Security-Workshop der GWDG, 6. – , Göttingen 1 Honeypots oder Wer will an meine Honigtöpfe Bodo Gelbe Andreas Ißleiber

Gelbe/Ißleiber – Honeypots 2 Problemstellung Zunehmende Scans und Attacken auf die eigenen Systeme. Interesse des Sicherheitsbeauftragten: Wer attackiert? Welche Applikationen werden angegriffen? Welche Techniken werden angewendet? Aber: nicht gewünschte (gefährliche) Verbindungen werden (hoffentlich) durch Firewall-Komponenten abgewiesen und IDS-Systeme können nur bedingt Auskunft über die verwen- deten Techniken geben (nach welchen Userid/Passwort-Kom- binationen wird z.B. gesucht)

Gelbe/Ißleiber – Honeypots 3 Lösung System(e) anbieten, die frei zugänglich sind und Scans unter- worfen,attackiert und kompromittiert werden können, soge- nannte Honeypots (Honigtöpfe). Realisierung über: Emulation einiger Anwendungen (Services), nicht des kom- pletten Operating-Systems Komplettes (reales) Operating-System, z.B auch unter VMware Hardware und komplettes (reales) Operating-System Die GWDG setzt ein System ein, das verschiedene Anwendun- gen unter verschiedenen Operating-Systemen emuliert: Honeyd von Niels Provost

Gelbe/Ißleiber – Honeypots 4 Honeyd Konfiguration (1) Steuerung über eine Konfigurationsdatei: create router1 set router1 personality "Cisco 7206 running IOS 11.1(24) set router1 default tcp action reset add router1 tcp port 23 "/hd/router1-telnet.pl $ipsrc $sport $ipdst $dport" bind router1 Emuliert einen Cisco-Router mit IP-Adresse und der Anwendung Telnet- Server (per Script router1-telnet.pl). create msmailer1 set msmailer1 personality "Windows NT 4.0 Server SP5-SP6 add msmailer1 tcp port 25 "sh /hd/exchange-smtp.sh $ipsrc $sport $ipdst $dport" add msmailer1 tcp port 80 "sh /hd/iis.sh $ipsrc $sport $ipdst $dport" add msmailer1 tcp port 143 "sh /hd/exchange-imap.sh $ipsrc $sport $ipdst $dport" set msmailer1 default icmp action reset set msmailer1 default tcp action reset set msmailer1 default udp action reset set msmailer1 uptime bind msmailer1 Emuliert einen Exchange-Server mit IP-Adresse und den Anwendungen SMTP-Server (Port 25), WWW-Server (Port 80) und IMAP-Server (Port 143)

Gelbe/Ißleiber – Honeypots 5 Honeyd Konfiguration (2) create mailer1 set mailer1 personality "Linux Kernel (X86)" add mailer1 tcp port 21 "sh /hd/ftp.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 22 "sh /hd/ssh2.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 25 "sh /hd/sendmail.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 80 "sh /hd/apache.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 110 "sh /hd/emulate-pop3.sh $ipsrc $sport $ipdst $dport" set mailer1 default icmp action reset set mailer1 default tcp action reset set mailer1 default udp action reset set mailer1 uptime bind mailer1 Emuliert einen Linux-Mail-Server mit IP-Adresse und den Anwen- dungen FTP-Server (Port 21), SSH-Server (Port 22), SMTP-Server (Port 25), WWW-Server (Port 80) und IMAP-Server (Port 143)

Gelbe/Ißleiber – Honeypots 6 Honeyd Design Honeyd läuft als Daemon auf einem System, für die Honeypots bestimmter Traffic muß auf dem Internet-Router an dieses System geleitet werden Trägersystem: Linux, BSD oder Solaris Honeyd simuliert den TCP/IP-Stack und zwar gemäß der in der Konfiguration zugewiesenen Personality, z.B. Linux Kernel (X86). Diese entspricht den nmap-Spezifikationen, sodaß ein Personality-Scan mit nmap das entsprechende System ausweist. Wird ein in der Konfiguration definierter Service angesprochen, ruft Honeyd das entsprechende Script auf und übergibt eingehenden Traffic an dieses. Vom Script erzeugte Ausgabe läuft durch den simulierten TCP/IP-Stack. Verfügbare Scripts: apache, cyrus-imap, pop3, exchange-imap, exchange-nntp, exchange-smtp, fingerd, ftp, iis, lpd, msftp, msldap, msvnc, proftpd, qpop, router-telnet, sendmail, smtp, squid, ssh, ssh2, syslog, telnet

