Upload
conferencias-fist
View
387
Download
2
Tags:
Embed Size (px)
Citation preview
FIST Conference Febrero 2004 @
SISTEMAS HONEYNETSISTEMAS HONEYNET
Rafael San Miguel CarrascoSoluciones Seguras
FIST Conference Febrero 2004 @
1.1. Definición de Definición de honeynethoneynet2.2. SoftwareSoftware con tecnología con tecnología honeynethoneynet3.3. Ejemplo: Ejemplo: honeydhoneyd4.4. Gestión de un sistema Gestión de un sistema honeynethoneynet
FIST Conference Febrero 2004 @
• honeynet = honeynet = red trampa para red trampa para hackershackers• cebo en la redcebo en la red• distinguir tráfico legítimo de tráfico distinguir tráfico legítimo de tráfico
malintencionadomalintencionado• sustituye o complementa a sistemas sustituye o complementa a sistemas
HIDS y sondasHIDS y sondas
Definición de Definición de honeynet honeynet ::
FIST Conference Febrero 2004 @
“ “Cualquier tráfico dirigido a una máquina de la Cualquier tráfico dirigido a una máquina de la red que NO está en producción (red que NO está en producción (honeynethoneynet) ) proviene de un atacante”proviene de un atacante”
Definición de Definición de honeynet honeynet ::
SMTPSMTP WEBWEB HONEYNETHONEYNET
FIST Conference Febrero 2004 @
• honeynethoneynet para investigación para investigación• honeynet honeynet vulnerable como IDSvulnerable como IDS• honeynethoneynet protegida como IDS protegida como IDS
Clases de sistemas Clases de sistemas honeynet honeynet ::
FIST Conference Febrero 2004 @
• conocer la metodología de los conocer la metodología de los hackershackers• máxima protección de la máxima protección de la honeynethoneynet• importancia de los mecanismos de importancia de los mecanismos de
logginglogging
honeynet honeynet para investigación:para investigación:
FIST Conference Febrero 2004 @
• vulnerabilidad real y fácilmente detectablevulnerabilidad real y fácilmente detectable• protección del entorno de la protección del entorno de la honeynethoneynet ((firewallfirewall con reglas para tráfico con reglas para tráfico outout))• mecanismos de mecanismos de logging logging vulnerablesvulnerables
honeynet honeynet vulnerable como IDS:vulnerable como IDS:
FIST Conference Febrero 2004 @
• simulación de una vulnerabilidad simulación de una vulnerabilidad fácilmente detectablefácilmente detectable
• el atacante descubre el engaño fácilmenteel atacante descubre el engaño fácilmente• mecanismos de mecanismos de logging logging fiablesfiables
honeynet honeynet protegida como IDS:protegida como IDS:
FIST Conference Febrero 2004 @
• identificación de atacantes y acciones de identificación de atacantes y acciones de carácter legal o administrativocarácter legal o administrativo
honeynet honeynet protegida como IDS:protegida como IDS:
honeynet honeynet vulnerable como IDS:vulnerable como IDS:• disuade a los atacantes de comprometer el disuade a los atacantes de comprometer el
resto de máquinas de la redresto de máquinas de la red
FIST Conference Febrero 2004 @
• Symantec MantrapSymantec Mantrap• Deception ToolkitDeception Toolkit• LaBreaLaBrea• HoneydHoneyd
Productos con tecnología Productos con tecnología honeynet honeynet ::
FIST Conference Febrero 2004 @
• cagescages sobre sistema operativo sobre sistema operativo hosthost• logginglogging a través de a través de syslogsyslog• CGM (CGM (Content Generation ModuleContent Generation Module))• ataques internosataques internos• interfaz gráfica atractivainterfaz gráfica atractiva
Symantec Decoy Server (Mantrap) Symantec Decoy Server (Mantrap) ::
FIST Conference Febrero 2004 @
• simulación de servicios de red simulación de servicios de red vulnerablesvulnerables
• logginglogging a través de a través de syslogsyslog• gestión vía gestión vía telnet/rshtelnet/rsh• detección trivialdetección trivial
Deception Toolkit Deception Toolkit ::
FIST Conference Febrero 2004 @
• defensa basada en ataque DoS defensa basada en ataque DoS • ralentiza la expansión de ralentiza la expansión de worms worms • idea tomada del idea tomada del exploit naphtaexploit naphta • sólo “engaña” a robots de redsólo “engaña” a robots de red
