ids : honeynet und honeypoteris.prakinf.tu-ilmenau.de/edu/hs/0203/triebel03honeynettalk.pdf ·...

Jens Triebel Jens Triebel -- 18.03.200318.03.2003

IDS : HoneyNet und HoneyPotIDS : HoneyNet und HoneyPot„„KnowKnow youryour EnemyEnemy““

Hauptseminar Telematik WS 2002/2003

2218.03.200318.03.2003IDS IDS –– HoneyNet und HoneyPotHoneyNet und HoneyPot

Jens TriebelJens Triebel

MotivationMotivation

In warfare, information is power. The better you In warfare, information is power. The better you understand your enemy, the more able you are understand your enemy, the more able you are to defeat him.to defeat him.

[Bruce [Bruce SchneierSchneier –– MitbegründerMitbegründer des des HoneynetHoneynetProject]Project]

Quelle : „Know your Enemy“ - Vorwort



GliederungGliederung

Aktive Gegenmaßnahmen und IDS

Konzept und Aufbau eines HoneyNet

Das HoneyNet Project



Aktive GegenmaßnahmenAktive Gegenmaßnahmen

Klassische Elemente der Netzwerksicherheit sind Klassische Elemente der Netzwerksicherheit sind überwiegend rein defensiv ausgelegtüberwiegend rein defensiv ausgelegtTechnologie, Taktik und Motivation des Gegners sind Technologie, Taktik und Motivation des Gegners sind oftmals unbekanntoftmals unbekanntHoneyNets sind eine Möglichkeit den Gegner zu HoneyNets sind eine Möglichkeit den Gegner zu attackieren indem man ihn in einer genau abgegrenzten attackieren indem man ihn in einer genau abgegrenzten Umgebung beobachtet ohne das ihm das bewusst istUmgebung beobachtet ohne das ihm das bewusst istHoneyPots unterstützen Konzepte der Digitalen Forensik HoneyPots unterstützen Konzepte der Digitalen Forensik und sind deshalb auch aus rechtlicher Perspektive und sind deshalb auch aus rechtlicher Perspektive interessantinteressant



Digitale ForensikDigitale Forensik

Strafrechtlich verwertbare Sammlung und Analyse von Strafrechtlich verwertbare Sammlung und Analyse von Beweismitteln, die durch den elektronischen Angriff auf Beweismitteln, die durch den elektronischen Angriff auf EDV Systeme entstehenEDV Systeme entstehenSpezielle Technologien notwendig da Hacker unter Spezielle Technologien notwendig da Hacker unter Umständen in der Lage sind ihre digitalen Spuren zu Umständen in der Lage sind ihre digitalen Spuren zu verwischenverwischen



IDS als neue SicherheitIDS als neue Sicherheit

Unternehmensnetze müssen zunehmend an die Unternehmensnetze müssen zunehmend an die Außenwelt angebunden werden (Außenwelt angebunden werden (EbusinessEbusiness, CRM, , CRM, Zugriff auf Datenbanken durch Mitarbeiter des Zugriff auf Datenbanken durch Mitarbeiter des Außendienstes, etc.)Außendienstes, etc.)Unternehmensnetze müssen zunehmend vor Angriffen Unternehmensnetze müssen zunehmend vor Angriffen geschützt werden (geschützt werden (DoSDoS, Würmer, etc.), Würmer, etc.)IDS sollen den Angreifer nicht aussperren sondern ihn IDS sollen den Angreifer nicht aussperren sondern ihn entdecken, um den Verantwortlichen die Möglichkeit zu entdecken, um den Verantwortlichen die Möglichkeit zu Gegenmaßnahmen zu gebenGegenmaßnahmen zu geben



Probleme von IDS LösungenProbleme von IDS Lösungen

Erfolgskriterien eines IDSErfolgskriterien eines IDSErfolgreiche Erkennung eines EindringlingsErfolgreiche Erkennung eines EindringlingsGeringe FehlalarmquoteGeringe Fehlalarmquote

Integration einer IDS Lösung in ein Integration einer IDS Lösung in ein Unternehmensnetzwerk ist äußerst aufwendigUnternehmensnetzwerk ist äußerst aufwendigVielfalt von Diensten und Anwendungen innerhalb einer Vielfalt von Diensten und Anwendungen innerhalb einer Netzwerkarchitektur erfordert hohen Wissensstand der Netzwerkarchitektur erfordert hohen Wissensstand der VerantwortlichenVerantwortlichen

Wer darf von Wo Welchen Dienst Wann nutzen ?Wer darf von Wo Welchen Dienst Wann nutzen ?Welche Netzwerkkomponenten erzeugen von sich aus Welche Netzwerkkomponenten erzeugen von sich aus automatisch automatisch TrafficTraffic ? (z.B. USV Geräte etc.)? (z.B. USV Geräte etc.)



