ids : honeynet und honeypoteris.prakinf.tu-ilmenau.de/edu/hs/0203/triebel03honeynettalk.pdf ·...
TRANSCRIPT
Jens Triebel Jens Triebel -- 18.03.200318.03.2003
IDS : HoneyNet und HoneyPotIDS : HoneyNet und HoneyPot„„KnowKnow youryour EnemyEnemy““
Hauptseminar Telematik WS 2002/2003
2218.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
MotivationMotivation
In warfare, information is power. The better you In warfare, information is power. The better you understand your enemy, the more able you are understand your enemy, the more able you are to defeat him.to defeat him.
[Bruce [Bruce SchneierSchneier –– MitbegründerMitbegründer des des HoneynetHoneynetProject]Project]
Quelle : „Know your Enemy“ - Vorwort
3318.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
GliederungGliederung
Aktive Gegenmaßnahmen und IDS
Konzept und Aufbau eines HoneyNet
Das HoneyNet Project
4418.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
GliederungGliederung
Aktive Gegenmaßnahmen und IDS
Konzept und Aufbau eines HoneyNet
Das HoneyNet Project
5518.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Aktive GegenmaßnahmenAktive Gegenmaßnahmen
Klassische Elemente der Netzwerksicherheit sind Klassische Elemente der Netzwerksicherheit sind überwiegend rein defensiv ausgelegtüberwiegend rein defensiv ausgelegtTechnologie, Taktik und Motivation des Gegners sind Technologie, Taktik und Motivation des Gegners sind oftmals unbekanntoftmals unbekanntHoneyNets sind eine Möglichkeit den Gegner zu HoneyNets sind eine Möglichkeit den Gegner zu attackieren indem man ihn in einer genau abgegrenzten attackieren indem man ihn in einer genau abgegrenzten Umgebung beobachtet ohne das ihm das bewusst istUmgebung beobachtet ohne das ihm das bewusst istHoneyPots unterstützen Konzepte der Digitalen Forensik HoneyPots unterstützen Konzepte der Digitalen Forensik und sind deshalb auch aus rechtlicher Perspektive und sind deshalb auch aus rechtlicher Perspektive interessantinteressant
6618.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Digitale ForensikDigitale Forensik
Strafrechtlich verwertbare Sammlung und Analyse von Strafrechtlich verwertbare Sammlung und Analyse von Beweismitteln, die durch den elektronischen Angriff auf Beweismitteln, die durch den elektronischen Angriff auf EDV Systeme entstehenEDV Systeme entstehenSpezielle Technologien notwendig da Hacker unter Spezielle Technologien notwendig da Hacker unter Umständen in der Lage sind ihre digitalen Spuren zu Umständen in der Lage sind ihre digitalen Spuren zu verwischenverwischen
7718.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
IDS als neue SicherheitIDS als neue Sicherheit
Unternehmensnetze müssen zunehmend an die Unternehmensnetze müssen zunehmend an die Außenwelt angebunden werden (Außenwelt angebunden werden (EbusinessEbusiness, CRM, , CRM, Zugriff auf Datenbanken durch Mitarbeiter des Zugriff auf Datenbanken durch Mitarbeiter des Außendienstes, etc.)Außendienstes, etc.)Unternehmensnetze müssen zunehmend vor Angriffen Unternehmensnetze müssen zunehmend vor Angriffen geschützt werden (geschützt werden (DoSDoS, Würmer, etc.), Würmer, etc.)IDS sollen den Angreifer nicht aussperren sondern ihn IDS sollen den Angreifer nicht aussperren sondern ihn entdecken, um den Verantwortlichen die Möglichkeit zu entdecken, um den Verantwortlichen die Möglichkeit zu Gegenmaßnahmen zu gebenGegenmaßnahmen zu geben
8818.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Probleme von IDS LösungenProbleme von IDS Lösungen
Erfolgskriterien eines IDSErfolgskriterien eines IDSErfolgreiche Erkennung eines EindringlingsErfolgreiche Erkennung eines EindringlingsGeringe FehlalarmquoteGeringe Fehlalarmquote
Integration einer IDS Lösung in ein Integration einer IDS Lösung in ein Unternehmensnetzwerk ist äußerst aufwendigUnternehmensnetzwerk ist äußerst aufwendigVielfalt von Diensten und Anwendungen innerhalb einer Vielfalt von Diensten und Anwendungen innerhalb einer Netzwerkarchitektur erfordert hohen Wissensstand der Netzwerkarchitektur erfordert hohen Wissensstand der VerantwortlichenVerantwortlichen
Wer darf von Wo Welchen Dienst Wann nutzen ?Wer darf von Wo Welchen Dienst Wann nutzen ?Welche Netzwerkkomponenten erzeugen von sich aus Welche Netzwerkkomponenten erzeugen von sich aus automatisch automatisch TrafficTraffic ? (z.B. USV Geräte etc.)? (z.B. USV Geräte etc.)
9918.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Probleme von IDS LösungenProbleme von IDS Lösungen
Zwei klassische LösungsansätzeZwei klassische LösungsansätzeAlarmierung durch Mustererkennung eines AngriffsAlarmierung durch Mustererkennung eines Angriffs
Problem : Informationsrückstand Problem : Informationsrückstand –– neue Angriffe neue Angriffe verbreiten sich sehr schnell (wenige Stunden bis Tage)verbreiten sich sehr schnell (wenige Stunden bis Tage)
Alarmierung durch Vergleich mit „zugelassenen Alarmierung durch Vergleich mit „zugelassenen Aktivitäten“Aktivitäten“
Problem : unvollständige Informationslage Problem : unvollständige Informationslage –– hoher hoher PersonalPersonal-- und Zeitaufwand um normalen Netzverkehr und Zeitaufwand um normalen Netzverkehr zu definierenzu definieren
Neuer Lösungsansatz Neuer Lösungsansatz –– HoneyNetHoneyNetBeseitigen des Informationsrückstandes durch Beseitigen des Informationsrückstandes durch Beobachtung in abgegrenzter UmgebungBeobachtung in abgegrenzter Umgebung
101018.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
GliederungGliederung
Aktive Gegenmaßnahmen und IDS
Konzept und Aufbau eines HoneyNet
Das HoneyNet Project
111118.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Aufbau und Aufgaben eines HoneyPotAufbau und Aufgaben eines HoneyPot
AufbauAufbauAnsiedlung im UnternehmensnetzwerkAnsiedlung im UnternehmensnetzwerkLockt Angreifer durch das „vortäuschen“ vermeintlicher Lockt Angreifer durch das „vortäuschen“ vermeintlicher Sicherheitslücken anSicherheitslücken anNimmt nicht am normalen produktiven Netzverkehr teil, Nimmt nicht am normalen produktiven Netzverkehr teil, deswegen ist jede Aktivität auf einem HoneyPot deswegen ist jede Aktivität auf einem HoneyPot grundsätzlich verdächtiggrundsätzlich verdächtigBeinhaltet Tools zur Datensicherung und Beinhaltet Tools zur Datensicherung und ––analyseanalyse
AufgabenAufgabenIDS FunktionalitätIDS FunktionalitätAnlocken und Binden eines AngreifersAnlocken und Binden eines AngreifersForensische Aufzeichnung und Analyse des AngriffesForensische Aufzeichnung und Analyse des Angriffes
121218.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Ziele eines HoneyNetsZiele eines HoneyNetsIm Gegensatz zu einem HoneyPot dient ein HoneyNet Im Gegensatz zu einem HoneyPot dient ein HoneyNet nicht zur Abwehr von Angriffen in nicht zur Abwehr von Angriffen in UnternehmensnetzwerkenUnternehmensnetzwerkenZweck eines HoneyNet ist die Erforschung der Zweck eines HoneyNet ist die Erforschung der Techniken, Taktiken und Motiven von HackernTechniken, Taktiken und Motiven von HackernForschungszieleForschungsziele
Aufzeigen der Schwäche selbst von vermeintlich sicheren Aufzeigen der Schwäche selbst von vermeintlich sicheren SystemenSystemenIdentifizierung neuer AngriffstechnologienIdentifizierung neuer AngriffstechnologienInformationen über technologische Stärke bzw. Informationen über technologische Stärke bzw. technologisches Wissen der Hackertechnologisches Wissen der HackerEntwicklung von Technologien zur forensischen Entwicklung von Technologien zur forensischen DatensicherungDatensicherung
131318.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Kriterien eines HoneyNetKriterien eines HoneyNetDatensicherung und Datensicherung und ––analyseanalyse
Speicherung sämtlicher Aktivitäten um Angriff Speicherung sämtlicher Aktivitäten um Angriff rekonstruieren zu könnenrekonstruieren zu könnenVerdeckte Sicherung der Verdeckte Sicherung der LogFilesLogFiles in Echtzeit auf einem in Echtzeit auf einem Server, da viele Angreifer lokale Server, da viele Angreifer lokale LogFilesLogFiles löschenlöschenAufzeichnung auch von verschlüsselten Diensten wie zum Aufzeichnung auch von verschlüsselten Diensten wie zum Beispiel SSHBeispiel SSH
