Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Security-Workshop der GWDG, 6. – 8. 10. 2003, Göttingen 1 Honeypots oder Wer will an meine Honigtöpfe Bodo Gelbe Andreas Ißleiber.

Veröffentlicht von:Magdalene Raiter Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Security-Workshop der GWDG, 6. – 8. 10. 2003, Göttingen 1 Honeypots oder Wer will an meine Honigtöpfe Bodo Gelbe Andreas Ißleiber."—  Präsentation transkript:

1 Security-Workshop der GWDG, 6. – 8. 10. 2003, Göttingen 1 Honeypots oder Wer will an meine Honigtöpfe Bodo Gelbe Andreas Ißleiber

2 Gelbe/Ißleiber – Honeypots 2 Problemstellung Zunehmende Scans und Attacken auf die eigenen Systeme. Interesse des Sicherheitsbeauftragten: Wer attackiert? Welche Applikationen werden angegriffen? Welche Techniken werden angewendet? Aber: nicht gewünschte (gefährliche) Verbindungen werden (hoffentlich) durch Firewall-Komponenten abgewiesen und IDS-Systeme können nur bedingt Auskunft über die verwen- deten Techniken geben (nach welchen Userid/Passwort-Kom- binationen wird z.B. gesucht)

3 Gelbe/Ißleiber – Honeypots 3 Lösung System(e) anbieten, die frei zugänglich sind und Scans unter- worfen,attackiert und kompromittiert werden können, soge- nannte Honeypots (Honigtöpfe). Realisierung über: Emulation einiger Anwendungen (Services), nicht des kom- pletten Operating-Systems Komplettes (reales) Operating-System, z.B auch unter VMware Hardware und komplettes (reales) Operating-System Die GWDG setzt ein System ein, das verschiedene Anwendun- gen unter verschiedenen Operating-Systemen emuliert: Honeyd von Niels Provost http://www.citi.umich.edu/u/provos/honeyd/

4 Gelbe/Ißleiber – Honeypots 4 Honeyd Konfiguration (1) Steuerung über eine Konfigurationsdatei: create router1 set router1 personality "Cisco 7206 running IOS 11.1(24) set router1 default tcp action reset add router1 tcp port 23 "/hd/router1-telnet.pl $ipsrc $sport $ipdst $dport" bind 1.1.1.1 router1 Emuliert einen Cisco-Router mit IP-Adresse 1.1.1.1 und der Anwendung Telnet- Server (per Script router1-telnet.pl). create msmailer1 set msmailer1 personality "Windows NT 4.0 Server SP5-SP6 add msmailer1 tcp port 25 "sh /hd/exchange-smtp.sh $ipsrc $sport $ipdst $dport" add msmailer1 tcp port 80 "sh /hd/iis.sh $ipsrc $sport $ipdst $dport" add msmailer1 tcp port 143 "sh /hd/exchange-imap.sh $ipsrc $sport $ipdst $dport" set msmailer1 default icmp action reset set msmailer1 default tcp action reset set msmailer1 default udp action reset set msmailer1 uptime 111204 bind 1.1.1.2 msmailer1 Emuliert einen Exchange-Server mit IP-Adresse 1.1.1.2 und den Anwendungen SMTP-Server (Port 25), WWW-Server (Port 80) und IMAP-Server (Port 143)

5 Gelbe/Ißleiber – Honeypots 5 Honeyd Konfiguration (2) create mailer1 set mailer1 personality "Linux Kernel 2.4.0 - 2.4.18 (X86)" add mailer1 tcp port 21 "sh /hd/ftp.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 22 "sh /hd/ssh2.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 25 "sh /hd/sendmail.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 80 "sh /hd/apache.sh $ipsrc $sport $ipdst $dport" add mailer1 tcp port 110 "sh /hd/emulate-pop3.sh $ipsrc $sport $ipdst $dport" set mailer1 default icmp action reset set mailer1 default tcp action reset set mailer1 default udp action reset set mailer1 uptime 1924204 bind 1.1.1.3 mailer1 Emuliert einen Linux-Mail-Server mit IP-Adresse 1.1.1.3 und den Anwen- dungen FTP-Server (Port 21), SSH-Server (Port 22), SMTP-Server (Port 25), WWW-Server (Port 80) und IMAP-Server (Port 143)

