Setarea exemplu honeypot OpenSource Honeyd
Honeypots sunt o nouă tehnologie interesantă. Ele ne permit să ia inițiativa în propriile lor mâini și de a studia activitatea de hackeri. In ultimii ani un interes tot mai mare în această tehnologie. Scopul acestui articol - să-ți spun despre honeypots și să demonstreze capacitățile lor. Începem prin a discuta ce honeypots și modul în care acestea funcționează, apoi se trece la soluția OpenSource Honeyd.
Nici o soluție nu este mai mare decât alta, totul depinde de ceea ce doriți să realizeze. În acest articol, ne vom concentra asupra Honeypots de producție. Pentru a afla mai multe despre honeypots de cercetare, puteți începe cu un articol Know Your Enemy: Honeynets Honeynet Project.
Pentru a înțelege mai bine valoarea honeypots de producție, vom folosi modelul de securitate Bruce Schneier'a, și anume cele trei niveluri de prevenire, detectare și reacție. Honeypots pot fi aplicate la toate cele trei niveluri. Pentru a preveni honeypots pot fi folosite pentru încetinirea sau oprirea atacurilor automate. De exemplu, honeypot Labrea Tarpit folosit pentru a incetini atacurile TCP automate, cum ar fi viermii. Împotriva hackerilor-oameni, în scopul de a preveni atacurile, honeypots pot folosi arme psihologice, cum ar fi înșelăciune și intimidare (de exemplu, site-ul Fred Cohen).
În cele din urmă, honeypots de producție pot fi utilizate pentru a răspunde atacului. În cazul în care un intrus a pătruns în rețea în organizația dumneavoastră și unul dintre sistemele el hacked, a fost un Honeypot, informațiile colectate de la acest sistem poate fi folosit pentru a răspunde la atac. Honeypots poate fi de asemenea folosite pentru a expune și de a identifica agresorul, după ce a fost o dată în organizația dumneavoastră. Pentru un studiu mai cuprinzător de honeypots, puteți citi Honeypots carte: Hackerii de urmărire.
Acum, că aveți o idee mai bună a tehnologiei Honeypot, să creați unul. Vom utiliza soluția OpenSource Honeyd, care este dezvoltat și întreținut de Niels Provos. Honeyd concepute pentru a fi utilizate în sistemele de operare UNIX-uri, cum ar fi OpenBSD sau Linux; dar în curând va fi adaptat și la Windows. Din moment ce aceasta este soluția OpenSource, nu este numai liber, dar avem acces deplin la codul sursă sub licența BSD.
În mod implicit, Honeyd poate detecta (și înregistrare) orice activitate pe orice UDP sau TCP port și activitatea ICMP. Nu aveți nevoie pentru a crea un serviciu, sau pentru a asculta portul la care doriți să controleze conexiunea, Honeyd face totul pentru tine. Cu toate acestea, lucrul cu Honeyd, aveți o oportunitate suplimentară de a detecta nu numai atacuri, ci și pentru a crea servicii de emulare care interacționează cu atacatorul într-un mod predeterminat. De exemplu, puteți crea un script FTP care va emula wu-ftpd pe Linux daemon, sau o conexiune Telnet la un router Cisco. Aceste servicii emulate sunt limitate în sensul că acestea au un comportament predeterminat. Un astfel de scenariu poate fi scris în aproape orice limbă, cum ar fi Perl, Shell, sau se așteaptă. La momentul scrierii acestui articol, Honeyd a avut șapte servicii emulate din care puteți alege. Deoarece Honeyd este open source, puteți crea și partaja propriile servicii. Mai jos este un exemplu de serviciu care emulează router Cisco. În acest caz, atunci când atacatorul se conectează la Honeyd Honeypot, se decide că conectat la un router Cisco.
Acest atac trebuie să fie detectate și înregistrate. Honeyd jurnalele încercărilor de conectare și conexiunile de închidere. Script-ul emulează, de asemenea, activitatea serviciului.
Pentru a instala Honeyd, aveți nevoie pentru a compila și de a folosi cele două utilități: Arpd și Honeyd. Honeyd nu poate face tot ceea ce el însuși și are nevoie de ajutor Arpd. Arpd utilizate pentru ARP spoofing; el observă spațiu IP nefolosit și direcționează atacul la Honeyd honeypot. Honeyd nu este în măsură să direcționeze atacul lui, el poate comunica numai cu hackeri. Comenzi pentru a rula le sunt prezentate mai jos. Lanțuri din aceste comenzi sunt stabilite de către cei care trebuie să monitorizeze și procesul Arpd Honeyd. În exemplul nostru, dorim Honeypot controlat spațiu IP nefolosit în subrețea 192.168.1.0/24.
honeyd -p nmap.prints -f honeyd.conf 192.168.1.0/24
Acesta începe cu crearea de diferite tipuri de computere pe care doriți să le imite, atunci Honeyd numit template-uri. Aceste șabloane definesc comportamentul fiecărui sistem de operare emulat. În acest fișier de configurare am creat două calculator emulat diferite: implicit și router. Primul lucru care trebuie făcut în fiecare șablon este setat «personalitate»; este faptul că sistemul de operare va fi imitat la nivelul IP stivă. Descrierea tipului de sistem de operare este luat dintr-o bază de date de amprente Nmap. Valoarea implicită șablon, ne-am atribuit o personalitate «Windows NT SP5-SP6 4.0 Server», și în șablonul router avem personalitate «Cisco 4500-M rulează IOS 11.3 (6) IP Plus». Vă rugăm să rețineți că personalitatea nu afectează comportamentul serviciului emulat, dar numai pe stiva IP. Pentru a emula serviciul, trebuie să selectați diferite script-uri, în funcție de ce tip de sistem de operare pe care doriți să imite. Cu alte cuvinte, în cazul în care personalitatea ta - pentru Windows, Apache nu utilizează un script pe portul HTTP. În schimb, instalați un script mai bun la portul HTTP al IIS.
Următorul pas este de a specifica comportamentul fiecărui port. Puteți selecta fie un comportament specific pentru fiecare port, sau specificați comportamentul general. De exemplu, în șablonul implicit, am cerut toate porturile TCP comportamentul de resetare, astfel încât acestea sunt toate încercările de a conecta pentru a răspunde RST (porturile UDP, ICMP imposibil de găsit). Alte opțiuni - deschise (care urmează să fie trimise ca răspuns la ACK, sau nimic pentru UDP) sau bloc (nu va răspunde la TCP și UDP) interogări. A patra opțiune este de a folosi script-uri pentru a emula servicii. În caz de șablon implicit, am legat script-uri la porturile 21, 80 și 110. Aceste script-uri începe și de a interacționa cu hacker. De asemenea, aveți posibilitatea de a redirecționa incercarile de a se conecta la un alt sistem, sau chiar un atacator. În șablonul implicit, vom redirecționa toate conexiunile SSH înapoi la hacker. Există, de asemenea, o serie de alte caracteristici avansate Honeyd, cum ar fi crearea unei rețele virtuale rutate și marcajele de timp false, dar o explicație detaliată este dincolo de domeniul de aplicare al acestui articol.
(C) Mikhail Razumov, bazat pe SecurityFocus