DatenkontrolleDatenkontrolleEin HoneyNet darf nicht als Ausgangspunkt für Angriffe Ein HoneyNet darf nicht als Ausgangspunkt für Angriffe auf Systeme außerhalb des eigenen Netzes dienenauf Systeme außerhalb des eigenen Netzes dienenGewisse ausgehende Verbindungen müssen aber erlaubt Gewisse ausgehende Verbindungen müssen aber erlaubt werden um es dem Angreifer zu ermöglichen Tools wie werden um es dem Angreifer zu ermöglichen Tools wie z.B. z.B. BackdoorsBackdoors aus dem Internet zu ladenaus dem Internet zu laden
141418.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Aufbau eines HoneyNet (Gen I)Aufbau eines HoneyNet (Gen I)
Ein Gen I HoneyNet besteht im Allgemeinen aus drei Ein Gen I HoneyNet besteht im Allgemeinen aus drei BestandteilenBestandteilen
HoneyPotsHoneyPotsZugriffskontrolleZugriffskontrolleDatensammlungDatensammlung
Und zwei NetzwerksegmentenUnd zwei Netzwerksegmentendatadata controlcontrol networknetwork -- HoneyPots und ZugriffskontrolleHoneyPots und Zugriffskontrolleadministrative administrative networknetwork –– Datensammlung und Datensammlung und ManagementManagementDas administrative Das administrative networknetwork ist von außen nicht sichtbarist von außen nicht sichtbar
151518.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
HoneyPotsHoneyPots
161618.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
ZugriffskontrolleZugriffskontrolle
Konfiguration der Konfiguration der FirewallFirewall für für inboundinbound connectionsconnectionsunbeschränktunbeschränktOutboundOutbound connectionsconnections müssen müssen explizit überwacht werdenexplizit überwacht werdenEine Möglichkeit ist es eine Eine Möglichkeit ist es eine bestimmte Anzahl zuzulassen bestimmte Anzahl zuzulassen und dann jede weitere und dann jede weitere Verbindung zu blockenVerbindung zu blocken
171718.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
DatensammlungDatensammlung
LoggingLogging Daten aller Daten aller HoneyPots werden in Echtzeit HoneyPots werden in Echtzeit auf dem auf dem SyslogdSyslogd Server in Server in einer Datenbank gespeicherteiner Datenbank gespeichertEin System mit kommerziellen Ein System mit kommerziellen IDS Systemen soll VergleichsIDS Systemen soll Vergleichs--und Leistungswerte liefernund Leistungswerte liefern
181818.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Zusamm
enhangZusam
menhang
191918.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Aufbau Honeynet (Gen II)Aufbau Honeynet (Gen II)
202018.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
GliederungGliederung
Aktive Gegenmaßnahmen und IDS
Konzept und Aufbau eines HoneyNet
Das HoneyNet Project
212118.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Das HoneyNet ProjectDas HoneyNet Project
Gegründet im Juni 2000 (erste Entwicklungen seit April Gegründet im Juni 2000 (erste Entwicklungen seit April 1999)1999)Zusammenschluss von 30 Fachleuten aus den Zusammenschluss von 30 Fachleuten aus den BereichenBereichen
IT IT –– SicherheitSicherheitRechtRechtPhysiologiePhysiologie
Veröffentlichung des Buches „Veröffentlichung des Buches „KnowKnow youryour EnemyEnemy“ im “ im August 2001 bei August 2001 bei AddisonAddison WesleyWesleyFasst die Arbeit von zwei Jahren Forschung mit dem Fasst die Arbeit von zwei Jahren Forschung mit dem HoneyNet zusammenHoneyNet zusammen
222218.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Vier EntwicklungsphasenVier EntwicklungsphasenPhase I (1999 Phase I (1999 –– 2001)2001)
Konzeption des Gen I HoneyNetKonzeption des Gen I HoneyNetVeröffentlichung von „Veröffentlichung von „KnowKnow youryour EnemyEnemy““
Phase II (2002Phase II (2002--2003)2003)Konzeption des Gen II HoneyNetKonzeption des Gen II HoneyNetKonzeption von Konzeption von VirtualVirtual HoneyNetsHoneyNetsGründung der HoneyNet Research Gründung der HoneyNet Research AllianceAlliance