LaBrea LaBrea ::
FIST Conference Febrero 2004 @
• emulación de:emulación de:• servicios de redservicios de red• topologías de redtopologías de red• SSOO a nivel de SSOO a nivel de stackstack TCP/IP TCP/IP
Honeyd Honeyd ::
FIST Conference Febrero 2004 @
• LinuxLinux• Windows (95/98/NT/2000/Me/XP)Windows (95/98/NT/2000/Me/XP)• Cisco IOSCisco IOS• Mac OSMac OS• Sega DreamcastSega Dreamcast
SSOO emuladosSSOO emulados ::
FIST Conference Febrero 2004 @
• IP IP takeovertakeover• ratio de pérdida, latencia de ratio de pérdida, latencia de
comunicacióncomunicación• interfaz basada en línea de comandosinterfaz basada en línea de comandos y ficheros de configuracióny ficheros de configuración
Honeyd Honeyd ::
FIST Conference Febrero 2004 @
Honeyd Honeyd : segmento de red destino: segmento de red destino
HONEYNETHONEYNET
FIST Conference Febrero 2004 @
Honeyd Honeyd : : máquinas virtualesmáquinas virtuales
sistema Linuxsistema Linux• FTP, SMTP, POP3FTP, SMTP, POP3
sistema Windowssistema Windows• IISIIS
router router CiscoCisco• telnettelnet
FIST Conference Febrero 2004 @
Honeyd Honeyd : : direcciones IP LIBRESdirecciones IP LIBRES
En nuestro ejemplo:En nuestro ejemplo:
192.168.0.60 – 192.168.0.62192.168.0.60 – 192.168.0.62
FIST Conference Febrero 2004 @
Arpd Arpd : : captura de tráfico dirigido a las captura de tráfico dirigido a las máquinas virtuales máquinas virtuales
HONEYNETHONEYNET
PETICIÓN ARPPETICIÓN ARP192.168.0.60192.168.0.60
RESPUESTA ARPRESPUESTA ARP
FIST Conference Febrero 2004 @
Arpd Arpd : : sintáxissintáxis
./arpd –i eth0 192.168.0.60-192.168.0.62./arpd –i eth0 192.168.0.60-192.168.0.62
FIST Conference Febrero 2004 @
honeyd.conf honeyd.conf : : máquina Linuxmáquina Linux
create linuxcreate linuxset linux personality "Linux 2.0.32-34"set linux personality "Linux 2.0.32-34"set linux default tcp action resetset linux default tcp action resetset linux default udp action resetset linux default udp action resetadd linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport"add linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport"add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport"add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport"add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport"add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport"set linux uptime 3284460set linux uptime 3284460
bind 80.58.63.61 linuxbind 80.58.63.61 linux
FIST Conference Febrero 2004 @
honeyd.conf honeyd.conf : : máquina Windowsmáquina Windows
create windowscreate windowsset windows personality "Windows NT 4.0 Server SP5-SP6" set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action resetset windows default tcp action resetset windows default udp action resetset windows default udp action resetadd windows tcp port 80 "perl /usr/local/share/honeyd/scripts/iis-0.95/iisemul8.pl"add windows tcp port 80 "perl /usr/local/share/honeyd/scripts/iis-0.95/iisemul8.pl"add windows tcp port 139 openadd windows tcp port 139 openadd windows tcp port 137 openadd windows tcp port 137 openadd windows udp port 137 openadd windows udp port 137 openadd windows udp port 135 openadd windows udp port 135 openset windows uptime 3284460set windows uptime 3284460bind 80.58.63.60 windowsbind 80.58.63.60 windows
FIST Conference Febrero 2004 @
honeyd.conf honeyd.conf : : routerrouter Cisco Cisco
create routercreate routerset router personality "Cisco IOS 11.3 - 12.0(11)"set router personality "Cisco IOS 11.3 - 12.0(11)"set router default tcp action resetset router default tcp action resetset router default udp action resetset router default udp action resetadd router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl"add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl"set router uid 32767 gid 32767set router uid 32767 gid 32767set router uptime 1327650set router uptime 1327650
bind 80.58.63.62 routerbind 80.58.63.62 router
FIST Conference Febrero 2004 @
daemon.info,daemon.err,daemon.warn @servidor
syslog.conf syslog.conf : redirección a servidor : redirección a servidor de de logs logs remotoremoto
FIST Conference Febrero 2004 @
Honeyd Honeyd : : sintáxissintáxis
./honeyd ./honeyd –i eth0 –i eth0 ––p nmap.prints p nmap.prints ––x xprobe2.conf x xprobe2.conf ––f honeyd.conf f honeyd.conf 192.168.0.60-192.168.0.62192.168.0.60-192.168.0.62
FIST Conference Febrero 2004 @
Detección de OS en servidor WindowsDetección de OS en servidor Windows
FIST Conference Febrero 2004 @
Servicio Web virtual: página por defectoServicio Web virtual: página por defecto
FIST Conference Febrero 2004 @
Servicio Web virtual: página inexistenteServicio Web virtual: página inexistente
FIST Conference Febrero 2004 @
Honeyd Honeyd : : scripts scripts adicionalesadicionales
• wuftpdwuftpd• identident• lpdlpd• syslogdsyslogd• telnetdtelnetd• rpcrpc• sendmailsendmail
• squidsquid• qpopqpop• discarddiscard• fingerdfingerd• ldapldap• vncvnc• servicios MS Exchangeservicios MS Exchange
FIST Conference Febrero 2004 @
smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comando
#!/bin/sh#!/bin/shDATE=`date`DATE=`date`host=`hostname`host=`hostname`domain=`dnsdomainname`domain=`dnsdomainname`log=/tmp/honeyd/smtp-$1.loglog=/tmp/honeyd/smtp-$1.logMAILFROM="err"MAILFROM="err"EHELO="no"EHELO="no"RCPTTO="err"RCPTTO="err"echo "$DATE: SMTP started from $1 Port $2" >> $logecho "$DATE: SMTP started from $1 Port $2" >> $logecho -e "220 $host.$domain ESMTP Sendmail 8.12.2/8.12.2/SuSE Linux 0.6; echo -e "220 $host.$domain ESMTP Sendmail 8.12.2/8.12.2/SuSE Linux 0.6; $DATE\r"$DATE\r"
FIST Conference Febrero 2004 @
smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comandowhile read incmd parm1 parm2 parm3 parm4 parm5while read incmd parm1 parm2 parm3 parm4 parm5dodo
# remove control-characters# remove control-charactersincmd=`echo $incmd | sed s/[[:cntrl:]]//g`incmd=`echo $incmd | sed s/[[:cntrl:]]//g`parm1=`echo $parm1 | sed s/[[:cntrl:]]//g`parm1=`echo $parm1 | sed s/[[:cntrl:]]//g`parm2=`echo $parm2 | sed s/[[:cntrl:]]//g`parm2=`echo $parm2 | sed s/[[:cntrl:]]//g`parm3=`echo $parm3 | sed s/[[:cntrl:]]//g`parm3=`echo $parm3 | sed s/[[:cntrl:]]//g`parm4=`echo $parm4 | sed s/[[:cntrl:]]//g`parm4=`echo $parm4 | sed s/[[:cntrl:]]//g`parm5=`echo $parm5 | sed s/[[:cntrl:]]//g`parm5=`echo $parm5 | sed s/[[:cntrl:]]//g` # convert to upper-case# convert to upper-caseincmd_nocase=`echo $incmd | gawk '{print toupper($0);}'`incmd_nocase=`echo $incmd | gawk '{print toupper($0);}'`
FIST Conference Febrero 2004 @
smtp.sh smtp.sh : : añadir un nuevo comandoañadir un nuevo comandocase $incmd_nocase incase $incmd_nocase in QUIT* )QUIT* )
echo "220 2.0.0 $host.$domain closing connection"echo "220 2.0.0 $host.$domain closing connection" exit 0exit 0
;;;; RSET* )RSET* )
echo "250 2.0.0 Reset state"echo "250 2.0.0 Reset state";;;;
RAFA* )RAFA* )echo “Hola Rafa!”echo “Hola Rafa!”;;;;
* )* )echo "500 5.5.1 Command unrecognized: \"$incmd\""echo "500 5.5.1 Command unrecognized: \"$incmd\"";;;;
esacesac
FIST Conference Febrero 2004 @
herramienta de gestión: característicasherramienta de gestión: características
• parsear mensajes parsear mensajes honeydhoneyd• empaquetado y almacenaje deempaquetado y almacenaje de logs logs• cifrado de la comunicacióncifrado de la comunicación• estadísticas del sistemaestadísticas del sistema
FIST Conference Febrero 2004 @
• ADMloggerADMloggerhttp://aaron.marasco.com/linux.htmlhttp://aaron.marasco.com/linux.html
• LogrepLogrephttp://itefix.no/cgi-bin/itefix/logrephttp://itefix.no/cgi-bin/itefix/logrep
• LireLirehttp://logreport.org/lire/http://logreport.org/lire/
FIST Conference Febrero 2004 @
SandboxSandbox: más seguridad: más seguridad
• Sólo llamadas al sistemas “legítimas” Sólo llamadas al sistemas “legítimas” (observación del funcionamiento “típico”)(observación del funcionamiento “típico”)
• Restriccíón de privilegiosRestriccíón de privilegios
FIST Conference Febrero 2004 @
• Auditorías de seguridadAuditorías de seguridad
• Diseño de sistemas de información Diseño de sistemas de información segurosseguros
• e-commercee-commerce• webweb• wirelesswireless
• redes de accesoredes de acceso• VPNVPN• sistemas operativossistemas operativos