Probleme von IDS LösungenProbleme von IDS Lösungen

Zwei klassische LösungsansätzeZwei klassische LösungsansätzeAlarmierung durch Mustererkennung eines AngriffsAlarmierung durch Mustererkennung eines Angriffs

Problem : Informationsrückstand Problem : Informationsrückstand –– neue Angriffe neue Angriffe verbreiten sich sehr schnell (wenige Stunden bis Tage)verbreiten sich sehr schnell (wenige Stunden bis Tage)

Alarmierung durch Vergleich mit „zugelassenen Alarmierung durch Vergleich mit „zugelassenen Aktivitäten“Aktivitäten“

Problem : unvollständige Informationslage Problem : unvollständige Informationslage –– hoher hoher PersonalPersonal-- und Zeitaufwand um normalen Netzverkehr und Zeitaufwand um normalen Netzverkehr zu definierenzu definieren

Neuer Lösungsansatz Neuer Lösungsansatz –– HoneyNetHoneyNetBeseitigen des Informationsrückstandes durch Beseitigen des Informationsrückstandes durch Beobachtung in abgegrenzter UmgebungBeobachtung in abgegrenzter Umgebung



Aufbau und Aufgaben eines HoneyPotAufbau und Aufgaben eines HoneyPot

AufbauAufbauAnsiedlung im UnternehmensnetzwerkAnsiedlung im UnternehmensnetzwerkLockt Angreifer durch das „vortäuschen“ vermeintlicher Lockt Angreifer durch das „vortäuschen“ vermeintlicher Sicherheitslücken anSicherheitslücken anNimmt nicht am normalen produktiven Netzverkehr teil, Nimmt nicht am normalen produktiven Netzverkehr teil, deswegen ist jede Aktivität auf einem HoneyPot deswegen ist jede Aktivität auf einem HoneyPot grundsätzlich verdächtiggrundsätzlich verdächtigBeinhaltet Tools zur Datensicherung und Beinhaltet Tools zur Datensicherung und ––analyseanalyse

AufgabenAufgabenIDS FunktionalitätIDS FunktionalitätAnlocken und Binden eines AngreifersAnlocken und Binden eines AngreifersForensische Aufzeichnung und Analyse des AngriffesForensische Aufzeichnung und Analyse des Angriffes



Ziele eines HoneyNetsZiele eines HoneyNetsIm Gegensatz zu einem HoneyPot dient ein HoneyNet Im Gegensatz zu einem HoneyPot dient ein HoneyNet nicht zur Abwehr von Angriffen in nicht zur Abwehr von Angriffen in UnternehmensnetzwerkenUnternehmensnetzwerkenZweck eines HoneyNet ist die Erforschung der Zweck eines HoneyNet ist die Erforschung der Techniken, Taktiken und Motiven von HackernTechniken, Taktiken und Motiven von HackernForschungszieleForschungsziele

Aufzeigen der Schwäche selbst von vermeintlich sicheren Aufzeigen der Schwäche selbst von vermeintlich sicheren SystemenSystemenIdentifizierung neuer AngriffstechnologienIdentifizierung neuer AngriffstechnologienInformationen über technologische Stärke bzw. Informationen über technologische Stärke bzw. technologisches Wissen der Hackertechnologisches Wissen der HackerEntwicklung von Technologien zur forensischen Entwicklung von Technologien zur forensischen DatensicherungDatensicherung



Kriterien eines HoneyNetKriterien eines HoneyNetDatensicherung und Datensicherung und ––analyseanalyse

Speicherung sämtlicher Aktivitäten um Angriff Speicherung sämtlicher Aktivitäten um Angriff rekonstruieren zu könnenrekonstruieren zu könnenVerdeckte Sicherung der Verdeckte Sicherung der LogFilesLogFiles in Echtzeit auf einem in Echtzeit auf einem Server, da viele Angreifer lokale Server, da viele Angreifer lokale LogFilesLogFiles löschenlöschenAufzeichnung auch von verschlüsselten Diensten wie zum Aufzeichnung auch von verschlüsselten Diensten wie zum Beispiel SSHBeispiel SSH

