Honeypot - Druga linia obrony?

Bezpiecze ństwo systemów komputerowych. Temat seminarium: Honeypot Druga linia obrony? Autor: Tomasz Nazdrowicz Honeypot - Druga linia obrony? 1

Kiedy się idzie po miód z balonikiem, to trzeba się starać, żeby pszczoły nie wiedziały, po co się idzie. ( ) Z pszczołami nigdy nic nie wiadomo Kubuś Puchatek 2

Plan prezentacji - Wprowadzenie - Honeypot i IDS - Wady i zalety - Aspekt prawny - Przykładowe Honeypoty - Wirtualny Honeypot - Podsumowanie i literatura 3

Wprowadzenie Honeypot (z ang. garniec miodu) jest to specjalnie dedykowany system, którego podstawow ą funkcj ą jest bycie atakowanym i nadużywanym. Celem systemu jest zebranie informacji o hakerze oraz odciągnięcie jego uwagi od prawdziwego systemu. 4

Wprowadzenie Honeynet jest to specjalnie wydzielona podsieć na której instalujemy kilka lub kilkanaście honeypotów. Sprawia on wrażenie systemu naturalnego, najczęściej wieloplatformowego pozbawionego szumu informacji z normalnego ruchu uż ytkowego. 5

Honeypot i IDS IDS (Intrusion Detection System) czyli systemy wykrywania włama ń, funkcjonuj ą na zasadzie sniffera, czyli przechwytuj ą pakiety i składaj ą je w sesj ę. Proces ten jest skomplikowany i powoduje, że tradycyjne IDSy posiadaj ą nisk ą wykrywalność ataków oraz mog ą generować fałszywe alarmy (ang. false positives) 6

Honeypot i IDS W praktycznych testach popularnych systemów IDS przeprowadzonych przez niezależn ą instytucj ę NSS Group ( www.nss.co.uk) w lipcu 2002r. okazało si ę, że nawet uznawane za dobrej klasy rozwiązania nie wykryły bardzo wielu ataków i to pomimo faktu, że sygnatury tych ataków były im znane. Systemy te nie wykryły od 5 do 40% ataków, przy zaledwie 40% obciążeniu sieci Fast Ethernet. 7

Honeypot i IDS Wyniki przeprowadzonych testów na 109 wykonanych ataków: - ISS Real-Secure 7.0 wykrył 94 - SNORT wykrył 74 - CISCO IDS 4230 wykrył 67 8

Honeypot i IDS Zapory ogniowe (firewalls), systemy wykrywania włama ń (IDS) połączone z Honeypotem mog ą stanowić kompleksowe zabezpieczenie sieci. Działanie takie polegać będzie na odciągnięcie uwagi intruza od serwerów pracujących, a zwrócenie uwagi na garnek miodu jako na najbardziej łakomy kąsek. 9

Wady i zalety Zalety: - Gromadzenie danych mała ilość danych ale o dużej wartości. O technikach, lukach i narzędziach wykorzystywanych przez intruza oraz monitorowanie akcji przez niego podjętych, niezależnie od wykorzystanych technik utajniania transmisji (tzw. key logging) 10

Wady i zalety - Zasoby wiele z narzędzi używanych w bezpieczeństwie, może przestać spełniać swoje zadanie z powodu nadmiernej ilości danych kierowanych do nich lub zbyt dużej ilości akcji podejmowanych w systemie. Honeypoty nie posiadaj ą tej wady, zapisując wszystko, co do nich dochodzi. 11

Wady i zalety Wady: - Pojedyncza sonda system staje si ę bezużyteczny, jeżeli nikt ich nie atakuje. Potrafi ą ułatwić zrozumienie samego ataku jak i jego celu, jednak jeżeli potencjalny intruz nie wysyła do przynęty żadnych pakietów, system przynęty będzie nieświadomy nieautoryzowanej aktywności 12

Wady i zalety - Ryzyko garnki miodu mog ą zwiększyć ryzyko całego systemu informacyjnego organizacji. Różne typy przynęt cechuj ą si ę różnym poziomem ryzyka. Niektóre z nich praktycznie nie zwiększaj ą ryzyka powodzenia ataku na systemy informacyjne, w którym s ą zainstalowane, inne za ś mog ą dać intruzowi możliwość wykorzystania ich jako systemu, z którego zacznie si ę właściwy atak. 13

Aspekt prawny Dodatkowym zastosowaniem Honeypotów jest zdobycie niepodważalnych dowodów włamania, które można wykorzystać do zlokalizowania włamywacza i udowodnienia mu winy w sądzie. Aspekt prawny można podzielić na dwa zagadnienia: - prowokacje - kwestia prywatności 14

