Praca m agisterska Przyn ę ty internetowe jako narz ę dzie wspomagaj ą ce wykrywanie włamań w ś rodowisku linuksowym inż Tom asz Dziurzyński Promotor: dr in ż. Anna Grocholewska-Czuryło Koreferent: dr hab. in ż Janusz Stokłosa, prof. PP.
2 Praca m agisterska Zało ż enia i wymagania: stworzenie zamkniętego środowiska przynęty oraz dokumentacji ułatwiającej projektowanie takich systemów Zadania szczegółowe: przegląd i ocena dostępnych, wybranych architektur i rozwiązań stworzenie środowiska monitorowanie stanu systemu badanie działa ń intruza
3 Plan prezentacji HoneyPot HoneyNet Moja architektura Wykorzystane techniki i narz ę dzia Film ;)
HoneyPots Zasób, którego przeznaczeniem jest bycie próbkowanym, atakowanym, kompromitowanym Nie jest to ś rodowisko produkcyjne, dlatego wszystko co wchodzi, wychodzi z przyn ę ty jest najprawdopodobniej prób ą, atakiem, lub przej ę ciem systemu Zalety: Zbiera relatywnie mało danych, lecz bardzo cennych Redukcja false positives nowe/nieznane ataki/robaki Wady: Ograniczony pole działania Ryzyko (przynęty wysokiej interakcji) 4
5 HoneyD jako przykład HoneyPots HoneyD przyn ę ta low-interaction. Cechy: Tworzy wirtualne hosty połączone w sieć, które wyglądaj ą jak działające systemy operacyjne, symuluje topologi ę sieci przez konfiguracj ę opóźnie ń oraz współczynnika gubienia pakietów Symulacja stosu TCP/IP danego systemu operacyjnego Symulacja uruchomionych demonów, za pomoc ą skryptów
6 HoneyD przykład # Cisco router # create router set router personality "Cisco 4500-M running IOS 11.3(6) IP Plus" add router tcp port 23 "/usr/bin/perl scripts/router- telnet.pl" set router default tcp action reset set router uptime 1327650 bind 192.168.100.1 router
7 HoneyNet HoneyPoty o wysokiej interakcji, poł ą czone w sieć Szczegółowo kontrolowana sieć, gdzie ka ż dy pakiet wchodz ą cy, b ą d ź opuszczaj ą cy przyn ę te jest monitorowany, logowany, analizowany Jest to architektura, a nie pojedynczy produkt lub program Kiedy dojdzie do przej ę cia systemu, zebrane dane posłu żą do analizy nowych narz ę dzi, technik, motywów działania
HoneyNet Architektura Internet uczelnia 150.254.x.x Hub HoneyWall gen2 BridgeMode FireWall SnortInline Snort Tcpdum p Logowanie aktywności intruzów Honeypot Honeypot Honeypot Honeypot 150.254.x.x/ 25 8
9 HoneyNet Wymagania Kontrola danych jest miejscem słu żą cym do kontroli pakietów przepływaj ą cych ze skompromitowanej przyn ę ty do reszty sieci Internet. Bez tej kontroli jest du ż e ryzyko, ż e nasza przyn ę ta zostanie wykorzystana do przeprowadzania dalszych ataków, a wła ś ciciel przyn ę ty b ę dzie za nie odpowiedzialny. Kontrola danych musi mieć najwy ż szy priorytet!