6 Gelbe/Ißleiber – Honeypots 6 Honeyd Design Honeyd läuft als Daemon auf einem System, für die Honeypots bestimmter Traffic muß auf dem Internet-Router an dieses System geleitet werden Trägersystem: Linux, BSD oder Solaris Honeyd simuliert den TCP/IP-Stack und zwar gemäß der in der Konfiguration zugewiesenen Personality, z.B. Linux Kernel 2.4.0 - 2.4.18 (X86). Diese entspricht den nmap-Spezifikationen, sodaß ein Personality-Scan mit nmap das entsprechende System ausweist. Wird ein in der Konfiguration definierter Service angesprochen, ruft Honeyd das entsprechende Script auf und übergibt eingehenden Traffic an dieses. Vom Script erzeugte Ausgabe läuft durch den simulierten TCP/IP-Stack. Verfügbare Scripts: apache, cyrus-imap, pop3, exchange-imap, exchange-nntp, exchange-smtp, fingerd, ftp, iis, lpd, msftp, msldap, msvnc, proftpd, qpop, router-telnet, sendmail, smtp, squid, ssh, ssh2, syslog, telnet

7 Gelbe/Ißleiber – Honeypots 7 Honeyd bei der GWDG Zwei Class-C-Netze, die vorher noch nicht benutzt wurden und in keinem Nameserver auftauchen Emulierte Systeme: Windows-Server-Systeme mit Anwendungen wie WWW- Server (IIS) und Mail-Server (Exchange) Windows-Client-Systeme Linux-Server-Systeme mit Anwendungen wie WWW- Server (Apache), POP-Server und FTP-Server (wu-ftpd) Cisco-Router

8 Gelbe/Ißleiber – Honeypots 8 Honeyd Erfahrungen (1) Wenige Stunden nach Inbetriebnahme bereits erste Attacken Statistik September 2003: Pings 599.396 Zugriffe aufTCP 14343.497.644 SQL-Server-PortUDP 1434 138.951 Lücke im RPC-DienstTCP 1352.374.480 UDP 137 358.916 TCP 4451.382.956 Blaster-WurmTCP 44441.022.498 Sieger im September: 61.74.81.35 (kornet.net = Provider in Korea) mit 928.398 Paketen

9 Gelbe/Ißleiber – Honeypots 9 Honeyd Erfahrungen (2) Attacken auf Applikationen: IIS ca 10.000 Sessions im September 2003 Suche nach Code Red GET /scripts/..%255c%255c../winnt/system32/cmd.exe?/c+dir FTP Suche nach offenen Usern: admin, guest, backup, z.B. 2000 Versuche von einem t-dialin.net Account Versuch, ein beschreibbares Verzeichnis zu finden

10 Gelbe/Ißleiber – Honeypots 10 Einsatzscenarien Wo/Wie kann ein Honeypot sinnvoll eingesetzt werden? Als dauerhaft installiertes System (Produktivsystem) Aufwand, die anfallenden Daten auszuwerten Anlocken von zu vielen Angreifern Problem: Wird von guten Hackern der Honepot als Honeypot erkannt, motiviert es den Hacker weitertzugehen Honeypots dienen i.d.R. der Statistik Wirkung der Honeypots fraglich bei Script gesteuerten Angriffen semiprofessioneller Hacker Juristisches Problem: Verleitung zu Angriffen ? AI

11 Gelbe/Ißleiber – Honeypots 11 Einsatzscenarien Wo/Wie kann ein Honeypot sinnvoll eingesetzt werden? Als mobiles System (sinnvoll) Sinnvoller Einsatz als Austauschsystem gegen Systeme, die kompromittiert wurden (Einbruch ist bereits erfolgt) Zur Verfolgung der Quelladresse bei Einbrüchen (etwaige Beweissicherung) Zur Rekonstruktion und Verfolgung eines Angriffes

12 Gelbe/Ißleiber – Honeypots 12 Einsatzscenarien Wie setze ich ein Honeypot richtig ein ? Auf einem minimalisiertem System (Linux, BSD, ohne X und weitere Dienste) System selbst solle durch Firewall (lokal) gesichert werden (LINUX -> IPTABLES) Einsatz nur in Umgebungen, die netztechnisch nicht in direkter Nähe von Produktivsystemen stehen Heonypot-System selbst darf nicht kompromittiert werden (wenig Dienste und Anwendungen auf dem System) Vor einer Firewall (oder in DMZ) Im realen IP-Adressbereich des Instituts

13 Gelbe/Ißleiber – Honeypots 13 Einsatzscenarien Welche Honeypot Systeme gibt es ? BackOfficer Friendly als Windows Anwendung (Freeware) Minimalprogramm zur Simulation von: (FTP,Telnet,SMTP,Imap,POP3,HTTP etc.) Geringer Leistungsumfang, schwache Auswertung Symmantec Decoy Server / ManTrap (Kostenpflichtig) Honeyd (OpenSource) Mittlerweile weit verbreitet Modular, Erweiterbar Im Wesentlichen für LINUX, aber (reduziert) auch für Windows erhältlich Honeyd wird in der Regel in Verbindung mit einem modifiziertem ARPD eingesetzt Kein Plug & Play – System, Handarbeit ist erforderlich

14 Gelbe/Ißleiber – Honeypots 14 Honeyd Beispiel Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG Variante) System booted von CD, volatile Daten werden auf USB Stick, Disk, oder HDD gespeichert (… Logfiles sowie Einstellungen etc.) OS läuft nur in RAMDISK System kann auf andere Rechner portiert werden (gute Hardwareerkennung wg. KNOPPIX) Bei Attacken auf honeyd ist die CD-Bootvariante weniger anfällig Bei ausreichendem Interesse der Institute, kann die GWDG eine vordefinierte Version als Bootimage/CD zur Verfügung stellen Diese Version enthält schon fertig definierte Sätze an OS und Servern/Diensten (Webserver, Mailserver, IIS, ADS)

15 Gelbe/Ißleiber – Honeypots 15 Honeyd Beispiel Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG Variante) Beispiel: Entscheidene Dateien: -config: Definition des OS, Dienste etc. -xprobe2.conf & nmap.prints: (Fingerprints der Systeme, IP-Stack, Verhalten) -Arpd (oder farpd): ARP Daemon (modifiziert) -Honeyd (Binary des Honeyd) -./scripts/* Scripte (Shell, Perl etc.) die das Verhalten der Dienste simulieren (POP3.sh, iis-emul.pl etc.) -Logfiles (/var/log/honeyd/*)