Aspekt prawny - Prowokacja (ang. entrapment) daje jednak możliwość obrony w sądzie intruzowi, ze względu na złe zabezpieczenie Honeypotów i zbyt łatwy do nich dostęp. Dlatego twórcy Honeypotów radz ą organizacjom ustalić wszelkie aspekty prawne wdrożenia systemu przynęt z własnymi radcami prawnymi!! 15

Aspekt prawny - Kwestia prywatnoś ci można rozpatrzeć w dwóch przypadkach z jednej strony ze względu na pliki umieszczane przez intruza po złamaniu zabezpiecze ń, z drugiej ze względu na przejęciu: komunikacji, która przechodzi przez system przynęt oraz danych przechowywanych w systemie. 16

Przykładowe Honeypoty Technika zwana tarczą (ang. shield) polega na przekierowywaniu portów na bramce do Internetu. Np. Telnet (port 23) czy SMTP (25) 17

Przykładowe Honeypoty Technika zwana Zoo polega na stworzeniu w pełni wirtualnych podsieci, które kuszą napastnika słabymi zabezpieczeniami. Intruz zostaje wpuszczony do sztucznego środowiska, w którym jest obserwowany. 18

Przykładowe Honeypoty Można skorzystać z gotowych rozwiąza ń oferujących Honeypoty: SmallPot, Tiny Honeypot, KFSensor, Symantec ManTrap, BackOfficer Friendly, Specter 19

Przykładowe Honeypoty Programy te s ą przygotowane do rejestrowania ruchu: - wirusów (Virus) - robaków (Worm) - koni trojańskich (Trojan) - hakerów 20

Wirtualny Honeypot Do stworzenia Wirtualnego Honeypota posłuży jądro systemu typu UML (User Mode Linux), które może pracować jako zwykły proces użytkownika w systemie macierzystym. UML posiada niezaprzeczalne walory edukacyjne, użytkownicy mog ą rozwijać nowe wersje jądra. Pozwala on wykreować wirtualn ą maszyn ę o dowolnych parametrach sprzętowych oraz programowych, z dostępem do wybranych komponentów realnie istniejącego komputera. 21

Wirtualny Honeypot Dzięki Wirtualnym Honeypotom mamy także możliwość stworzenia całej wirtualnej sieci, czyli honeynetu. Np. w celu stworzenia 3 hostów: Windows NT, Linux oraz routera CISCO należy wpisać w pliku konfiguracyjnym: 22

Wirtualny Honeypot ### Windows computers create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset set windows default udp action reset add windows tcp port 80 "perl scripts/iis-0.95/iisemul8.pl" add windows tcp port 139 open add windows tcp port 137 open add windows udp port 137 open add windows udp port 135 open set windows uptime 3284460 bind 192.168.1.201 windows 23

Wirtualny Honeypot ### Linux 2.4.x computer create linux set linux personality "Linux 2.4.16-2.4.18" set linux default tcp action reset set linux default udp action reset add linux tcp port 110 "sh scripts/pop/emulate-pop3.sh" #set linux subsystem "/usr/sbin/httpd" add linux tcp port 21 "sh scripts/ftp.sh" set linux uptime 3284460 bind 192.168.1.202 linux 24

Wirtualny Honeypot ### Cisco router create router set router personality "Cisco IOS 11.3-12.0(11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl" set router uid 32767 gid 32767 set router uptime 1327650 bind 192.168.1.203 router 25

Podsumowanie: Systemy Honeypot s ą po prostu narzędziem. Sposób użycia tego narzędzia zależy tylko od użytkownika. Istnieje wiele różnych rodzajów systemów przynęt, z których każda posiada różny stopie ń przydatności. Niezależnie od rodzaju przynęty, należy zwracać uwag ę na jej poziom interakcji z intruzem. Oznacza to, że im więcej działa ń intruz może wykonać w przynęcie, tym więcej informacji może zdobyć jej administrator, jednak tym realniejsze równie ż ryzyko. 26

Podsumowanie: Łatwo spędzić swoje życie martwiąc si ę, czy Twoje systemy s ą bezpieczne. Faktycznie nie ma czego ś takiego jak absolutne bezpieczeństwo. W tych okolicznościach, sens ma posiadanie drugiej linii obrony. Honeypoty mog ą oderwać intruzów od Twoich wartościowych danych i wysłać ich w nieszkodliwe miejsce, zostawiając Tobie czas na odpowiednie działanie Ian Kilpatrick 27

Literatura: D. Kruk, Zabezpieczenie sieci za pomoc ą programu typu garnek miodu PCKurier 2/2002 L. Spitzner, Honeypots Definitions and Value of Honeypots www.hacking.pl www.project.honeynet.org www.telenetforum.pl www.itsecurity.com 28