Gelbe/Ißleiber – Honeypots 7 Honeyd bei der GWDG Zwei Class-C-Netze, die vorher noch nicht benutzt wurden und in keinem Nameserver auftauchen Emulierte Systeme: Windows-Server-Systeme mit Anwendungen wie WWW- Server (IIS) und Mail-Server (Exchange) Windows-Client-Systeme Linux-Server-Systeme mit Anwendungen wie WWW- Server (Apache), POP-Server und FTP-Server (wu-ftpd) Cisco-Router

Gelbe/Ißleiber – Honeypots 8 Honeyd Erfahrungen (1) Wenige Stunden nach Inbetriebnahme bereits erste Attacken Statistik September 2003: Pings Zugriffe aufTCP SQL-Server-PortUDP Lücke im RPC-DienstTCP UDP TCP Blaster-WurmTCP Sieger im September: (kornet.net = Provider in Korea) mit Paketen

Gelbe/Ißleiber – Honeypots 9 Honeyd Erfahrungen (2) Attacken auf Applikationen: IIS ca Sessions im September 2003 Suche nach Code Red GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir FTP Suche nach offenen Usern: admin, guest, backup, z.B Versuche von einem t-dialin.net Account Versuch, ein beschreibbares Verzeichnis zu finden

Gelbe/Ißleiber – Honeypots 10 Einsatzscenarien Wo/Wie kann ein Honeypot sinnvoll eingesetzt werden? Als dauerhaft installiertes System (Produktivsystem) Aufwand, die anfallenden Daten auszuwerten Anlocken von zu vielen Angreifern Problem: Wird von guten Hackern der Honepot als Honeypot erkannt, motiviert es den Hacker weitertzugehen Honeypots dienen i.d.R. der Statistik Wirkung der Honeypots fraglich bei Script gesteuerten Angriffen semiprofessioneller Hacker Juristisches Problem: Verleitung zu Angriffen ? AI

Gelbe/Ißleiber – Honeypots 11 Einsatzscenarien Wo/Wie kann ein Honeypot sinnvoll eingesetzt werden? Als mobiles System (sinnvoll) Sinnvoller Einsatz als Austauschsystem gegen Systeme, die kompromittiert wurden (Einbruch ist bereits erfolgt) Zur Verfolgung der Quelladresse bei Einbrüchen (etwaige Beweissicherung) Zur Rekonstruktion und Verfolgung eines Angriffes

Gelbe/Ißleiber – Honeypots 12 Einsatzscenarien Wie setze ich ein Honeypot richtig ein ? Auf einem minimalisiertem System (Linux, BSD, ohne X und weitere Dienste) System selbst solle durch Firewall (lokal) gesichert werden (LINUX -> IPTABLES) Einsatz nur in Umgebungen, die netztechnisch nicht in direkter Nähe von Produktivsystemen stehen Heonypot-System selbst darf nicht kompromittiert werden (wenig Dienste und Anwendungen auf dem System) Vor einer Firewall (oder in DMZ) Im realen IP-Adressbereich des Instituts

Gelbe/Ißleiber – Honeypots 13 Einsatzscenarien Welche Honeypot Systeme gibt es ? BackOfficer Friendly als Windows Anwendung (Freeware) Minimalprogramm zur Simulation von: (FTP,Telnet,SMTP,Imap,POP3,HTTP etc.) Geringer Leistungsumfang, schwache Auswertung Symmantec Decoy Server / ManTrap (Kostenpflichtig) Honeyd (OpenSource) Mittlerweile weit verbreitet Modular, Erweiterbar Im Wesentlichen für LINUX, aber (reduziert) auch für Windows erhältlich Honeyd wird in der Regel in Verbindung mit einem modifiziertem ARPD eingesetzt Kein Plug & Play – System, Handarbeit ist erforderlich

