honeypot & tarpit prikaz delovanja "lonca medu"
DESCRIPTION
Honeypot & Tarpit prikaz delovanja "lonca medu". [email protected]. O medenih loncih in limanicah. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/1.jpg)
Honeypot & TarpitHoneypot & Tarpitprikaz delovanja "lonca medu"prikaz delovanja "lonca medu"
[email protected]@skoberne.net
![Page 2: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/2.jpg)
O medenih loncih in limanicah
V računalniški terminologiji se izraz “medeni lonec” ali honeypot uporablja za past, ki jo napadalec odkrije in zlorabi, na podlagi njegove aktivnosti pa lahko na drugi strani tisti, ki je past postavil pridobi informacije o načinu, ki ga je napadalec uporabil za vdor.
Limanice pa predstavljao specifično programsko opremo, ki v osnovi zelo močno zakasni oziroma upočasni prihajajoče povezave.
![Page 3: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/3.jpg)
Limanice
Limanice so se razvile takoj, ko so se v internetu začeli pojavljati črvi, ideja pa je bila čim bolj upočasnit razširanje nezaželene pošte ter mrežnega skeniranja. Danes se limanice uporabljajo navečkrat na SMTP
strežnikih (nekateri imajo to funkcionalnost integirano pri drugih pa postavimo tarpit-proxy pred SMTP server) V osnovi limanica za nekaj sekund ne pošlje SMTP
“pozdrava”. S tem se sicer upočasni dostava legitimne pošte vendar dosežemo želen učinek pri pošiljateljih “spam-a”. http://support.microsoft.com/?kbid=842851 – SMTP tar pit
feature for MS Windows Server 2003
![Page 4: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/4.jpg)
Limanice
IP – Tarpit – omogoča “lepljenje” ARP zahtevkov. Najbolj poznana rešitev je Labrea tarpit, ki jo je razvil Tom Liston (http://labrea.sourceforge.net/labrea-info.html). Labrea omogoča, da en sam računalnik varuje vaše celotno omrežje. Program zasede vse proste IP številke v vašem omrežju in na njih posluša za ARP zahtevki. Če se v omrežju pojavi omrežni črv in začen skenirati omrežje za potencialnimi žrtvami ga program zalepi v drugem koraku t.i. 3-way-handshake. Tako črv nikdar ne začne s pošiljanjem podatkov – oziroma problematične vsebine.
![Page 5: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/5.jpg)
Delitev loncev medu
Lonci medu se v osnovi delijo v dve skupini Low-interaction
Kot primer lahko pogledamo projekt honeyd, ki “pripravi” ogromno mrežno strukturo z uporabo enega samega računalnika. Honeyd lonec medu lahko zelo natančno nastavimo z uporabo raznih skript. Uporabnikom prikazuje t.i. bannerje oziroma “splash screen-e” simuliranih servisov. (npr. predstavi se kot Exchange SMTP strežnik)
High-interaction Resnejši honeypot sistem je pa sistem Honeynet – ta omogoča
resnejšo analizo prometa saj vzpostavivi most med honeypot omrežjem ter zunanjim omrežjem – tako lahko sledi celotnemu prihajajočemu in odhajajočemu prometu.
Honeynet web vmesnik omogoča natančno analizo vsakega napada. Vzorce napadov pa analizira s pomočjo aplikacije Snort
![Page 6: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/6.jpg)
Projekt Honeynet
Težava Kako se lahko zaščitimo pred napadalcem, ki ga
sploh ne poznamo? Cilj
Naučiti se, taktik, motivov ter dela z orodji, ki so prisotni pri napadu na računalniška omrežja
Podajanje teh informacij dalje ... Dvigniti nivo zavedanja o groženjah, ki so prisotne Za tiste, ki se zavedajo – globje informirati o samih
grožnjah Raziskovalni namen – dati organizacijam možnost,
da se učijo in raziskujejo na svojem področju
![Page 7: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/7.jpg)
Projekt Honeynet
Honeynet research alliance začetki segajo v leto 2002
Člani “aliance” South Florida Honeynet Project Georgia Technical Institute Azusa Pacific University USMA Honeynet Project Pakistan Honeynet Project Paladion Networks Honeynet Project (India) Internet Systematics Lab Honeynet Project (Greece) Honeynet.BR (Brazil) UK Honeynet French Honeynet Project Italian Honeynet Project Portugal Honeynet Project German Honeynet Project Spanish Honeynet Project Singapore Honeynet Project China Honeynet Project
![Page 8: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/8.jpg)
Projekt Honeynet
BackOfficer Friendly KFSensor Honeyd Honeynets
Low Interaction
High Interaction
![Page 9: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/9.jpg)
Projekt Honeynet
Honeynet-i z visoko interakcijo omogočajo zajem “globjih” informacij
Ponavadi so to zelo kotrolirana omrežja kjer je vsak paket, ki vstopa ali izstopa natančno pregledan, “ulovljen” in analiziran Kontrola podatkov Zajem podatkov Analiza podatkov
![Page 10: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/10.jpg)
Projekt Honeynet
![Page 11: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/11.jpg)
Projekt Honeynet
Kontrola podatkov Zmanjša možnost, da bi se honeypot izkoristilo
za napad na produkcijsko omrežje Štetje izhodnih in vhodnih sej IPS – Snort line Kontrola pasovne širine
![Page 12: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/12.jpg)
Projekt Honeynet
Brez kontrole podatkov
Internet
No Restrictions
No Restrictions
Honeypot
Honeypot
![Page 13: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/13.jpg)
Projekt Honeynet
Z uporabo kontrole podatkov
Internet
Honeywall
Honeypot
Honeypot
No Restrictions
Connections Limited Packet Scrubbed
![Page 14: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/14.jpg)
Projekt Honeynet
Zajem podatkov Zajem vseh aktivnosti na več nivojih
Aktivnost mreže Aktivnost aplikacij Aktivnost sistema
![Page 15: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/15.jpg)
Projekt Honeynet
SEBEK Skrit jedrni modul, ki zajema vse
aktivnosti gostitelja Izpisuje aktivnost omrežja
![Page 16: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/16.jpg)
Projekt Honeynet
Zajem podatkov Zajem vseh aktivnosti na več nivojih
Aktivnost mreže Aktivnost aplikacij Aktivnost sistema
![Page 17: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/17.jpg)
Lonec medu – Honey pot- Pregled spletnega portala Brazilske CERT
organizacijehttp://www.honeynet.org.br
http://www.honeynet.orghttp://www.honeypots-alliance.org.br
- Back officer friendly honeypot for Windows http://www.nfr.com/
Limanica – Tarpit
- http://labrea.sourceforge.net (official)http://heanet.dl.sourceforge.net/sourceforge/labrea
![Page 18: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/18.jpg)
Topologija omrežja
Internet
Požarni zid/NAT napravaJavni IP: 89.142.W.Z
Lokalni IP: 192.168.170.1/24
VMWare Server (192.168.171.1/24, 10.1.0.5/24)
FreeBSD(lonec medu)
192.168.170.2/24
HoneyWALL(vohljač, IDS sistem)
Mgmt: 192.168.171.2/24
HoneyWALL ima 3 omrežne vmesnike, od tega dva služita kot most (bridge) med ZyWALL usmerjevalnikom in FreeBSD loncem medu. Tretji vmesnik služi za nadzor in spremljanje dogajanja na loncu medu. Požarni zid/NAT naprava preusmerja vsa vrata (razen vrat za upravljanje) na lonec medu, tako da izgleda kot da bi bil lonec medu priklopljen direktno na Internet. Ker gostiteljski VMWare strežnik in lonec medu ter HoneyWALL in lonec medu paroma niso v istem lokalnem omrežju, tudi v najslabšem primeru izgubimo nadzor le nad loncem medu.
Požarni zid/NAT napravaJavni IP: 89.212.X.Y
Lokalni IP: 10.1.0.1/24
![Page 19: Honeypot & Tarpit prikaz delovanja "lonca medu"](https://reader036.vdocuments.site/reader036/viewer/2022081506/568148ea550346895db60536/html5/thumbnails/19.jpg)
PovezavePovezave http://www.nevarnost.org – spletni portal, ki se ukvarja z računalniško
(ne)varnostjo http://www.insecure.org/ - hacking resources http://www.snort.org/ - “de facto” standard za preprečevanje in
zaznavanje vdorov http://rootprompt.org/ - novice v zvezi z računalniško varnostjo http://www.dshield.org/ - distribucijski sistem za detekcijo in
preprečevanje vdorov http://www.milw0rm.com/ - programi in skripte za izkoriščanje ranljivosti
(exploits) http://www.metasploit.com/ - okolje za razvoj/testiranje exploit-ov http://www.wireshark.org/ - analizator omrežnih protokolov in vohljač
(bivši Ethereal) http://www.tcpdump.org/ - vohljač (sledenje omrežnih paketov) http://labrea.sourceforge.net/ - program za izvedbo limanice http://support.microsoft.com/?kbid=842851/ - limanice za MS SMTP