
[email protected]@skoberne.net
O medenih loncih in limanicah
V računalniški terminologiji se izraz “medeni lonec” ali honeypot uporablja za past, ki jo napadalec odkrije in zlorabi, na podlagi njegove aktivnosti pa lahko na drugi strani tisti, ki je past postavil pridobi informacije o načinu, ki ga je napadalec uporabil za vdor.
Limanice pa predstavljao specifično programsko opremo, ki v osnovi zelo močno zakasni oziroma upočasni prihajajoče povezave.
Limanice
Limanice so se razvile takoj, ko so se v internetu začeli pojavljati črvi, ideja pa je bila čim bolj upočasnit razširanje nezaželene pošte ter mrežnega skeniranja. Danes se limanice uporabljajo navečkrat na SMTP
strežnikih (nekateri imajo to funkcionalnost integirano pri drugih pa postavimo tarpit-proxy pred SMTP server) V osnovi limanica za nekaj sekund ne pošlje SMTP
“pozdrava”. S tem se sicer upočasni dostava legitimne pošte vendar dosežemo želen učinek pri pošiljateljih “spam-a”. http://support.microsoft.com/?kbid=842851 – SMTP tar pit
feature for MS Windows Server 2003
Limanice
IP – Tarpit – omogoča “lepljenje” ARP zahtevkov. Najbolj poznana rešitev je Labrea tarpit, ki jo je razvil Tom Liston (http://labrea.sourceforge.net/labrea-info.html). Labrea omogoča, da en sam računalnik varuje vaše celotno omrežje. Program zasede vse proste IP številke v vašem omrežju in na njih posluša za ARP zahtevki. Če se v omrežju pojavi omrežni črv in začen skenirati omrežje za potencialnimi žrtvami ga program zalepi v drugem koraku t.i. 3-way-handshake. Tako črv nikdar ne začne s pošiljanjem podatkov – oziroma problematične vsebine.
Delitev loncev medu
Lonci medu se v osnovi delijo v dve skupini Low-interaction
Kot primer lahko pogledamo projekt honeyd, ki “pripravi” ogromno mrežno strukturo z uporabo enega samega računalnika. Honeyd lonec medu lahko zelo natančno nastavimo z uporabo raznih skript. Uporabnikom prikazuje t.i. bannerje oziroma “splash screen-e” simuliranih servisov. (npr. predstavi se kot Exchange SMTP strežnik)
High-interaction Resnejši honeypot sistem je pa sistem Honeynet – ta omogoča
resnejšo analizo prometa saj vzpostavivi most med honeypot omrežjem ter zunanjim omrežjem – tako lahko sledi celotnemu prihajajočemu in odhajajočemu prometu.
Honeynet web vmesnik omogoča natančno analizo vsakega napada. Vzorce napadov pa analizira s pomočjo aplikacije Snort
Projekt Honeynet
Težava Kako se lahko zaščitimo pred napadalcem, ki ga
sploh ne poznamo? Cilj
Naučiti se, taktik, motivov ter dela z orodji, ki so prisotni pri napadu na računalniška omrežja
Podajanje teh informacij dalje ... Dvigniti nivo zavedanja o groženjah, ki so prisotne Za tiste, ki se zavedajo – globje informirati o samih
grožnjah Raziskovalni namen – dati organizacijam možnost,
da se učijo in raziskujejo na svojem področju
Projekt Honeynet
Honeynet research alliance začetki segajo v leto 2002
Člani “aliance” South Florida Honeynet Project Georgia Technical Institute Azusa Pacific University USMA Honeynet Project Pakistan Honeynet Project Paladion Networks Honeynet Project (India) Internet Systematics Lab Honeynet Project (Greece) Honeynet.BR (Brazil) UK Honeynet French Honeynet Project Italian Honeynet Project Portugal Honeynet Project German Honeynet Project Spanish Honeynet Project Singapore Honeynet Project China Honeynet Project
