Hmpf, jetzt wo Honeynets immer populärer werden, wird sich vermutlich jeder
eins einrichten. Soweit sogut.
Also greift jetzt auch *jeder* Script*kid/erwachse aus einem Honeynet an?

Wie kann man ein Honeynet erkennen?
Kann man aus einem Honeynet ausbrechen?

Bisher habe ich gedacht, man siehts an dmesg (virtuelle Geräteteiber).
Oder ist evtl das Vmware NAT 'anders' als normnales NAT?

Würde mich mal interessieren.

Aus Chroot kommt man ja angeblich raus. Bei Jails bin ich mir schon nicht so sicher.

Wie kann man ein Honeynet erkennen? Kann man aus einem Honeynet ausbrechen?

im idealfall überhauptnicht.


Bisher habe ich gedacht, man siehts an dmesg (virtuelle Geräteteiber).

nope, die nachrichten kann man auch emulieren, in der aktuellen ix ist übrigens ein artikel darüber....

Und was ist mit ps_real.c (ISt so Code der PS-Trojans enttarnen soll)

Irgendwo muss doch VMware ins System eingreifen?

was hat ein honeypot mit vmware zu tun?

Bisher dachte ich man setzt die so am besten auf:

http://www.honeynet.org/papers/vmware/

Hi@all

Kleine Frage: Was ist "Honeynet"? Hat das was mit NAT zu tun?

Cu
André

In diesem Thread hat eigentlich nur vmware was mit NAT zu tun.
Honeynets brauchen nicht zwingend NAT, so sehe ich das.

laß mich da gern belehren.

Ansonsten guckst du: www.honeynet.org

giebt dazu 'n nettes buch (in englisch):

know your enemy
addison wesley
isbn: 0-201-74613-1
40 $ (steht zumindest auf der rückseite, hab's aus 'ner bibliothek)
330 seiten + cdrom

Ähm, was war die Frage? Ob man Honeynet als Platform für weitere Angriffe missbrauchen kann?

Sicher ist das möglich. Es liegt am Betreiber des Honeynet das zu kontrollieren und zu unterbinden. Die Honeynets sind zwar sinnvollerweise so eingerichtet, dass das eigene Netz von da aus nicht angegriffen werden kann, aber der Angreifer könnte ja auch Rechner von 3. Personen angreifen.
Soweit ich weiss gibt es zwar die Möglichkeit, Portscans vom Honeynet aus ins Internet so zu unterbinden, dass der Angreiffer nicht merkt, dass diese in /dev/null münden. Sobald der Angreiffer aber etwas komplizierteres mit dem gegnerischen Rechner anfängt, wird er merken dass etwas nicht stimmt. Oder er wird nicht eingeschränkt, wobei dann der Besitzer des Honeynet im richtigen Moment "den Stecker ziehen muss". Macht er das nicht, hilft er dem Angreifer. Ich denke das ist nicht das Ziel.

Gruss, Andy

@ javafreak
So ne Bücherei möchte ich auch in meiner Nähe haben:(

Bei uns ist die Sparte Computerliteratur nicht besonders zahlreich vertreten...

@all
Ist der Link den linuxhanz gepostet hat nun der beste oder kennt ihr andere (Links zu) Wege(n) es besser zu machen?
cane

@all
Ist der Link den linuxhanz gepostet hat nun der beste oder kennt ihr andere (Links zu) Wege(n) es besser zu machen?
cane
na das kommt darauf an, was du vor hast.

Das Thema Honeypot wird ja zurecht im Zusammenhang mit anderen Tools wie Snort etc. gebracht, da es ja auch Sinn macht, Angriffe auf das eigene Honeypot auch entsprechend auszuwerten und zu nutzen.

Das sich jedes Kiddie mal ein Honeypot aufsetzt, denke und hoffe ich nicht, die Gefahren durch ein unsachgemäß aufgesetztes Honeypot sind viel zu gross.
Da wird sich so mancher eher ein gewaltiges Eigentor damit schiessen.

Guter Einstieg in die Thematik:
"Intrusion Detection Systeme für Linux Server" von Spenneberg

Eine kurze Beschreibung zu Honeypots und honeyd
http://www.citi.umich.edu/u/provos/honeyd/

findest du auch in der iX 06/2003 Seite 102ff

grüsse

@ linuxhanz und die anderen:

Wie kann man denn aus chroot ausbrechen bzw. wie kann man das verhindern???
Ich habe eine chroot-Umgebugn für Bind 9 mit eigenenm User angelegt, der sehr eingeschränkte Rechte hat. Er kommt z. B. nicht höher....
Ist es trotzdem möglich ins Hauptverzeichnis zu kommen? Oder schlimmer noch an das Passwort von root?

Gruß
Tuneman

@cane

bibliothek vom fachbereich informatik, uni-hamburg, solche bücher sollten eigentlich in jeder uni-bibliothek stehen.

oder er kann sogar über fchdir(2) aus dem Chroot-Jail ausbrechen, wenn die .


http://www.suse.de/de/private/support/howto/secprog/secprog4.html

gibts bestimmt auch Tools für. :D

hm, bei BSD JAILS ist ja jeder root als müsste man root-root werden.

in Phrack62:





(Koennte ein Fake sein, auf phrack.org ist nichts)
EDIT: ISt lt. url ein Fake.
EDIT: http://www.linuxforen.de/forums/showthread.php?s=&threadid=109822



OFFtopic: Zitate aus Phrack62.nl ;-)



One friend can even
describe OpenBSD as 'NetBSD with a strncpy() except with less ports and
even less SMP support.




Niels Provos author of systrace (most useless and bug ridden security tool
EVER)

Nice Postings!

cane

meinste jetzt die Zitate :D

In der aktuellen Datenschleuder steht auch ein Artikel über Honeypots

http://ds.ccc.de/081/honeypot

Gruß

Jochen

Es geht aber eigentlich um Aufspüren von honeynets/pots ...

naja :rolleyes:

EDIT: Die Heise-Meldung zum honeyd haben wohl alle gelesen.

Offenbar haben vmware's ihre eigenen MAC Adressen-Bereich: :cool:




vmnet1 Link encap:Ethernet HWaddr 00:50:56:C0:00:01
inet addr:192.168.23.1 Bcast:192.168.23.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

vmnet8 Link encap:Ethernet HWaddr 00:50:56:C0:00:02
inet addr:192.168.31.1 Bcast:192.168.31.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Hi@all

Kleine Frage: Was ist "Honeynet"? Hat das was mit NAT zu tun?

Cu
André

Eigentlich kann man jedes Kiddy bzw jeden Pseudo Administrator nehmen, die sich einfach mal einen Server für ein paar Mail-Adressen + Webspace kaufen, und dabei keinerlei Ahnung haben worauf sie achten müssen und was verantwortungsvolles administrieren bedeutet. (nämlich, informieren, updaten, sicherheitslücken schliessen, auf dem laufenden bleiben, etc. ...)

PS: ja manche posten dann hier im Forum :ugly: