Praca m agisterska. inż Tom asz Dziurzyński. Promotor: dr in ż. Anna Grocholewska-Czuryło Koreferent: dr hab. in ż Janusz Stokłosa, prof. PP.

Transkrypt

1 Praca m agisterska Przyn ę ty internetowe jako narz ę dzie wspomagaj ą ce wykrywanie włamań w ś rodowisku linuksowym inż Tom asz Dziurzyński Promotor: dr in ż. Anna Grocholewska-Czuryło Koreferent: dr hab. in ż Janusz Stokłosa, prof. PP.

2 2 Praca m agisterska Zało ż enia i wymagania: stworzenie zamkniętego środowiska przynęty oraz dokumentacji ułatwiającej projektowanie takich systemów Zadania szczegółowe: przegląd i ocena dostępnych, wybranych architektur i rozwiązań stworzenie środowiska monitorowanie stanu systemu badanie działa ń intruza

3 3 Plan prezentacji HoneyPot HoneyNet Moja architektura Wykorzystane techniki i narz ę dzia Film ;)

4 HoneyPots Zasób, którego przeznaczeniem jest bycie próbkowanym, atakowanym, kompromitowanym Nie jest to ś rodowisko produkcyjne, dlatego wszystko co wchodzi, wychodzi z przyn ę ty jest najprawdopodobniej prób ą, atakiem, lub przej ę ciem systemu Zalety: Zbiera relatywnie mało danych, lecz bardzo cennych Redukcja false positives nowe/nieznane ataki/robaki Wady: Ograniczony pole działania Ryzyko (przynęty wysokiej interakcji) 4

5 5 HoneyD jako przykład HoneyPots HoneyD przyn ę ta low-interaction. Cechy: Tworzy wirtualne hosty połączone w sieć, które wyglądaj ą jak działające systemy operacyjne, symuluje topologi ę sieci przez konfiguracj ę opóźnie ń oraz współczynnika gubienia pakietów Symulacja stosu TCP/IP danego systemu operacyjnego Symulacja uruchomionych demonów, za pomoc ą skryptów

6 6 HoneyD przykład # Cisco router # create router set router personality "Cisco 4500-M running IOS 11.3(6) IP Plus" add router tcp port 23 "/usr/bin/perl scripts/router- telnet.pl" set router default tcp action reset set router uptime bind router

7 7 HoneyNet HoneyPoty o wysokiej interakcji, poł ą czone w sieć Szczegółowo kontrolowana sieć, gdzie ka ż dy pakiet wchodz ą cy, b ą d ź opuszczaj ą cy przyn ę te jest monitorowany, logowany, analizowany Jest to architektura, a nie pojedynczy produkt lub program Kiedy dojdzie do przej ę cia systemu, zebrane dane posłu żą do analizy nowych narz ę dzi, technik, motywów działania

8 HoneyNet Architektura Internet uczelnia x.x Hub HoneyWall gen2 BridgeMode FireWall SnortInline Snort Tcpdum p Logowanie aktywności intruzów Honeypot Honeypot Honeypot Honeypot x.x/ 25 8

9 9 HoneyNet Wymagania Kontrola danych jest miejscem słu żą cym do kontroli pakietów przepływaj ą cych ze skompromitowanej przyn ę ty do reszty sieci Internet. Bez tej kontroli jest du ż e ryzyko, ż e nasza przyn ę ta zostanie wykorzystana do przeprowadzania dalszych ataków, a wła ś ciciel przyn ę ty b ę dzie za nie odpowiedzialny. Kontrola danych musi mieć najwy ż szy priorytet!

10 10 Kontrola danych FireWall Poł ą czenia przychodz ą ce wpuszczane s ą wszystkie, dokładne logowanie (czas, rodzaj pakietu, adres) Ograniczenie poł ą cze ń wychodz ą cych: Zliczanie wychodzących połącze ń, dla każdej przynęty, z uwzględnieniem protokołu (tcp,udp,icmp,other) Ochrona przed wyjściem niepoprawnych pakietów Ponad 120 reguł Poł ą czenia wychodz ą ce - dane wej ś ciowe dla SnortInline

11 11 Kontrola danych SnortInline User space Decyzja SnortInline Co zrobi ć z pakietem? - odrzucić - zm odyfikować - przepu ś ci ć Kernel space ip_queue Warstwa2 Iptables Warstwa2 eth1 Warstwa1 Warstwa1 eth0

12 12 Kontrola danych SnortInline alert tcp $HONEY_NET any -> $INTERNET 53 (msg:"dns EXPLOIT named";flags: A+; content:" CD80 E8D7 FFFFFF /bin/sh"; replace:" 0000 E8D7 FFFFFF /ben/sh";)

13 Zbierane informacje Sieciowe: IDS Snort Tcpdump (sniffer) NIPS SnortInline FireWall - iptables Systemowe: Logi systemowe z demona syslogd Aktywno ś ć u ż ytkowników z UML'a naciskane klawisze, pełne zrzuty ekranu Wszystkie mechanizmy maj ą zalety i wady. Dopiero po zjednoczeniu sił mamy pełn ą kontrol ę nad sytuacj ą. 13

14 14 Logi firewalla mysql CREATE TABLE fwlogs ( id INT(10) NOT NULL auto_increment, hid varchar(8) timestamp datetime type varchar(10) status varchar(10) protocol varchar(10) srcip varchar(15) srcport INT(5) dstip varchar(15) dstport INT(5) icmptype INT(2) icmpcode INT(2) PRIMARY KEY (id), INDEX (hid), INDEX (timestamp), INDEX (type), INDEX (status));

15 15 Statystyki 2 dni istnienia przyn ę ty: ponad 700 różnych adresów IP 9812 pakietów 51% tcp, 41% udp, 8% icmp R ę czne przej ę cie kontroli nad przyn ę t ą 15minut Robak 92 sekundy Domy ś lna instalacja RH godziny Wzrost aktwywno ś ci o 900% w 2001 w stosunku do 2000 roku Mo ż e być tylko gorzej! papers/ stats/

16 16 icmp linux/windows 05/28-20:00: :2:B3:29:67:C9 -> 0:1:2:20:27:41 type:0x800 len:0x > x.x ICMP TTL:51 TOS:0x80 ID:30224 IpLen:20 DgmLen:84 Type:8 Code:0 ID:4891 Seq:14730 ECHO A 0B 0C 0D 0E 0F A 1B 1C 1D 1E 1F !"#$%&' A 2B 2C 2D 2E 2F ()*+,-./ A 3B 3C 3D 3E 3F 89:;<=>? 05/30-23:16: :2:B3:29:67:C9 -> 0:1:2:20:27:41 type:0x800 len:0x4a > x.x ICMP TTL:121 TOS:0x0 ID:45580 IpLen:20 DgmLen:60 Type:8 Code:0 ID:512 Seq:11776 ECHO A 6B 6C 6D 6E 6F 70 abcdefghijklmnop qrstuvwabcdefghi

17 17 Czego nie robi ę : Nie ogłaszam nigdzie istnienia przyn ę ty Nie zach ę cam do jej atakowania Nie włamuje si ę sam do siebie ;)

18 18 Metodologia Masowe skanowanie systemów, w poszukiwaniu łatwego celu Je ż eli tylko 1% systemów posiada okre ś lon ą dziur ę, a przeszukanych zostanie hostów, to i tak mo ż na potencjalnie włamać si ę do komputerów

19 19 HoneyNet Ryzyko HoneyNet s ą bardzo skomplikowane, wymagaj ą dodatkowych zasobów sprz ę towych oraz stałego nadzoru wykwalifikowanego operatora Jako przyn ę ty wysokiej interakcji, mog ą być u ż yte do atakowania innych systemów wobec czego s ą technologi ą wysokiego ryzyka. Dlatego tak wa ż ny jest nadzór nad działaniem przyn ę ty oraz warstwa kontroli danych.

20 20 Pytania HoneyNet