Phase III (ab 2003)Phase III (ab 2003)Entwicklung einer bootfähigen CDEntwicklung einer bootfähigen CD--Rom die ein schnelles Rom die ein schnelles und einfaches Aufsetzen eines HoneyNet ermöglichen soll und einfaches Aufsetzen eines HoneyNet ermöglichen soll (Honeywall)(Honeywall)
Phase IVPhase IVEntwicklung von Entwicklung von DistributedDistributed HoneyNetsHoneyNets
232318.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
ErgebnisseErgebnisse
Etwa 20 neuartige Etwa 20 neuartige ScansScans pro Tag (pro Tag (uniqueunique scanscan))Die kürzeste Zeit, in der ein System erfolgreich Die kürzeste Zeit, in der ein System erfolgreich angegriffen wurde, waren 15 Minutenangegriffen wurde, waren 15 MinutenAnstieg der Aktivitäten um 100% Anstieg der Aktivitäten um 100% -- 900% von 2001 auf 900% von 2001 auf 20022002Lebensdauer einer Lebensdauer einer RedHatRedHat 6.2 Installation innerhalb des 6.2 Installation innerhalb des HoneyNet beträgt 72 StundenHoneyNet beträgt 72 StundenEine Windows 98 Installation mit aktivierten Freigaben Eine Windows 98 Installation mit aktivierten Freigaben wurde innerhalb von 24 Stunden kompromittiert, wurde innerhalb von 24 Stunden kompromittiert, innerhalb der nächsten 4 Tage weitere 5 malinnerhalb der nächsten 4 Tage weitere 5 malHäufigste Angriffsmethoden Häufigste Angriffsmethoden –– MassMass ScanScan, DNS Version , DNS Version Query und RPC Service QuerysQuery und RPC Service Querys
242418.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
Ein Feind Ein Feind –– Der Der SkriptkiddieSkriptkiddie
Die meisten Angriffe werden von Personen durchgeführt Die meisten Angriffe werden von Personen durchgeführt die offenbar nur wenig technisches Verständnis für die die offenbar nur wenig technisches Verständnis für die Betriebssysteme haben die sie angreifenBetriebssysteme haben die sie angreifenSie verwenden existierende Skripte und Tools die sie Sie verwenden existierende Skripte und Tools die sie anscheinend gemäß einer Anleitung anwendenanscheinend gemäß einer Anleitung anwendenUm ein „leichtes“ Opfer zu finden werden Massen Um ein „leichtes“ Opfer zu finden werden Massen ScansScansnach bekannten Schwächer durchgeführtnach bekannten Schwächer durchgeführtAngriffsmuster, Technologie und Motive der Angriffsmuster, Technologie und Motive der SkriptkiddiesSkriptkiddies häufig homogen aber dafür äußerst häufig homogen aber dafür äußerst zahlreichzahlreich
252518.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
„Konsolenbefehle“„Konsolenbefehle“[root@apollo /]# ps -aux | grep portmap[root@apollo /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/por<grepinetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm/usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf/usr/sbin/named359 ? 00:00:00 inetdrm: cannot remove `/sbin/portmap': No such file or directoryrm: cannot remove `/tmp/h': No such file or directory>rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory[root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or directory
262618.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot
Jens TriebelJens Triebel
ZusammenfassungZusammenfassung
HoneyNets sind Systeme die konzipiert wurden um HoneyNets sind Systeme die konzipiert wurden um angegriffen zu werdenangegriffen zu werdenDie Schwierigkeit besteht darin dem Angreifer genug Die Schwierigkeit besteht darin dem Angreifer genug Freiheiten zu lassen aber dabei auch andere Systeme Freiheiten zu lassen aber dabei auch andere Systeme ausreichend zu schützenausreichend zu schützenDie Architektur Konzepte des Die Architektur Konzepte des HoneNetHoneNet Project Project versuchen erfolgreich diese Gradwanderung zu meisternversuchen erfolgreich diese Gradwanderung zu meisternDie Ergebnisse sind dabei oft erstaunlich und sollten das Die Ergebnisse sind dabei oft erstaunlich und sollten das Sicherheitsbewusstsein von Verantwortlichen erhöhenSicherheitsbewusstsein von Verantwortlichen erhöhen
http://project.honeynet.org