DatenkontrolleDatenkontrolleEin HoneyNet darf nicht als Ausgangspunkt für Angriffe Ein HoneyNet darf nicht als Ausgangspunkt für Angriffe auf Systeme außerhalb des eigenen Netzes dienenauf Systeme außerhalb des eigenen Netzes dienenGewisse ausgehende Verbindungen müssen aber erlaubt Gewisse ausgehende Verbindungen müssen aber erlaubt werden um es dem Angreifer zu ermöglichen Tools wie werden um es dem Angreifer zu ermöglichen Tools wie z.B. z.B. BackdoorsBackdoors aus dem Internet zu ladenaus dem Internet zu laden



Aufbau eines HoneyNet (Gen I)Aufbau eines HoneyNet (Gen I)

Ein Gen I HoneyNet besteht im Allgemeinen aus drei Ein Gen I HoneyNet besteht im Allgemeinen aus drei BestandteilenBestandteilen

HoneyPotsHoneyPotsZugriffskontrolleZugriffskontrolleDatensammlungDatensammlung

Und zwei NetzwerksegmentenUnd zwei Netzwerksegmentendatadata controlcontrol networknetwork -- HoneyPots und ZugriffskontrolleHoneyPots und Zugriffskontrolleadministrative administrative networknetwork –– Datensammlung und Datensammlung und ManagementManagementDas administrative Das administrative networknetwork ist von außen nicht sichtbarist von außen nicht sichtbar



HoneyPotsHoneyPots



ZugriffskontrolleZugriffskontrolle

Konfiguration der Konfiguration der FirewallFirewall für für inboundinbound connectionsconnectionsunbeschränktunbeschränktOutboundOutbound connectionsconnections müssen müssen explizit überwacht werdenexplizit überwacht werdenEine Möglichkeit ist es eine Eine Möglichkeit ist es eine bestimmte Anzahl zuzulassen bestimmte Anzahl zuzulassen und dann jede weitere und dann jede weitere Verbindung zu blockenVerbindung zu blocken



DatensammlungDatensammlung

LoggingLogging Daten aller Daten aller HoneyPots werden in Echtzeit HoneyPots werden in Echtzeit auf dem auf dem SyslogdSyslogd Server in Server in einer Datenbank gespeicherteiner Datenbank gespeichertEin System mit kommerziellen Ein System mit kommerziellen IDS Systemen soll VergleichsIDS Systemen soll Vergleichs--und Leistungswerte liefernund Leistungswerte liefern



Zusamm

enhangZusam

menhang



Aufbau Honeynet (Gen II)Aufbau Honeynet (Gen II)



Das HoneyNet ProjectDas HoneyNet Project

Gegründet im Juni 2000 (erste Entwicklungen seit April Gegründet im Juni 2000 (erste Entwicklungen seit April 1999)1999)Zusammenschluss von 30 Fachleuten aus den Zusammenschluss von 30 Fachleuten aus den BereichenBereichen

IT IT –– SicherheitSicherheitRechtRechtPhysiologiePhysiologie

Veröffentlichung des Buches „Veröffentlichung des Buches „KnowKnow youryour EnemyEnemy“ im “ im August 2001 bei August 2001 bei AddisonAddison WesleyWesleyFasst die Arbeit von zwei Jahren Forschung mit dem Fasst die Arbeit von zwei Jahren Forschung mit dem HoneyNet zusammenHoneyNet zusammen



Vier EntwicklungsphasenVier EntwicklungsphasenPhase I (1999 Phase I (1999 –– 2001)2001)

Konzeption des Gen I HoneyNetKonzeption des Gen I HoneyNetVeröffentlichung von „Veröffentlichung von „KnowKnow youryour EnemyEnemy““

Phase II (2002Phase II (2002--2003)2003)Konzeption des Gen II HoneyNetKonzeption des Gen II HoneyNetKonzeption von Konzeption von VirtualVirtual HoneyNetsHoneyNetsGründung der HoneyNet Research Gründung der HoneyNet Research AllianceAlliance

Phase III (ab 2003)Phase III (ab 2003)Entwicklung einer bootfähigen CDEntwicklung einer bootfähigen CD--Rom die ein schnelles Rom die ein schnelles und einfaches Aufsetzen eines HoneyNet ermöglichen soll und einfaches Aufsetzen eines HoneyNet ermöglichen soll (Honeywall)(Honeywall)

Phase IVPhase IVEntwicklung von Entwicklung von DistributedDistributed HoneyNetsHoneyNets



ErgebnisseErgebnisse

Etwa 20 neuartige Etwa 20 neuartige ScansScans pro Tag (pro Tag (uniqueunique scanscan))Die kürzeste Zeit, in der ein System erfolgreich Die kürzeste Zeit, in der ein System erfolgreich angegriffen wurde, waren 15 Minutenangegriffen wurde, waren 15 MinutenAnstieg der Aktivitäten um 100% Anstieg der Aktivitäten um 100% -- 900% von 2001 auf 900% von 2001 auf 20022002Lebensdauer einer Lebensdauer einer RedHatRedHat 6.2 Installation innerhalb des 6.2 Installation innerhalb des HoneyNet beträgt 72 StundenHoneyNet beträgt 72 StundenEine Windows 98 Installation mit aktivierten Freigaben Eine Windows 98 Installation mit aktivierten Freigaben wurde innerhalb von 24 Stunden kompromittiert, wurde innerhalb von 24 Stunden kompromittiert, innerhalb der nächsten 4 Tage weitere 5 malinnerhalb der nächsten 4 Tage weitere 5 malHäufigste Angriffsmethoden Häufigste Angriffsmethoden –– MassMass ScanScan, DNS Version , DNS Version Query und RPC Service QuerysQuery und RPC Service Querys



Ein Feind Ein Feind –– Der Der SkriptkiddieSkriptkiddie

Die meisten Angriffe werden von Personen durchgeführt Die meisten Angriffe werden von Personen durchgeführt die offenbar nur wenig technisches Verständnis für die die offenbar nur wenig technisches Verständnis für die Betriebssysteme haben die sie angreifenBetriebssysteme haben die sie angreifenSie verwenden existierende Skripte und Tools die sie Sie verwenden existierende Skripte und Tools die sie anscheinend gemäß einer Anleitung anwendenanscheinend gemäß einer Anleitung anwendenUm ein „leichtes“ Opfer zu finden werden Massen Um ein „leichtes“ Opfer zu finden werden Massen ScansScansnach bekannten Schwächer durchgeführtnach bekannten Schwächer durchgeführtAngriffsmuster, Technologie und Motive der Angriffsmuster, Technologie und Motive der SkriptkiddiesSkriptkiddies häufig homogen aber dafür äußerst häufig homogen aber dafür äußerst zahlreichzahlreich



„Konsolenbefehle“„Konsolenbefehle“[root@apollo /]# ps -aux | grep portmap[root@apollo /]# ps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/sbin/namedps -aux | grep inetd ; ps -aux | grep portmap ; rm /sbin/por<grepinetd ; ps -aux | grep portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr<p portmap ; rm /sbin/portmap ; rm /tmp/h ; rm /usr/sbin/rpc.portmap ; rm -rf<ap ; rm /tmp/h ; rm/usr/sbin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.ba<bin/rpc.portmap ; rm -rf .bash* ; rm -rf /root/.bash_history ; rm -rf /usr/s<bash* ; rm -rf /root/.bash_history ; rm -rf/usr/sbin/named359 ? 00:00:00 inetdrm: cannot remove `/sbin/portmap': No such file or directoryrm: cannot remove `/tmp/h': No such file or directory>rm: cannot remove `/usr/sbin/rpc.portmap': No such file or directory[root@apollo /]# rm: cannot remove `/sbin/portmap': No such file or directory



ZusammenfassungZusammenfassung

HoneyNets sind Systeme die konzipiert wurden um HoneyNets sind Systeme die konzipiert wurden um angegriffen zu werdenangegriffen zu werdenDie Schwierigkeit besteht darin dem Angreifer genug Die Schwierigkeit besteht darin dem Angreifer genug Freiheiten zu lassen aber dabei auch andere Systeme Freiheiten zu lassen aber dabei auch andere Systeme ausreichend zu schützenausreichend zu schützenDie Architektur Konzepte des Die Architektur Konzepte des HoneNetHoneNet Project Project versuchen erfolgreich diese Gradwanderung zu meisternversuchen erfolgreich diese Gradwanderung zu meisternDie Ergebnisse sind dabei oft erstaunlich und sollten das Die Ergebnisse sind dabei oft erstaunlich und sollten das Sicherheitsbewusstsein von Verantwortlichen erhöhenSicherheitsbewusstsein von Verantwortlichen erhöhen

http://project.honeynet.org



Das EndeDas Ende

Vielen Dank für die Aufmerksamkeit

ids : honeynet und honeypoteris.prakinf.tu-ilmenau.de/edu/hs/0203/triebel03honeynettalk.pdf ·...

Documents