Honeypot - Druga linia obrony?

Wielkość: px

Rozpocząć pokaz od strony:

Download "Honeypot - Druga linia obrony?"

Antoni Piątkowski
8 lat temu
Przeglądów:

1 Bezpiecze ństwo systemów komputerowych. Temat seminarium: Honeypot Druga linia obrony? Autor: Tomasz Nazdrowicz Honeypot - Druga linia obrony? 1

2 Kiedy się idzie po miód z balonikiem, to trzeba się starać, żeby pszczoły nie wiedziały, po co się idzie. ( ) Z pszczołami nigdy nic nie wiadomo Kubuś Puchatek 2

3 Plan prezentacji - Wprowadzenie - Honeypot i IDS - Wady i zalety - Aspekt prawny - Przykładowe Honeypoty - Wirtualny Honeypot - Podsumowanie i literatura 3

4 Wprowadzenie Honeypot (z ang. garniec miodu) jest to specjalnie dedykowany system, którego podstawow ą funkcj ą jest bycie atakowanym i nadużywanym. Celem systemu jest zebranie informacji o hakerze oraz odciągnięcie jego uwagi od prawdziwego systemu. 4

podstawow ą funkcj ą jest bycie atakowanym i nadużywanym.

5 Wprowadzenie Honeynet jest to specjalnie wydzielona podsieć na której instalujemy kilka lub kilkanaście honeypotów. Sprawia on wrażenie systemu naturalnego, najczęściej wieloplatformowego pozbawionego szumu informacji z normalnego ruchu uż ytkowego. 5

Sprawia on wrażenie systemu naturalnego, najczęściej

6 Honeypot i IDS IDS (Intrusion Detection System) czyli systemy wykrywania włama ń, funkcjonuj ą na zasadzie sniffera, czyli przechwytuj ą pakiety i składaj ą je w sesj ę. Proces ten jest skomplikowany i powoduje, że tradycyjne IDSy posiadaj ą nisk ą wykrywalność ataków oraz mog ą generować fałszywe alarmy (ang. false positives) 6

7 Honeypot i IDS W praktycznych testach popularnych systemów IDS przeprowadzonych przez niezależn ą instytucj ę NSS Group ( w lipcu 2002r. okazało si ę, że nawet uznawane za dobrej klasy rozwiązania nie wykryły bardzo wielu ataków i to pomimo faktu, że sygnatury tych ataków były im znane. Systemy te nie wykryły od 5 do 40% ataków, przy zaledwie 40% obciążeniu sieci Fast Ethernet. 7

okazało si ę, że nawet uznawane za dobrej klasy rozwiązania nie wykryły bardzo wielu ataków i to

8 Honeypot i IDS Wyniki przeprowadzonych testów na 109 wykonanych ataków: - ISS Real-Secure 7.0 wykrył 94 - SNORT wykrył 74 - CISCO IDS 4230 wykrył 67 8

9 Honeypot i IDS Zapory ogniowe (firewalls), systemy wykrywania włama ń (IDS) połączone z Honeypotem mog ą stanowić kompleksowe zabezpieczenie sieci. Działanie takie polegać będzie na odciągnięcie uwagi intruza od serwerów pracujących, a zwrócenie uwagi na garnek miodu jako na najbardziej łakomy kąsek. 9

Działanie takie polegać będzie na odciągnięcie uwagi intruza od serwerów

10 Wady i zalety Zalety: - Gromadzenie danych mała ilość danych ale o dużej wartości. O technikach, lukach i narzędziach wykorzystywanych przez intruza oraz monitorowanie akcji przez niego podjętych, niezależnie od wykorzystanych technik utajniania transmisji (tzw. key logging) 10

O technikach, lukach i narzędziach wykorzystywanych przez intruza

11 Wady i zalety - Zasoby wiele z narzędzi używanych w bezpieczeństwie, może przestać spełniać swoje zadanie z powodu nadmiernej ilości danych kierowanych do nich lub zbyt dużej ilości akcji podejmowanych w systemie. Honeypoty nie posiadaj ą tej wady, zapisując wszystko, co do nich dochodzi. 11

kierowanych do nich lub zbyt dużej ilości akcji podejmowanych w systemie.

12 Wady i zalety Wady: - Pojedyncza sonda system staje si ę bezużyteczny, jeżeli nikt ich nie atakuje. Potrafi ą ułatwić zrozumienie samego ataku jak i jego celu, jednak jeżeli potencjalny intruz nie wysyła do przynęty żadnych pakietów, system przynęty będzie nieświadomy nieautoryzowanej aktywności 12

Potrafi ą ułatwić zrozumienie samego ataku jak i jego celu, jednak jeżeli

13 Wady i zalety - Ryzyko garnki miodu mog ą zwiększyć ryzyko całego systemu informacyjnego organizacji. Różne typy przynęt cechuj ą si ę różnym poziomem ryzyka. Niektóre z nich praktycznie nie zwiększaj ą ryzyka powodzenia ataku na systemy informacyjne, w którym s ą zainstalowane, inne za ś mog ą dać intruzowi możliwość wykorzystania ich jako systemu, z którego zacznie si ę właściwy atak. 13

Niektóre z nich praktycznie nie zwiększaj ą ryzyka powodzenia ataku na systemy informacyjne, w

14 Aspekt prawny Dodatkowym zastosowaniem Honeypotów jest zdobycie niepodważalnych dowodów włamania, które można wykorzystać do zlokalizowania włamywacza i udowodnienia mu winy w sądzie. Aspekt prawny można podzielić na dwa zagadnienia: - prowokacje - kwestia prywatności 14

zlokalizowania włamywacza i udowodnienia mu winy w sądzie.

