Sistemas Honeynet

FIST Conference Febrero 2004 @

SISTEMAS HONEYNETSISTEMAS HONEYNET

Rafael San Miguel CarrascoSoluciones Seguras


1.1. Definición de Definición de honeynethoneynet2.2. SoftwareSoftware con tecnología con tecnología honeynethoneynet3.3. Ejemplo: Ejemplo: honeydhoneyd4.4. Gestión de un sistema Gestión de un sistema honeynethoneynet


• honeynet = honeynet = red trampa para red trampa para hackershackers• cebo en la redcebo en la red• distinguir tráfico legítimo de tráfico distinguir tráfico legítimo de tráfico

malintencionadomalintencionado• sustituye o complementa a sistemas sustituye o complementa a sistemas

HIDS y sondasHIDS y sondas

Definición de Definición de honeynet honeynet ::


“ “Cualquier tráfico dirigido a una máquina de la Cualquier tráfico dirigido a una máquina de la red que NO está en producción (red que NO está en producción (honeynethoneynet) ) proviene de un atacante”proviene de un atacante”

Definición de Definición de honeynet honeynet ::

SMTPSMTP WEBWEB HONEYNETHONEYNET


• honeynethoneynet para investigación para investigación• honeynet honeynet vulnerable como IDSvulnerable como IDS• honeynethoneynet protegida como IDS protegida como IDS

Clases de sistemas Clases de sistemas honeynet honeynet ::


• conocer la metodología de los conocer la metodología de los hackershackers• máxima protección de la máxima protección de la honeynethoneynet• importancia de los mecanismos de importancia de los mecanismos de

logginglogging

honeynet honeynet para investigación:para investigación:


• vulnerabilidad real y fácilmente detectablevulnerabilidad real y fácilmente detectable• protección del entorno de la protección del entorno de la honeynethoneynet ((firewallfirewall con reglas para tráfico con reglas para tráfico outout))• mecanismos de mecanismos de logging logging vulnerablesvulnerables

honeynet honeynet vulnerable como IDS:vulnerable como IDS:


• simulación de una vulnerabilidad simulación de una vulnerabilidad fácilmente detectablefácilmente detectable

• el atacante descubre el engaño fácilmenteel atacante descubre el engaño fácilmente• mecanismos de mecanismos de logging logging fiablesfiables

honeynet honeynet protegida como IDS:protegida como IDS:


• identificación de atacantes y acciones de identificación de atacantes y acciones de carácter legal o administrativocarácter legal o administrativo

honeynet honeynet protegida como IDS:protegida como IDS:

honeynet honeynet vulnerable como IDS:vulnerable como IDS:• disuade a los atacantes de comprometer el disuade a los atacantes de comprometer el

resto de máquinas de la redresto de máquinas de la red


• Symantec MantrapSymantec Mantrap• Deception ToolkitDeception Toolkit• LaBreaLaBrea• HoneydHoneyd

Productos con tecnología Productos con tecnología honeynet honeynet ::


• cagescages sobre sistema operativo sobre sistema operativo hosthost• logginglogging a través de a través de syslogsyslog• CGM (CGM (Content Generation ModuleContent Generation Module))• ataques internosataques internos• interfaz gráfica atractivainterfaz gráfica atractiva

Symantec Decoy Server (Mantrap) Symantec Decoy Server (Mantrap) ::


• simulación de servicios de red simulación de servicios de red vulnerablesvulnerables

• logginglogging a través de a través de syslogsyslog• gestión vía gestión vía telnet/rshtelnet/rsh• detección trivialdetección trivial

Deception Toolkit Deception Toolkit ::


• defensa basada en ataque DoS defensa basada en ataque DoS • ralentiza la expansión de ralentiza la expansión de worms worms • idea tomada del idea tomada del exploit naphtaexploit naphta • sólo “engaña” a robots de redsólo “engaña” a robots de red

LaBrea LaBrea ::


• emulación de:emulación de:• servicios de redservicios de red• topologías de redtopologías de red• SSOO a nivel de SSOO a nivel de stackstack TCP/IP TCP/IP

Honeyd Honeyd ::


• LinuxLinux• Windows (95/98/NT/2000/Me/XP)Windows (95/98/NT/2000/Me/XP)• Cisco IOSCisco IOS• Mac OSMac OS• Sega DreamcastSega Dreamcast

SSOO emuladosSSOO emulados ::