Projekt Honeynet
BackOfficer Friendly KFSensor Honeyd Honeynets
Low Interaction
High Interaction
Projekt Honeynet
Honeynet-i z visoko interakcijo omogočajo zajem “globjih” informacij
Ponavadi so to zelo kotrolirana omrežja kjer je vsak paket, ki vstopa ali izstopa natančno pregledan, “ulovljen” in analiziran Kontrola podatkov Zajem podatkov Analiza podatkov
Projekt Honeynet
Projekt Honeynet
Kontrola podatkov Zmanjša možnost, da bi se honeypot izkoristilo
za napad na produkcijsko omrežje Štetje izhodnih in vhodnih sej IPS – Snort line Kontrola pasovne širine
Projekt Honeynet
Brez kontrole podatkov
Internet
No Restrictions
No Restrictions
Honeypot
Honeypot
Projekt Honeynet
Z uporabo kontrole podatkov
Internet
Honeywall
Honeypot
Honeypot
No Restrictions
Connections Limited Packet Scrubbed
Projekt Honeynet
Zajem podatkov Zajem vseh aktivnosti na več nivojih
Aktivnost mreže Aktivnost aplikacij Aktivnost sistema
Projekt Honeynet
SEBEK Skrit jedrni modul, ki zajema vse
aktivnosti gostitelja Izpisuje aktivnost omrežja
Projekt Honeynet
Zajem podatkov Zajem vseh aktivnosti na več nivojih
Aktivnost mreže Aktivnost aplikacij Aktivnost sistema
Lonec medu – Honey pot- Pregled spletnega portala Brazilske CERT
organizacijehttp://www.honeynet.org.br
http://www.honeynet.orghttp://www.honeypots-alliance.org.br
- Back officer friendly honeypot for Windows http://www.nfr.com/
Limanica – Tarpit
- http://labrea.sourceforge.net (official)http://heanet.dl.sourceforge.net/sourceforge/labrea
Topologija omrežja
Internet
Požarni zid/NAT napravaJavni IP: 89.142.W.Z
Lokalni IP: 192.168.170.1/24
VMWare Server (192.168.171.1/24, 10.1.0.5/24)
FreeBSD(lonec medu)
192.168.170.2/24
HoneyWALL(vohljač, IDS sistem)
Mgmt: 192.168.171.2/24
HoneyWALL ima 3 omrežne vmesnike, od tega dva služita kot most (bridge) med ZyWALL usmerjevalnikom in FreeBSD loncem medu. Tretji vmesnik služi za nadzor in spremljanje dogajanja na loncu medu. Požarni zid/NAT naprava preusmerja vsa vrata (razen vrat za upravljanje) na lonec medu, tako da izgleda kot da bi bil lonec medu priklopljen direktno na Internet. Ker gostiteljski VMWare strežnik in lonec medu ter HoneyWALL in lonec medu paroma niso v istem lokalnem omrežju, tudi v najslabšem primeru izgubimo nadzor le nad loncem medu.
Požarni zid/NAT napravaJavni IP: 89.212.X.Y
Lokalni IP: 10.1.0.1/24
PovezavePovezave http://www.nevarnost.org – spletni portal, ki se ukvarja z računalniško
(ne)varnostjo http://www.insecure.org/ - hacking resources http://www.snort.org/ - “de facto” standard za preprečevanje in
zaznavanje vdorov http://rootprompt.org/ - novice v zvezi z računalniško varnostjo http://www.dshield.org/ - distribucijski sistem za detekcijo in
preprečevanje vdorov http://www.milw0rm.com/ - programi in skripte za izkoriščanje ranljivosti
(exploits) http://www.metasploit.com/ - okolje za razvoj/testiranje exploit-ov http://www.wireshark.org/ - analizator omrežnih protokolov in vohljač
(bivši Ethereal) http://www.tcpdump.org/ - vohljač (sledenje omrežnih paketov) http://labrea.sourceforge.net/ - program za izvedbo limanice http://support.microsoft.com/?kbid=842851/ - limanice za MS SMTP
