Inhalt - DFN-CERT
Transcription
Inhalt - DFN-CERT
Honeypots und Honeywall in der Praxis DFNDFN-CERT Workshop, 02.03.2006 Stefan Kelm [email protected] Secorvo Security Consulting GmbH Ettlinger Straße 12-14 D-76137 Karlsruhe Tel. +49 721 255171-0 Fax +49 721 255171-100 [email protected] www.secorvo.de Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall „Roo“ im Einsatz Fazit © Secorvo 1 Honeypots Definition (Lance Spitzner, z.B. DFN-CERT WS 2005) z A honeypot is an information system resource whose value lies in unauthorized or illicit use of that resource z Has no production value, anything going to or from a honeypot is likely a probe, attack or compromise z Primary value to most organizations is information © Secorvo Vor- und Nachteile Vorteile z z z z Einfaches Konzept; schnelle Realisierung möglich Weniger Fehlalarme („false positives“) als z.B. IDS Ist in der Lage, neue Angriffe zu „fangen“ „Dem Angreifer über die Schulter schauen“ Nachteile z z z Eingeschränkte Sichtweise Administrativer Aufwand oft unterschätzt Ggf. erhöhtes Risiko © Secorvo 2 Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall „Roo“ im Einsatz Fazit © Secorvo Honeynet - GenIII © Secorvo Quelle: The Honeynet Project 3 Datenkontrolle No Restrictions Honeypot Internet Honeywall Connections Limited Packet Scrubbed Honeypot Quelle: The Honeynet Project © Secorvo Snort-Inline alert tcp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"DNS EXPLOIT named";flags: A+; content:"|CD80 E8D7 FFFFFF|/bin/sh"; alert tcp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"DNS EXPLOIT named";flags: A+; content:"|CD80 E8D7 FFFFFF|/bin/sh"; replace:"|0000 E8D7 FFFFFF|/ben/sh";) © Secorvo 4 Sebek3: Architektur Client-Server-basiert z z Client schneidet Daten auf dem Honeypot mit Server (auf der Honeywall) sammelt diese Daten UDP basierte Kommunikation Client Quelle: The Honeynet Project © Secorvo Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall „Roo“ im Einsatz Fazit © Secorvo 5 Installation Roo v1.0 Basiert auf Fedora Core 3 Boot-CD (ca. 325 MB ISO-Image) z z Installation dauert nur wenige Minuten Automatisches Reboot nach der Installation startet Härtungsskript z Bastille, CIS, NIST Automatische Konfiguration über Floppy möglich z z installiert sich direkt auf die Festplatte (keine Live-CD!) ca. 235 Software-Pakete (RPMs) honeywall.conf (vgl. Anhang A) Effektiver Rollout-Mechanismus Web-Interface „Walleye“ für Zugriff auf Logs © Secorvo © Secorvo Quelle: The Honeynet Project 6 Quelle: The Honeynet Project © Secorvo © Secorvo 7 © Secorvo © Secorvo 8 © Secorvo Prozessansicht © Secorvo 9 Die Praxis Drei verschiedene Honeypots, einzelne IP z Win2K SP4 (uralt) z OpenBSD 3.7 (unverändert) z z z Win XP Pro SP 2 (aktueller Patchlevel) z z + Sebek + mwcollectd (vgl. Vortrag von Thorsten Holz) Windows-Firewall aktiv + Wormradar Zeitraum: April 2005 - heute © Secorvo Die Praxis W2K SP4 z nach ca. 2 Wochen komplett übernommen z z System war irreparabel OpenBSD 3.7 z z z Versuchte W2K-Angriffe gingen weiter, nahmen dann ab Keine erfolgreichen Angriffe Mehrere versuchte “Wurmangriffe” täglich = Grundrauschen z insbesondere SqlSlammer Win XP Pro SP 2 z z Bisher keine erfolgreichen Angriffe Mehrere versuchte “Wurmangriffe” täglich = Grundrauschen z © Secorvo PWSteal.Trojan, Win32.WebSearch.j, Win32.Lager.o, SqlSlammer, ... SqlSlammer, Win32/RBot.ASN, SSH-probe, WebDAV, /sumthin, Win32.DipNet.a, Zero-day IE .WMF Exploit, ... 10 © Secorvo © Secorvo 11 Inhalt Das Honeypot-Konzept Die Architektur der Honeywall Die Honeywall „Roo“ im Einsatz Fazit © Secorvo Fazit Roo z z besitzt mit hflow eine mächtige, zentrale Komponente benötigt kaum Ressourcen z z z z z z z Ausnahme: mySQL (+ Web-Interface) hat noch einige “Kinderkrankheiten” ersetzt nicht den Know-How-Aufbau produziert auch etliche Fehlalarme, aber ... ... ist dennoch deutlich effektiver als "nur" IDS, etc. ist für immer mehr (große) Unternehmen interessant ist absolut praxistauglich, mehr als ein “Spielzeug” Ausblick z Roo 2.0 Beta seit 10.02.06 verfügbar © Secorvo 12 Secorvo Security Consulting GmbH Ettlinger Straße 12-14 D-76137 Karlsruhe Tel. +49 721 255171-0 Fax +49 721 255171-100 [email protected] www.secorvo.de 13