PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : honeypot



joey.brunner
17.04.03, 11:23
hi ihr,

ich will mir eine schoene honeypot suite bauen und suche schon verzweifelt nach guten anleitugen. honeynet ist ja wohl nciht so der hammer. die beschreibungen zum ids oder zum haerten sind milde gesagt eher fuer anfaenger geeignet....

ich wollte mal "Bait and Switch Honeypot System" ausprobieren, hat da jmd. erfahrungen oder empfiehlt mir jmd ein anderes tool ?

danke

joey

xstevex22
17.04.03, 11:27
Hi!
Leider keinerlei Erfahrung, aber in der nächsten iX (06/03) soll ein Artikel drüber erscheinen. Weiss allerdings nicht, ob der nur rein theoretischer Natur ist.

joey.brunner
17.04.03, 11:41
cool... hab ich abonniert

ich hab jetzt folgendes vor:

ich hab daheim ne 1.5 mbit leitung. ich werde dann dahinter quasi ein 2 netz haengen. dort stell ich mir nen rechner hin, der mein router wird. router hinter router quasi.... dahinter sind 2 systeme... 1 produktiv system und ein honeypot... auf dem router werde ich versuche mit hilfe von intrusion detection den angreifer auf das honeypot system zu legen...

wer da schon erfahrungen hat, kann sie mir gerne mitteilen ;)

joey

pudding
17.04.03, 13:04
Hi
also Erfahrung hab ich mit Honigtöpfen auch noch nicht - deshalb wär ich auch interessiert an einem "Erlebnissbericht" deinerseits.



auf dem router werde ich versuche mit hilfe von intrusion detection den angreifer auf das honeypot system zu legen...

Da hast du dich wohl unklar ausgedrückt? Oder?

Wie kann ein "passives" System den Angreifer beeinflussen?



pudding

joey.brunner
17.04.03, 13:18
Also hier nochmal was ich genau mache ;)

Ich baue mir eine zweite DMZ.... Der erste Router wird alle Anfragen auf Port 80 und 443 zu einem zweiten Router weiterleiten. Dieser zweite Router ist ein Gateway. Er hat Snort laufen. Snort brauche ich um Angriffe erkennen zu koennen (anahnd der Regeln), des weiteren brauche ich snort fuer das logging. Sobald nun eine Snort-Regel greift wird der Angreifer ueber iptables oder iproute (bin ich mir noch nciht sicher) auf ein honeypot geleitet. Normale Benutzer kommen auf den normalen host...

ich habe dabei aber nicht vor, das honeypot unsicher aufzusetzen oder luecken zu simulieren.... das honeypot wird ein spiegelsystem des originalsystems... so kann ich luecken erkennen und diese sofort schliessen... nehmen wir an, der angreifer schafft dsa unmoegliche und veraendert die webseite (geht kaum, da der kernel mit openwall, lids, rsbac und se geschuetzt ist), so weiss ich anhand des loggins sofort wie er das gemacht hat und kann die systeme entsprechend patchen..... der angreifer ist happy, da er ja die veraenderte webseite (aufgrund des routings am gateway sieht), alle anderen user werden jedoch die normale seite sehen.... danach werden beide system gepatchet und der kampf beginnt wieder von vorne... nach einem hack, kann ich beim ids dann mit intrustion response reagieren.... fuer das produktivsystem wird die ip des angreifers zusaetzlich noch geblacklistet.... sagen wir fuer 20 min oder nen tag oder was weiss ich..... sicher ist sicher, falls er es schafft das routing zu aendern.....

kommentare oder anregungen willkommen. ich hoffe ich habe mich verstaendlicher ausgedrueckt :)

joey

pudding
17.04.03, 15:23
Er hat Snort laufen. Snort brauche ich um Angriffe erkennen zu koennen (anahnd der Regeln), des weiteren brauche ich snort fuer das logging. Sobald nun eine Snort-Regel greift wird der Angreifer ueber iptables oder iproute (bin ich mir noch nciht sicher) auf ein honeypot geleitet.

Ups - das funktioniert? (Wie?) (Muss wohl mal wieder snort doku lesen...)

Also ich wunder mich nur, weil ich davon noch nie was gehört habe. Mag aber an meinem beschränkten Horizont liegen.