Gelbe/Ißleiber – Honeypots 14 Honeyd Beispiel Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG Variante) System booted von CD, volatile Daten werden auf USB Stick, Disk, oder HDD gespeichert (… Logfiles sowie Einstellungen etc.) OS läuft nur in RAMDISK System kann auf andere Rechner portiert werden (gute Hardwareerkennung wg. KNOPPIX) Bei Attacken auf honeyd ist die CD-Bootvariante weniger anfällig Bei ausreichendem Interesse der Institute, kann die GWDG eine vordefinierte Version als Bootimage/CD zur Verfügung stellen Diese Version enthält schon fertig definierte Sätze an OS und Servern/Diensten (Webserver, Mailserver, IIS, ADS)

Gelbe/Ißleiber – Honeypots 15 Honeyd Beispiel Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG Variante) Beispiel: Entscheidene Dateien: -config: Definition des OS, Dienste etc. -xprobe2.conf & nmap.prints: (Fingerprints der Systeme, IP-Stack, Verhalten) -Arpd (oder farpd): ARP Daemon (modifiziert) -Honeyd (Binary des Honeyd) -./scripts/* Scripte (Shell, Perl etc.) die das Verhalten der Dienste simulieren (POP3.sh, iis-emul.pl etc.) -Logfiles (/var/log/honeyd/*)

Gelbe/Ißleiber – Honeypots 16 Honeyd Beispiel Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG Variante) Beispiel: # # Beispielkonfiguration GWDG, 8/2003, A.Issleiber # # CISCO router create cisco set cisco personality "CISCO 2620 running IOS 12.1(6)" add cisco tcp port 22 "/usr/bin/perl scripts/router-telnet.pl" add cisco tcp port 23 "/usr/bin/perl scripts/router-telnet.pl" set cisco default tcp action reset # Windows 2000 mit IIS 5 create windows set windows uptime set windows uid gid set windows personality "Windows Millennim Edition (Me), Win 2000, or WinXP" add windows tcp port 80 "/usr/bin/perl scripts/win2k/iisemulator-0.95/iisemul8.pl" add windows tcp port 143 "/bin/sh scripts/win2k/exchange-imap.sh" add windows tcp port 25 "/bin/sh scripts/win2k/exchange-smtp.sh" add windows tcp port 110 "/bin/sh scripts/win2k/exchange-pop3.sh" add windows tcp port 119 "/bin/sh scripts/win2k/exchange-nntp.sh" add windows tcp port 389 "/bin/sh scripts/win2k/ldap.sh" add windows tcp port 21 "/bin/sh scripts/win2k/msftp.sh" set windows default tcp action reset # LINUX Suse 8.0 als Mailer etc. create suse80 set suse80 personality "Linux Kernel (X86)" add suse80 tcp port 80 "/bin/sh scripts/suse8.0/apache.sh" add suse80 tcp port 23 "/bin/sh scripts/suse8.0/telnetd.sh" add suse80 tcp port 21 "/bin/sh scripts/suse8.0/proftpd.sh" add suse80 tcp port 22 "/bin/sh scripts/suse8.0/ssh.sh" #add suse80 tcp port 25 "/bin/sh scripts/suse8.0/sendmail.sh" add suse80 tcp port 25 "/bin/sh scripts/smtp.sh" add suse80 tcp port 110 "/bin/sh scripts/suse8.0/qpop.sh" add suse80 tcp port 143 "/bin/sh scripts/suse8.0/cyrus-imapd.sh" set suse80 default tcp action block set suse80 default tcp action reset set suse80 default udp action reset #set suse80 default icmp action block # Binden der Konfigurationen (Templates) an die IP-Adresse bind windows bind cisco bind suse80 bind suse70 bind xp

Gelbe/Ißleiber – Honeypots 17 …. finish Danke! Fragen ?