10 Kontrola danych FireWall Poł ą czenia przychodz ą ce wpuszczane s ą wszystkie, dokładne logowanie (czas, rodzaj pakietu, adres) Ograniczenie poł ą cze ń wychodz ą cych: Zliczanie wychodzących połącze ń, dla każdej przynęty, z uwzględnieniem protokołu (tcp,udp,icmp,other) Ochrona przed wyjściem niepoprawnych pakietów Ponad 120 reguł Poł ą czenia wychodz ą ce - dane wej ś ciowe dla SnortInline
11 Kontrola danych SnortInline User space Decyzja SnortInline Co zrobi ć z pakietem? - odrzucić - zm odyfikować - przepu ś ci ć Kernel space ip_queue Warstwa2 Iptables Warstwa2 eth1 Warstwa1 Warstwa1 eth0
12 Kontrola danych SnortInline alert tcp $HONEY_NET any -> $INTERNET 53 (msg:"dns EXPLOIT named";flags: A+; content:" CD80 E8D7 FFFFFF /bin/sh"; replace:" 0000 E8D7 FFFFFF /ben/sh";)
Zbierane informacje Sieciowe: IDS Snort Tcpdump (sniffer) NIPS SnortInline FireWall - iptables Systemowe: Logi systemowe z demona syslogd Aktywno ś ć u ż ytkowników z UML'a naciskane klawisze, pełne zrzuty ekranu Wszystkie mechanizmy maj ą zalety i wady. Dopiero po zjednoczeniu sił mamy pełn ą kontrol ę nad sytuacj ą. 13
14 Logi firewalla mysql CREATE TABLE fwlogs ( id INT(10) NOT NULL auto_increment, hid varchar(8) timestamp datetime type varchar(10) status varchar(10) protocol varchar(10) srcip varchar(15) srcport INT(5) dstip varchar(15) dstport INT(5) icmptype INT(2) icmpcode INT(2) PRIMARY KEY (id), INDEX (hid), INDEX (timestamp), INDEX (type), INDEX (status));
15 Statystyki 2 dni istnienia przyn ę ty: ponad 700 różnych adresów IP 9812 pakietów 51% tcp, 41% udp, 8% icmp R ę czne przej ę cie kontroli nad przyn ę t ą 15minut Robak 92 sekundy Domy ś lna instalacja RH6.2 72 godziny Wzrost aktwywno ś ci o 900% w 2001 w stosunku do 2000 roku Mo ż e być tylko gorzej! www.honeynet.org/ papers/ stats/
16 icmp linux/windows 05/28-20:00:49.943027 0:2:B3:29:67:C9 -> 0:1:2:20:27:41 type:0x800 len:0x62 63.216.14.194 -> 150.254.x.x ICMP TTL:51 TOS:0x80 ID:30224 IpLen:20 DgmLen:84 Type:8 Code:0 ID:4891 Seq:14730 ECHO 08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17... 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27...!"#$%&' 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 ()*+,-./01234567 38 39 3A 3B 3C 3D 3E 3F 89:;<=>? 05/30-23:16:49.977770 0:2:B3:29:67:C9 -> 0:1:2:20:27:41 type:0x800 len:0x4a 69.212.228.182 -> 150.254.x.x ICMP TTL:121 TOS:0x0 ID:45580 IpLen:20 DgmLen:60 Type:8 Code:0 ID:512 Seq:11776 ECHO 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70 abcdefghijklmnop 71 72 73 74 75 76 77 61 62 63 64 65 66 67 68 69 qrstuvwabcdefghi
17 Czego nie robi ę : Nie ogłaszam nigdzie istnienia przyn ę ty Nie zach ę cam do jej atakowania Nie włamuje si ę sam do siebie ;)
18 Metodologia Masowe skanowanie systemów, w poszukiwaniu łatwego celu Je ż eli tylko 1% systemów posiada okre ś lon ą dziur ę, a przeszukanych zostanie 1 000 000 hostów, to i tak mo ż na potencjalnie włamać si ę do 10 000 komputerów
19 HoneyNet Ryzyko HoneyNet s ą bardzo skomplikowane, wymagaj ą dodatkowych zasobów sprz ę towych oraz stałego nadzoru wykwalifikowanego operatora Jako przyn ę ty wysokiej interakcji, mog ą być u ż yte do atakowania innych systemów wobec czego s ą technologi ą wysokiego ryzyka. Dlatego tak wa ż ny jest nadzór nad działaniem przyn ę ty oraz warstwa kontroli danych.
20 Pytania HoneyNet