Ansonsten danke für die Infos, so genau wollte ichs garnicht wissen, bzw. war mir schon klar wie es sich mit Honigtöpfen verhält, bzw ich hab mich wohl auch nicht klar ausgedrückt; wenn du das am laufen hast wäre es ganz interessant zu wissen wo die schwierigkeiten liegen.
Ich kanns hier leider nicht "nachmachen" - noch nicht. Muss mich erst noch etwas in das Prinzip von jails (FreeBSD) einarbeiten - vielleicht lässt sich da ähnliches auf nur _einer_ Kiste realisieren.






das honeypot wird ein spiegelsystem des originalsystems.

hmmm - in deinem Fall wohl OK. Ansonsten seh ich da ein gewisses Risiko. Nicht in jedem fall zum Nachmachen empfehlenswert


Pudding

joey.brunner
17.04.03, 15:30
hi,

snort kann das nciht von haus aus, aber es gibt ein zusatzmodul, das das routing dann uebernimmt...

naja ich denke schon, dass das honeypot genauso sein sollte wie der produktivserver... auch so sicher wie moeglich... man kann ja noch ne zwischenphase einbauen. wird das honeypot gehackt, faehrt der produktivapache eine sorry seite hoch oder einen anderen webserver bis die sache geregelt ist....

ich schmeiss mal gimp an u versuch mein "netzwerk" aufzuzeichnen...

du kannst es mit vservern auf einer kiste realisieren... jails gehen dafuer auch.... vorallem sind jails von hause auch viel maechtiger als z.b. dsa changerooting von linux..... nur sind 2 getrennte systeme sicherer

joey

pudding
17.04.03, 15:38
nur sind 2 getrennte systeme sicherer

Platzmangel in Kombination mit Geldmangel. :( verhindern dies bei mir.

Meine Phantasie reicht aus um mir dein Netz vorstellen zu können!!! Brauchst also nicht den gimp bemühen.

Jails waren einer der Gründe dafür BSD aufzusetzen.


naja ich denke schon, dass das honeypot genauso sein sollte wie der produktivserver.

Wie gesagt, für deine Umgebeung halte ich das für OK - Fileserver in Firmen als honeypot zu spiegeln würde ich aber nicht machen.

pudding

joey.brunner
17.04.03, 15:42
habs mit oo gemacht, sieht bescheiden aus, aber egal ;)

ein fileserver haut auch in einer dmz nichts verloren !!! mir sind dienste wie mail und web wichtig...

joey

pudding
17.04.03, 15:49
Sieht doch gut aus!;)

Fileserver haben in DMZs wirklich nix zu suchen.
Ob ein Töpchen voller Honig nur und unbedingt in eine solche sollte, ist eine andere Frage...
Ich wollte nur andere Mitleser davor bewahren abwegige Ideen umzusetzen - deshalb hatte ich das nochmal erwähnt.

pudding

joey.brunner
17.04.03, 16:19
gut dann verstehen wir uns ja ;)

Jinto
17.04.03, 17:19
Ich sehe nur 2 Probleme:
1. Snort kann selbst ein Sicherheitsproblem sein (ist derzeit sogar mal wieder der Fall)
2. Wie willst du den Hacker/Cracker erkennen, wenn du eh bereits ein "aktuelles" System einsetzt?

Erläuterung zu Punkt 2:
Snort kann nur anhand von bereits bekannten Angriffsmustern Angriffe erkennen, da diese bei dir bereits alle gefixt sind wird ein Angreifer wohl kaum einen bereits bekannte Schwachstelle ausnutzen können/wollen => Snort wird nie einen Angriff erkennen (zumindest solange nur neuartigen verwendet) und dementsprechend wird immer dein Produktiv Server Ziel des Angriffs.

joey.brunner
17.04.03, 17:51
hi,

zu punkt 1:
snort wird nie ansprechbar sein. es agiert auf dem gateway und hat nach aussen keine ip adresse, kann also auch nicht angesprochen werden. selbst wenn dies der fall waere, wuerde lids, openwall, se das ausnutzen der luecke verhindern..

zu punkt 2:
bestimmte teile eines angriffs sind immer gleich. nehmen wir einen buffer overflow... der angreifer wird dann shellcode ueber das netz schicken, dsa erkenne ich mit snort (content bei den regeln) und dann leite ihn um... wenn er scannt erkenne ich dies auch udn leite ihn um, wenn er auf andere art footprinting betreibt erkenne ich dies auch, wenn er seiten anfodert, die es nicht gibt und dies wiederholt macht, so erkenne ich dies, wenn er unsinn ueber das netz schiebt (anhand von keywoetern) erkenne ich dies auch....