16 Gelbe/Ißleiber – Honeypots 16 Honeyd Beispiel Honeyd mit KNOPPIX/Debian LINUX Knoppix (GWDG Variante) Beispiel: # # Beispielkonfiguration GWDG, 8/2003, A.Issleiber # # CISCO router create cisco set cisco personality "CISCO 2620 running IOS 12.1(6)" add cisco tcp port 22 "/usr/bin/perl scripts/router-telnet.pl" add cisco tcp port 23 "/usr/bin/perl scripts/router-telnet.pl" set cisco default tcp action reset # Windows 2000 mit IIS 5 create windows set windows uptime 1748870 set windows uid 32767 gid 32767 set windows personality "Windows Millennim Edition (Me), Win 2000, or WinXP" add windows tcp port 80 "/usr/bin/perl scripts/win2k/iisemulator-0.95/iisemul8.pl" add windows tcp port 143 "/bin/sh scripts/win2k/exchange-imap.sh" add windows tcp port 25 "/bin/sh scripts/win2k/exchange-smtp.sh" add windows tcp port 110 "/bin/sh scripts/win2k/exchange-pop3.sh" add windows tcp port 119 "/bin/sh scripts/win2k/exchange-nntp.sh" add windows tcp port 389 "/bin/sh scripts/win2k/ldap.sh" add windows tcp port 21 "/bin/sh scripts/win2k/msftp.sh" set windows default tcp action reset # LINUX Suse 8.0 als Mailer etc. create suse80 set suse80 personality "Linux Kernel 2.4.0 - 2.4.18 (X86)" add suse80 tcp port 80 "/bin/sh scripts/suse8.0/apache.sh" add suse80 tcp port 23 "/bin/sh scripts/suse8.0/telnetd.sh" add suse80 tcp port 21 "/bin/sh scripts/suse8.0/proftpd.sh" add suse80 tcp port 22 "/bin/sh scripts/suse8.0/ssh.sh" #add suse80 tcp port 25 "/bin/sh scripts/suse8.0/sendmail.sh" add suse80 tcp port 25 "/bin/sh scripts/smtp.sh" add suse80 tcp port 110 "/bin/sh scripts/suse8.0/qpop.sh" add suse80 tcp port 143 "/bin/sh scripts/suse8.0/cyrus-imapd.sh" set suse80 default tcp action block set suse80 default tcp action reset set suse80 default udp action reset #set suse80 default icmp action block # Binden der Konfigurationen (Templates) an die IP-Adresse bind 192.168.1.3 windows bind 192.168.1.4 cisco bind 192.168.1.5 suse80 bind 192.168.1.6 suse70 bind 192.168.1.7 xp

17 Gelbe/Ißleiber – Honeypots 17 …. finish Danke! Fragen ?

Herunterladen ppt "Security-Workshop der GWDG, 6. – 8. 10. 2003, Göttingen 1 Honeypots oder Wer will an meine Honigtöpfe Bodo Gelbe Andreas Ißleiber."

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
allegro meets Internet

allegro meets Internet
Überwachung des Nagios-Servers

Überwachung des Nagios-Servers
IT-Sicherheitsforum Sicherheitswerkzeuge im Netzwerk

IT-Sicherheitsforum Sicherheitswerkzeuge im Netzwerk
Wie mache ich mein UNIX-System sicher(er)? Stefan Turowski.

Wie mache ich mein UNIX-System sicher(er)? Stefan Turowski.
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Inhalt – Technische Grundlagen

Inhalt – Technische Grundlagen
Webhosting unter Windows bei S+P AG 1. Vorstellung und Programm 2. Tarife mit ASP.NET bei der Schlund + Partner AG 3. Unterschiede / Features der Angebote.

Webhosting unter Windows bei S+P AG 1. Vorstellung und Programm 2. Tarife mit ASP.NET bei der Schlund + Partner AG 3. Unterschiede / Features der Angebote.
Installation der Linux-Musterlösung

Installation der Linux-Musterlösung
Lightweight Directory Access Protocol

Lightweight Directory Access Protocol
Windows auf öffentlichen PCs

Windows auf öffentlichen PCs
Webserver, © Till Hänisch 2002 Apache The open way.

Webserver, © Till Hänisch 2002 Apache The open way.
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang

Göttinger FunkLAN GoeMobile Chancen für den schnellen Netzzugang
PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.

PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.
Sicherheit in Rechnernetzen- Denial of Service- Attacken

Sicherheit in Rechnernetzen- Denial of Service- Attacken
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.

Fli4l Der Ein-Disketten-Router von Sebastian Röhl von Sebastian Röhl.

Ähnliche Präsentationen

Google-Anzeigen