• IP IP takeovertakeover• ratio de pérdida, latencia de ratio de pérdida, latencia de

comunicacióncomunicación• interfaz basada en línea de comandosinterfaz basada en línea de comandos y ficheros de configuracióny ficheros de configuración

Honeyd Honeyd ::


Honeyd Honeyd : segmento de red destino: segmento de red destino

HONEYNETHONEYNET


Honeyd Honeyd : : máquinas virtualesmáquinas virtuales

sistema Linuxsistema Linux• FTP, SMTP, POP3FTP, SMTP, POP3

sistema Windowssistema Windows• IISIIS

router router CiscoCisco• telnettelnet


Honeyd Honeyd : : direcciones IP LIBRESdirecciones IP LIBRES

En nuestro ejemplo:En nuestro ejemplo:

192.168.0.60 – 192.168.0.62192.168.0.60 – 192.168.0.62


Arpd Arpd : : captura de tráfico dirigido a las captura de tráfico dirigido a las máquinas virtuales máquinas virtuales

HONEYNETHONEYNET

PETICIÓN ARPPETICIÓN ARP192.168.0.60192.168.0.60

RESPUESTA ARPRESPUESTA ARP


Arpd Arpd : : sintáxissintáxis

./arpd –i eth0 192.168.0.60-192.168.0.62./arpd –i eth0 192.168.0.60-192.168.0.62


honeyd.conf honeyd.conf : : máquina Linuxmáquina Linux

create linuxcreate linuxset linux personality "Linux 2.0.32-34"set linux personality "Linux 2.0.32-34"set linux default tcp action resetset linux default tcp action resetset linux default udp action resetset linux default udp action resetadd linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport"add linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport"add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport"add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport"add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport"add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport"set linux uptime 3284460set linux uptime 3284460

bind 80.58.63.61 linuxbind 80.58.63.61 linux


honeyd.conf honeyd.conf : : máquina Windowsmáquina Windows

create windowscreate windowsset windows personality "Windows NT 4.0 Server SP5-SP6" set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action resetset windows default tcp action resetset windows default udp action resetset windows default udp action resetadd windows tcp port 80 "perl /usr/local/share/honeyd/scripts/iis-0.95/iisemul8.pl"add windows tcp port 80 "perl /usr/local/share/honeyd/scripts/iis-0.95/iisemul8.pl"add windows tcp port 139 openadd windows tcp port 139 openadd windows tcp port 137 openadd windows tcp port 137 openadd windows udp port 137 openadd windows udp port 137 openadd windows udp port 135 openadd windows udp port 135 openset windows uptime 3284460set windows uptime 3284460bind 80.58.63.60 windowsbind 80.58.63.60 windows


honeyd.conf honeyd.conf : : routerrouter Cisco Cisco

create routercreate routerset router personality "Cisco IOS 11.3 - 12.0(11)"set router personality "Cisco IOS 11.3 - 12.0(11)"set router default tcp action resetset router default tcp action resetset router default udp action resetset router default udp action resetadd router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl"add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl"set router uid 32767 gid 32767set router uid 32767 gid 32767set router uptime 1327650set router uptime 1327650

bind 80.58.63.62 routerbind 80.58.63.62 router


daemon.info,daemon.err,daemon.warn @servidor

syslog.conf syslog.conf : redirección a servidor : redirección a servidor de de logs logs remotoremoto


Honeyd Honeyd : : sintáxissintáxis

./honeyd ./honeyd –i eth0 –i eth0 ––p nmap.prints p nmap.prints ––x xprobe2.conf x xprobe2.conf ––f honeyd.conf f honeyd.conf 192.168.0.60-192.168.0.62192.168.0.60-192.168.0.62


PING a los PING a los hosts hosts virtualesvirtuales


Detección de OS en equipo CiscoDetección de OS en equipo Cisco


Detección de OS en servidor WindowsDetección de OS en servidor Windows


Servicio POP3 virtualServicio POP3 virtual


Servicio Web virtual: página por defectoServicio Web virtual: página por defecto


Servicio Web virtual: página inexistenteServicio Web virtual: página inexistente


Servicio FTP virtualServicio FTP virtual


Telnet equipo Cisco virtualTelnet equipo Cisco virtual


Sustituimos Sustituimos echo echo por por syslog ()syslog ()::


Honeyd Honeyd : : scripts scripts adicionalesadicionales

• wuftpdwuftpd• identident• lpdlpd• syslogdsyslogd• telnetdtelnetd• rpcrpc• sendmailsendmail