ich kann also einen sehr grossen teil abdecken. ich werde zwar nie erfahren, welche luecke er ausnuetzt, da - wie du ja richtig gesagt hast - die system sicher sind, doch ich werde erfahren, dass er angreift und ich werde sogar den angriff nachvollziehen koennen....

joey

tomes
17.04.03, 18:25
mal vor geraumer Zeit damit auseinander setzen muessen ;)

Also ich wuerde ein user-mode Linux Kernel nehmen, und dann auf der Maschine "verschieden Maschinen" einrichten. Ein File/ftp Server, ein Router, ein Webserver und vielleicht noch ein DNS oder, oder, oder. Das coole am user-mode Linux Kernel ist ja, dass es so aussieht wie viele verschieden Rechner.
Und ein Hacker kann so auch noch ein wenig "weiter" im "Netz" spazieren ;)
Wichtig ist nur das du irgendwelchen DDoS Sachen aus deinem "Netz" vorbeugst. Waehre doch doof, wenn man dein Honigtopf zu so etwas misbrauchen koennte.

Ich schau mich mal um, ob ich die sachen die ich damals zusammen getragen habe, noch finde.

Ach ja, ein Erlebniss Bericht, oder/und die IP waehren nicht schlecht :D :D :D

T;o)Mes

joey.brunner
17.04.03, 18:28
hi,

also keien angst ich werde euch auf jeden fall auf dem laufenden halten... hab heute bei meinem chef schon mal 4 3com netzwerkkarten mit embedded firewall fuer das projekt durchbekommen, die werde ich am montag haben... dann werde ich das netz im lab aufbauen...

naja, das mit den verschiedenen servern bzw. user-mode linux ist ja cool fuer ein standardhoneypot, aber ich will ja beide system gleich aufsetzen, und vor allen dingen sicher. was hilft es mir, wenn ich weiss ui da hackt jmd. einen buggy server. ich wuerde halt gerne wissen, wenn einer es irgendwie schafft die gehaerteten systeme zu kompromittieren...

aber fuer dokus insbesondere des dyn. routings und firewallings bin ich immer offen !!!

danke

joey

tomes
17.04.03, 18:54
Original geschrieben von joey.brunner

naja, das mit den verschiedenen servern bzw. user-mode linux ist ja cool fuer ein standardhoneypot, aber ich will ja beide system gleich aufsetzen, und vor allen dingen sicher. was hilft es mir, wenn ich weiss ui da hackt jmd. einen buggy server. ich wuerde halt gerne wissen, wenn einer es irgendwie schafft die gehaerteten systeme zu kompromittieren...


Wieso buggy server ? Was du da dann aufsetzt ist daoch deine Sache, das ist doch kein SuSE oder RedHat aus der Schachtel.
Ausserdem verstehe ich jetzt nicht ganz den Ansatz. Ein Honeypot soll doch um Hacken einladen.
Wie hard oder soft das ist, ist doch dan nur Nebensache/Geschmackssache.
Das mit dem snort ist keine schlechte Idee, im Ansatz, aber woher willst du wissen, das dies nicht gehackt wird ;)
Schau dich mal nach sogennanten "Honeynet Sensors" um, die arbeiten transparent.
Der Weg sollte so gehen:
1. Router, alles was hier ankommt geht zum transparenten Sensor
2. Dieser unterscheidet dann nach rechts mit dem Paketen oder nach links.
2. boeser Code wird dann im Netz per Switch mitgelesen vom Snort und wenn noetig von tcpdump.

Der Knotenpunkt sollte wie gesagt auf alle Faelle von aussen transparent sein. Kontrolle und administration nur am Monitor.

T;o)Mes

joey.brunner
18.04.03, 09:08
genauso wird es ablaufen...., wenn ich es hinbekomme.. sieht aber ganz gut aus

joey.brunner
22.04.03, 12:29
also:

ich sollte euch doch auf dem laufenden halten....

das progkonzept ist jetzt fertig und laeuft auch.. soll heissen ich kann traffic zwischen 2 systemen treffen, hab das derzeit anhand des protokolls gemacht mit snort... werde jetzt etwas tiefer reingehen, einen spooler schreiben und versuchen ob ich pakete aufmachen u weiterleiten kann und welchen verlust (zeitlich) ich dabei habe...

ich halt euch weiterhin auf dem laufenden

joey