Hallo @ all!

Finde das Thema Honeypot bzw. Honeynet sehr interessant. Nun gibt es ja die Möglichkeit og. über VMware oder aber UserMode Linux zu realisieren.

Mich würde interessieren:

1. Wer betreibt einen Honeypot / ein Honeynet und wie?

2. Habt ihr schon (versuchte) Einbrüche oder anderes interessantes registriert?

3. Lasst ihr die Honeys so laufen oder versucht ihr sie (z.B. im IRC) bekannt zu machen. Damit meine ich ob ihr einen Einbruch provoziert...

Bin gespannt:)

cane

Also es ist zwar kein Honeypot in dem Sinne, aber ich habe mir mit der xinetd "sensor" Option ein paar Fake Services eingerichtet (SSH und HTTP). Connected jemand auf den ssh oder http Port, landet er auf einer xinetd internen Blacklist für 3 Stunden und kann keine Dienste die mt xinetd laufen nutzen. (FTP, Identd, saned).

So ein Sensor Eintrag sieht z.B. so aus:


service http
{
socket_type = stream
port = 80
protocol = tcp
wait = no
type = INTERNAL
flags = SENSOR
deny_time = 180
log_type = SYSLOG auth info
log_on_success += PID HOST DURATION
log_on_failure += HOST
}

@core

Das kannte ich auch noch nicht...

Reicht ein einziges SYN Paket und der Fake Dienst antwortet mit RST und schreibt die IP in die Blacklist?

Dann würden ja auch SYN Scans von Nmap unmöglich:)

Was ist wenn Du den Host von außen mit Nmap per FIN Scan scannst - bekommst Du offene Ports?

mfg
cane

Offen schon... Dieses Blacklist verfahren ist ca. so wie ein -j REJECT
ALso xinetd rejected dann weitere anfragen einfach, ohne die Verbindung an den eigentlichen daemon weiter zu leiten.

nen SYN scan erkennt er leider nicht mit dem sensor, aber ein synscan allein lässt keinen rein.
*reim*
und wer rein will, schaut auch mal nach welche apache / ssh version da läuft (als erstes, nehm ich an *g*)

hallo!

man kann das ja auch einfach mit iptables machen.


iptables -A INPUT -p tcp --dport" 23 "--tcp-flags SYN,ACK,FIN,RST SYN -j LOG --log-prefix 'synscan-trap '


wenn das mit 50 ports machst, dann kannst aus den logs ganz einfach die portscans auslesen...

//richard

hallo richard,

habe deine zeile so geschrieben:

iptables -A INPUT -p tcp --dport $PORT --tcp-flags SYN,ACK,FIN,RST SYN -j LOG --log-prefix 'synscan-trap '

bei deiner idee, des loggens, kann ich dann als folgende regel dieses schreiben:


iptables -A INPUT -p tcp --dport $PORT -j REJECT --reject-with tcp-reset

thx soc.

dann würdest aber alle verbindungen per tcp auf $port rejecten....

Gruß Temp

hallo!

ich hab mal ein kleines skript gemacht.
es erstellt für jeden tcp-port aus der /etc/services, der nicht von einem programm verwendet wird eine iptables-regel, die auf syn-scans reagiert.



#!/bin/bash
used_ports=$(netstat -lnt|grep tcp|gawk '{print $4 }'|gawk -F: '{ print $2"/" }')
trap_place=$(cat /etc/services|gawk '/tcp/{ print $2 }'|grep -v "$used_ports"|gawk -F/ '{ print $1 }')

for port in $trap_place
do
echo "/sbin/iptables -A INPUT -p tcp --dport" $port "--tcp-flags SYN,ACK,FIN,RST SYN -j LOG --log-prefix 'portscan-trap '"
done


man kann es leicht für fin oder null-scans umbauen...

hf,
//richard

@temp:
so ist meine firewall zur zeit eingestellt, die rejectet alle tcp-verbindungen auf den ports, die ich vorher definiert habe.
loggt aber nichts
soc.

Ahso alles klar... :)

Das klappt dann auch alles mit dem was derRichard geschrieben hat...
zuerst loggen dann rejecten ;)

Gruß Temp

Original geschrieben von Temp
Das klappt dann auch alles mit dem was derRichard geschrieben hat...
zuerst loggen dann rejecten ;)

Ja, muss ja.

Die Regeln werden von oben nach unten abgearbeitet.

Wenn z.B. die erste Regel sagt: Reject, dann kann eine Regel die danach kommt (loggen) nicht mehr greifen, da es ja schon rejectet wurde.

Also, erst loggen, dann reject, deny

Grüße
DaGrrr

hi,
danke werde es mal ausprobieren.
habe übrigens das script im einsatz, welches hier (http://www.linuxforen.de/forums/showthread.php?s=&threadid=82002&highlight=firewall) im forum von Qeldroma beschrieben wurde.
das läuft richtig gut und hat mir beim einstieg sehr geholfen.
an dieser stelle nochmals meinen dank an alle hier!.
soc.