• squidsquid• qpopqpop• discarddiscard• fingerdfingerd• ldapldap• vncvnc• servicios MS Exchangeservicios MS Exchange


smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comando

#!/bin/sh#!/bin/shDATE=`date`DATE=`date`host=`hostname`host=`hostname`domain=`dnsdomainname`domain=`dnsdomainname`log=/tmp/honeyd/smtp-$1.loglog=/tmp/honeyd/smtp-$1.logMAILFROM="err"MAILFROM="err"EHELO="no"EHELO="no"RCPTTO="err"RCPTTO="err"echo "$DATE: SMTP started from $1 Port $2" >> $logecho "$DATE: SMTP started from $1 Port $2" >> $logecho -e "220 $host.$domain ESMTP Sendmail 8.12.2/8.12.2/SuSE Linux 0.6; echo -e "220 $host.$domain ESMTP Sendmail 8.12.2/8.12.2/SuSE Linux 0.6; $DATE\r"$DATE\r"


smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comandowhile read incmd parm1 parm2 parm3 parm4 parm5while read incmd parm1 parm2 parm3 parm4 parm5dodo

# remove control-characters# remove control-charactersincmd=ècho $incmd | sed s/[[:cntrl:]]//gìncmd=ècho $incmd | sed s/[[:cntrl:]]//g`parm1=ècho $parm1 | sed s/[[:cntrl:]]//g`parm1=ècho $parm1 | sed s/[[:cntrl:]]//g`parm2=ècho $parm2 | sed s/[[:cntrl:]]//g`parm2=ècho $parm2 | sed s/[[:cntrl:]]//g`parm3=ècho $parm3 | sed s/[[:cntrl:]]//g`parm3=ècho $parm3 | sed s/[[:cntrl:]]//g`parm4=ècho $parm4 | sed s/[[:cntrl:]]//g`parm4=ècho $parm4 | sed s/[[:cntrl:]]//g`parm5=ècho $parm5 | sed s/[[:cntrl:]]//g`parm5=ècho $parm5 | sed s/[[:cntrl:]]//g` # convert to upper-case# convert to upper-caseincmd_nocase=ècho $incmd | gawk '{print toupper($0);}'ìncmd_nocase=ècho $incmd | gawk '{print toupper($0);}'`


smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comandocase $incmd_nocase incase $incmd_nocase in QUIT* )QUIT* )

echo "220 2.0.0 $host.$domain closing connection"echo "220 2.0.0 $host.$domain closing connection" exit 0exit 0

;;;; RSET* )RSET* )

echo "250 2.0.0 Reset state"echo "250 2.0.0 Reset state";;;;

RAFA* )RAFA* )echo “Hola Rafa!”echo “Hola Rafa!”;;;;

* )* )echo "500 5.5.1 Command unrecognized: \"$incmd\""echo "500 5.5.1 Command unrecognized: \"$incmd\"";;;;

esacesac


smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comando


script script IISIIS : : cambiar la página webcambiar la página web


Honeyd Honeyd : emulación de redes: emulación de redes


Honeyd Honeyd : emulación de redes: emulación de redes


herramienta de gestión: característicasherramienta de gestión: características

• parsear mensajes parsear mensajes honeydhoneyd• empaquetado y almacenaje deempaquetado y almacenaje de logs logs• cifrado de la comunicacióncifrado de la comunicación• estadísticas del sistemaestadísticas del sistema


• ADMloggerADMloggerhttp://aaron.marasco.com/linux.htmlhttp://aaron.marasco.com/linux.html

• LogrepLogrephttp://itefix.no/cgi-bin/itefix/logrephttp://itefix.no/cgi-bin/itefix/logrep

• LireLirehttp://logreport.org/lire/http://logreport.org/lire/


SandboxSandbox: más seguridad: más seguridad

• Sólo llamadas al sistemas “legítimas” Sólo llamadas al sistemas “legítimas” (observación del funcionamiento “típico”)(observación del funcionamiento “típico”)

• Restriccíón de privilegiosRestriccíón de privilegios


• Auditorías de seguridadAuditorías de seguridad

• Diseño de sistemas de información Diseño de sistemas de información segurosseguros

• e-commercee-commerce• webweb• wirelesswireless

• redes de accesoredes de acceso• VPNVPN• sistemas operativossistemas operativos


¡Muchas gracias!

Technology

Sistemas Honeynet