15 Aspekt prawny - Prowokacja (ang. entrapment) daje jednak możliwość obrony w sądzie intruzowi, ze względu na złe zabezpieczenie Honeypotów i zbyt łatwy do nich dostęp. Dlatego twórcy Honeypotów radz ą organizacjom ustalić wszelkie aspekty prawne wdrożenia systemu przynęt z własnymi radcami prawnymi!! 15

złe zabezpieczenie Honeypotów i zbyt łatwy do nich dostęp.

16 Aspekt prawny - Kwestia prywatnoś ci można rozpatrzeć w dwóch przypadkach z jednej strony ze względu na pliki umieszczane przez intruza po złamaniu zabezpiecze ń, z drugiej ze względu na przejęciu: komunikacji, która przechodzi przez system przynęt oraz danych przechowywanych w systemie. 16

intruza po złamaniu zabezpiecze ń, z drugiej ze względu na przejęciu:

17 Przykładowe Honeypoty Technika zwana tarczą (ang. shield) polega na przekierowywaniu portów na bramce do Internetu. Np. Telnet (port 23) czy SMTP (25) 17

18 Przykładowe Honeypoty Technika zwana Zoo polega na stworzeniu w pełni wirtualnych podsieci, które kuszą napastnika słabymi zabezpieczeniami. Intruz zostaje wpuszczony do sztucznego środowiska, w którym jest obserwowany. 18

19 Przykładowe Honeypoty Można skorzystać z gotowych rozwiąza ń oferujących Honeypoty: SmallPot, Tiny Honeypot, KFSensor, Symantec ManTrap, BackOfficer Friendly, Specter 19

20 Przykładowe Honeypoty Programy te s ą przygotowane do rejestrowania ruchu: - wirusów (Virus) - robaków (Worm) - koni trojańskich (Trojan) - hakerów 20

21 Wirtualny Honeypot Do stworzenia Wirtualnego Honeypota posłuży jądro systemu typu UML (User Mode Linux), które może pracować jako zwykły proces użytkownika w systemie macierzystym. UML posiada niezaprzeczalne walory edukacyjne, użytkownicy mog ą rozwijać nowe wersje jądra. Pozwala on wykreować wirtualn ą maszyn ę o dowolnych parametrach sprzętowych oraz programowych, z dostępem do wybranych komponentów realnie istniejącego komputera. 21

22 Wirtualny Honeypot Dzięki Wirtualnym Honeypotom mamy także możliwość stworzenia całej wirtualnej sieci, czyli honeynetu. Np. w celu stworzenia 3 hostów: Windows NT, Linux oraz routera CISCO należy wpisać w pliku konfiguracyjnym: 22

23 Wirtualny Honeypot ### Windows computers create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset set windows default udp action reset add windows tcp port 80 "perl scripts/iis-0.95/iisemul8.pl" add windows tcp port 139 open add windows tcp port 137 open add windows udp port 137 open add windows udp port 135 open set windows uptime bind windows 23

24 Wirtualny Honeypot ### Linux 2.4.x computer create linux set linux personality "Linux " set linux default tcp action reset set linux default udp action reset add linux tcp port 110 "sh scripts/pop/emulate-pop3.sh" #set linux subsystem "/usr/sbin/httpd" add linux tcp port 21 "sh scripts/ftp.sh" set linux uptime bind linux 24

25 Wirtualny Honeypot ### Cisco router create router set router personality "Cisco IOS (11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl" set router uid gid set router uptime bind router 25

26 Podsumowanie: Systemy Honeypot s ą po prostu narzędziem. Sposób użycia tego narzędzia zależy tylko od użytkownika. Istnieje wiele różnych rodzajów systemów przynęt, z których każda posiada różny stopie ń przydatności. Niezależnie od rodzaju przynęty, należy zwracać uwag ę na jej poziom interakcji z intruzem. Oznacza to, że im więcej działa ń intruz może wykonać w przynęcie, tym więcej informacji może zdobyć jej administrator, jednak tym realniejsze równie ż ryzyko. 26

27 Podsumowanie: Łatwo spędzić swoje życie martwiąc si ę, czy Twoje systemy s ą bezpieczne. Faktycznie nie ma czego ś takiego jak absolutne bezpieczeństwo. W tych okolicznościach, sens ma posiadanie drugiej linii obrony. Honeypoty mog ą oderwać intruzów od Twoich wartościowych danych i wysłać ich w nieszkodliwe miejsce, zostawiając Tobie czas na odpowiednie działanie Ian Kilpatrick 27

28 Literatura: D. Kruk, Zabezpieczenie sieci za pomoc ą programu typu garnek miodu PCKurier 2/2002 L. Spitzner, Honeypots Definitions and Value of Honeypots

Podobne dokumenty

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela