Ozgur Yazilim ve Linux Gunleri 2010 Bilgi Universitesi - honeynet acik tuzak aglari

Transcript

1. Honeynet: Açık Kaynak Tuzak Ağları Bâkır EMRE 02-04-10

2. None

3. Internet

4. İlk Worm, ama Son olmayacak! Morris Worm 6000 cihaz etkisiz

   halde (internet üzerindeki 10 makineden biri!)

5. Güvenlik geriden gelir. Yeni saldırılar, Yeni atak tipleri vs Güvenlik

   hep ikinci planda (protokol tasarımı, uygulama güvenliği vs)

6. •  Botnetler •  0day açıklıkları •  İşletim sistemi açıklıkları vs.

   •  Virus, malware vs •  Protokol açıklıkları

7. botnet/DDoS

8. çete üyesi ol! Yeni bir yaklaşım(olmasa da). hafiyelik yapmak. Örgüt,

   çete üyesi olma!, çetenin/mafya liderini ele geçir. ve/veya ne yapmaya çalıştıklarını anla.
9. None

10. Tuzak Sistemi (honeypot) Tuzak sistemi : Sahip olduğu kaynağın izinsiz

    veya yetkisiz kullanımı sırasında, kullananı yanıltacak şekilde cevaplar veren bir bilgi sistemi kaynağıdır.

11. Az ama “Öz” kayıt Yeni atak türleri Yanlış alarm üretmez!

    Şifreli trafikte bile işe yarar
12. None

13. Düşük etkileşimli tuzak sistemleri

14. DETS - avantaj/dezavantaj :) Erişilebilecek bir işletim sistemi sunmaz Taklit

    edilmiş servisler sunar. Kolay bir şekilde bakımı/idamesi yapılabilir. Çok az risk ihtiva eder. :( Bilinen atakları yakalayabilir. Tuzak sistemi olduğu kolayca anlaşılabilir. Çok sınırlı kayıt alma yeteneği.

15. honeyd •  İşletim sistemlerini TCP/IP stack seviyesinde taklit edebilme(nmap, Xprobe

    kandırma yeteneği) •  Eşzamanlı istenilen sayıda şletim sistemi, servis taklidi •  Script dilleri ile yeni servis, sistem tanımlama

16. honeyd

17. honeyd yapılandırma # File: /etc/defaults/honeyd # Defaults for honeyd initscript

    # run as a daemon RUN="yes" # Network interface where honeyd will listen INTERFACE="eth0" # Network under control od honeyd (in my case: just one host) NETWORK=192.168.1.50 # Options # -c hostname:port:username:password OPTIONS="-c localhost:12345:username:password"

18. route entry 10.0.0.100 network 10.0.0.0/16 route 10.0.1.100 add net 10.1.1.0/24

    10.1.0.100 latency 50ms loss 0.1 bandwidth 1Mbps create router set router personality "Cisco IOS 11.3 - 12.0(11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl" set router uid 32767 gid 32767 set router uptime 1327650 bind 10.0.0.100 router bind 10.0.1.100 router create windows set windows personality "Windows NT 4.0 Server SP5-SP6" add windows tcp port 80 "perl scripts/iis-0.95/iisemul8.pl" add windows tcp port 139 open add windows tcp port 137 open add windows udp port 137 open add windows udp port 135 open set windows default tcp action reset set windows default udp action reset

19. create win2k set win2k personality "Windows 2000 server SP2" set

    win2k default tcp action reset set win2k default udp action reset set win2k default icmp action block set win2k uptime 3567 set win2k droprate in 13 add win2k tcp port 21 "sh scripts/win32/win2k/msftp.sh $ipsrc $sport $ipdst $dport" add win2k tcp port 25 "sh scripts/win32/win2k/exchange-smtp.sh $ipsrc $sport $ipdst $dport" add win2k tcp port 80 "sh scripts/win32/win2k/iis.sh $ipsrc $sport $ipdst $dport" add win2k tcp port 110 "sh scripts/win32/win2k/exchange-pop3.sh $ipsrc $sport $ipdst $dport" add win2k tcp port 143 "sh scripts/win32/win2k/exchange-imap.sh $ipsrc $sport $ipdst $dport" add win2k tcp port 389 "sh scripts/win32/win2k/ldap.sh $ipsrc $sport $ipdst $dport" add win2k tcp port 5901 "sh scripts/win32/win2k/vnc.sh $ipsrc $sport $ipdst $dport" add win2k udp port 161 "perl scripts/unix/general/snmp/fake-snmp.pl public private –config=scripts/unix/general" ### Linux Suse 8.0 template create suse80 set suse80 personality "Linux 2.4.7 (X86)" set suse80 default tcp action reset set suse80 default udp action block set suse80 default icmp action open set suse80 uptime 79239 set suse80 droprate in 4 add suse80 tcp port 21 "sh scripts/unix/linux/suse8.0/proftpd.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 22 "sh scripts/unix/linux/suse8.0/ssh.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 23 "sh scripts/unix/linux/suse8.0/telnetd.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 25 "sh scripts/unix/linux/suse8.0/sendmail.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 79 "sh scripts/unix/linux/suse8.0/fingerd.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 80 "sh scripts/unix/linux/suse8.0/apache.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 110 "sh scripts/unix/linux/suse8.0/qpop.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 111"perl scripts/unix/general/rpc/bportmapd --proto tcp --host scripts/unix/general/rpc/hosts/debian --srcip $ipsrc --dstip $ipdst --srcport $srcport -- dstport $dport --logfile /var/log/honeyd --logall" add suse80 tcp port 143 "sh scripts/unix/linux/suse8.0/cyrus-imapd.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 515 "sh scripts/unix/linux/suse8.0/lpd.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 3128 "sh scripts/unix/linux/suse8.0/squid.sh $ipsrc $sport $ipdst $dport" add suse80 tcp port 8080 "sh scripts/unix/linux/suse8.0/squid.sh $ipsrc $sport $ipdst $dport"

20. farpd farpd : IP adresi için ARP isteklerine karşı ARP

    cevabı döner farpd 192.168.1.50 -i eth0 Smtp servisi için EHLO, SEND, RCPT, HELP Ftp servisi için put, get, dir vs çeşitli komutlara karşılık (daha iyi) scriptler yazılması

21. Yüksek etkileşimli Tuzak Sistemleri

22. Gerçek bir topoloji/ağ ortamı sunar. Gerçek bir işletim sistemi sunar.

    Gerçek servisler, sunucular: web sunucu ftp sunucu vs Veri kontrolü Veri yakalama Veri analizi

23. YETS - avantaj/dezavantaj :) Gerçek veriler, gerçek ataklar dolayısıyla çok

    değerli veriler elde edilir. Saldırganın kullandığı araçlar, metodolojilerden haberdar olma gelecek ataklardan korunma ve oluşabilecek açıklıklardan daha önce haberdar olma :( honeynet'i kurma, yapılandırma, idame etme (ids,güvenlik duvarı, servis kurulumları yapılandırmaları) Düzgün yapılandırılmamış güvenlik duvarları, ids vs kurumun bütün ağına sızma girişime yol açabilir
24. None

25. honeywall •  CentOS tabanlı Bridge modda çalışan özelleşmiş bir ağ

    geçidi •  Gelen bütün trafiğe izin verir, ağdan çıkan trafiği ise kontrol altına alır. •  Walleye – web tabanlı Arayüz
26. None

27. Sebek •  İstemci – Sunumcu mimarisine sahip veri yakalama aracı.

    •  Arkaplanda çalışan kernel modulü •  Klavye kayıtlarını, dosya gönderilerini, şifreleri vs kaydedip bunu sebek sucuya gönderir •  Istemci honeypot üzerinde, sunucu ise honeywall üzerinde çalışır. •  Honeywall üzerindeki snort, tcpdump vs kullanarak ağ trafiğini dinler. •  “read”, “write” “socket” “open”, “fork” vs

28. Sonuç • Honeypotlar araştırma projelerinde kullanılabilir • Saldırganların atak yöntemleri öğrenilerek, kendi

    bilgi birikiminizi (hacking) , ağı korumaya yönelik bilgilerinizi artırabilirsiniz.
29. None

30. Sorular?