Inhalt - DFN-CERT

Honeypots und Honeywall
in der Praxis
DFNDFN-CERT Workshop, 02.03.2006
Stefan Kelm
[email protected]
Secorvo Security Consulting GmbH
Ettlinger Straße 12-14
D-76137 Karlsruhe
Tel. +49 721 255171-0
Fax +49 721 255171-100
[email protected]
www.secorvo.de
Inhalt
‹
Das Honeypot-Konzept
‹
Die Architektur der Honeywall
‹
Die Honeywall „Roo“ im Einsatz
‹
Fazit
© Secorvo
1
Honeypots
‹
Definition (Lance Spitzner, z.B. DFN-CERT WS 2005)
z
A honeypot is an information system resource whose value
lies in unauthorized or illicit use of that resource
z
Has no production value, anything going to or from a
honeypot is likely a probe, attack or compromise
z
Primary value to most organizations is information
© Secorvo
Vor- und Nachteile
‹
Vorteile
z
z
z
z
‹
Einfaches Konzept; schnelle Realisierung möglich
Weniger Fehlalarme („false positives“) als z.B. IDS
Ist in der Lage, neue Angriffe zu „fangen“
„Dem Angreifer über die Schulter schauen“
Nachteile
z
z
z
Eingeschränkte Sichtweise
Administrativer Aufwand oft unterschätzt
Ggf. erhöhtes Risiko
© Secorvo
2
Inhalt
‹
Das Honeypot-Konzept
‹
Die Architektur der Honeywall
‹
Die Honeywall „Roo“ im Einsatz
‹
Fazit
© Secorvo
Honeynet - GenIII
© Secorvo
Quelle: The Honeynet Project
3
Datenkontrolle
No Restrictions
Honeypot
Internet
Honeywall
Connections Limited
Packet Scrubbed
Honeypot
Quelle: The Honeynet Project
© Secorvo
Snort-Inline
alert tcp $EXTERNAL_NET any -> $HOME_NET 53
(msg:"DNS EXPLOIT named";flags: A+;
content:"|CD80 E8D7 FFFFFF|/bin/sh";
alert tcp $EXTERNAL_NET any -> $HOME_NET 53
(msg:"DNS EXPLOIT named";flags: A+;
content:"|CD80 E8D7 FFFFFF|/bin/sh";
replace:"|0000 E8D7 FFFFFF|/ben/sh";)
© Secorvo
4
Sebek3: Architektur
‹
Client-Server-basiert
z
z
Client schneidet Daten auf dem Honeypot mit
Server (auf der Honeywall) sammelt diese Daten
UDP basierte
Kommunikation
Client
Quelle: The Honeynet Project
© Secorvo
Inhalt
‹
Das Honeypot-Konzept
‹
Die Architektur der Honeywall
‹
Die Honeywall „Roo“ im Einsatz
‹
Fazit
© Secorvo
5
Installation Roo v1.0
‹
‹
Basiert auf Fedora Core 3
Boot-CD (ca. 325 MB ISO-Image)
z
z
‹
‹
Installation dauert nur wenige Minuten
Automatisches Reboot nach der Installation startet
Härtungsskript
z
‹
Bastille, CIS, NIST
Automatische Konfiguration über Floppy möglich
z
z
‹
installiert sich direkt auf die Festplatte (keine Live-CD!)
ca. 235 Software-Pakete (RPMs)
honeywall.conf (vgl. Anhang A)
Effektiver Rollout-Mechanismus
Web-Interface „Walleye“ für Zugriff auf Logs
© Secorvo
© Secorvo
Quelle: The Honeynet Project
6
Quelle: The Honeynet Project
© Secorvo
© Secorvo
7
© Secorvo
© Secorvo
8
© Secorvo
Prozessansicht
© Secorvo
9
Die Praxis
‹
Drei verschiedene Honeypots, einzelne IP
z
Win2K SP4 (uralt)
z
OpenBSD 3.7 (unverändert)
z
z
z
Win XP Pro SP 2 (aktueller Patchlevel)
z
z
‹
+ Sebek
+ mwcollectd (vgl. Vortrag von Thorsten Holz)
Windows-Firewall aktiv
+ Wormradar
Zeitraum: April 2005 - heute
© Secorvo
Die Praxis
‹
W2K SP4
z
nach ca. 2 Wochen komplett übernommen
z
z
‹
System war irreparabel
OpenBSD 3.7
z
z
z
Versuchte W2K-Angriffe gingen weiter, nahmen dann ab
Keine erfolgreichen Angriffe
Mehrere versuchte “Wurmangriffe” täglich = Grundrauschen
z
‹
insbesondere SqlSlammer
Win XP Pro SP 2
z
z
Bisher keine erfolgreichen Angriffe
Mehrere versuchte “Wurmangriffe” täglich = Grundrauschen
z
© Secorvo
PWSteal.Trojan, Win32.WebSearch.j, Win32.Lager.o, SqlSlammer, ...
SqlSlammer, Win32/RBot.ASN, SSH-probe, WebDAV,
/sumthin, Win32.DipNet.a, Zero-day IE .WMF Exploit, ...
10
© Secorvo
© Secorvo
11
Inhalt
‹
Das Honeypot-Konzept
‹
Die Architektur der Honeywall
‹
Die Honeywall „Roo“ im Einsatz
‹
Fazit
© Secorvo
Fazit
‹
Roo
z
z
besitzt mit hflow eine mächtige, zentrale Komponente
benötigt kaum Ressourcen
z
z
z
z
z
z
z
‹
Ausnahme: mySQL (+ Web-Interface)
hat noch einige “Kinderkrankheiten”
ersetzt nicht den Know-How-Aufbau
produziert auch etliche Fehlalarme, aber ...
... ist dennoch deutlich effektiver als "nur" IDS, etc.
ist für immer mehr (große) Unternehmen interessant
ist absolut praxistauglich, mehr als ein “Spielzeug”
Ausblick
z
Roo 2.0 Beta seit 10.02.06 verfügbar
© Secorvo
12
Secorvo Security Consulting GmbH
Ettlinger Straße 12-14
D-76137 Karlsruhe
Tel. +49 721 255171-0
Fax +49 721 255171-100
[email protected]
www.secorvo.de
13