Sistemas Honeynet

FIST Conference Febrero 2004 @

SISTEMAS HONEYNET
Rafael San Miguel Carrasco
Soluciones Seguras


1. Definición de honeynet
2. Software con tecnología honeynet
3. Ejemplo: honeyd
4. Gestión de un sistema honeynet


Definición de honeynet :
• honeynet = red trampa para hackers
• cebo en la red
• distinguir tráfico legítimo de tráfico
malintencionado
• sustituye o complementa a sistemas
HIDS y sondas


Definición de honeynet :
“Cualquier tráfico dirigido a una máquina de la
red que NO está en producción (honeynet)
proviene de un atacante”

SMTP WEB HONEYNET


Clases de sistemas honeynet :
• honeynet para investigación
• honeynet vulnerable como IDS
• honeynet protegida como IDS


honeynet para investigación:
• conocer la metodología de los hackers
• máxima protección de la honeynet
• importancia de los mecanismos de
logging


honeynet vulnerable como IDS:
• vulnerabilidad real y fácilmente detectable
• protección del entorno de la honeynet
(firewall con reglas para tráfico out)
• mecanismos de logging vulnerables


honeynet protegida como IDS:
• simulación de una vulnerabilidad
fácilmente detectable
• el atacante descubre el engaño fácilmente
• mecanismos de logging fiables


honeynet vulnerable como IDS:
• disuade a los atacantes de comprometer el
resto de máquinas de la red

honeynet protegida como IDS:
• identificación de atacantes y acciones de
carácter legal o administrativo


Productos con tecnología honeynet :
• Symantec Mantrap
• Deception Toolkit
• LaBrea
• Honeyd


Symantec Decoy Server (Mantrap) :
• cages sobre sistema operativo host
• logging a través de syslog
• CGM (Content Generation Module)
• ataques internos
• interfaz gráfica atractiva


Deception Toolkit :
• simulación de servicios de red
vulnerables
• logging a través de syslog
• gestión vía telnet/rsh
• detección trivial


LaBrea :
• defensa basada en ataque DoS
• ralentiza la expansión de worms
• idea tomada del exploit naphta
• sólo “engaña” a robots de red


Honeyd :
• emulación de:
• servicios de red
• topologías de red
• SSOO a nivel de stack TCP/IP


SSOO emulados :
• Linux
• Windows (95/98/NT/2000/Me/XP)
• Cisco IOS
• Mac OS
• Sega Dreamcast


Honeyd :
• IP takeover
• ratio de pérdida, latencia de
comunicación
• interfaz basada en línea de comandos
y ficheros de configuración


Honeyd : segmento de red destino

HONEYNET


Honeyd : máquinas virtuales
sistema Linux
• FTP, SMTP, POP3
sistema Windows
• IIS
router Cisco
• telnet


Honeyd : direcciones IP LIBRES

En nuestro ejemplo:
192.168.0.60 – 192.168.0.62


Arpd : captura de tráfico dirigido a las
máquinas virtuales
HONEYNET

PETICIÓN ARP
192.168.0.60
RESPUESTA ARP


Arpd : sintáxis

./arpd –i eth0 192.168.0.60-192.168.0.62


honeyd.conf : máquina Linux
create linux
set linux personality "Linux 2.0.32-34"
set linux default tcp action reset
set linux default udp action reset
add linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport"
add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport"
add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport"
set linux uptime 3284460
bind 80.58.63.61 linux


honeyd.conf : máquina Windows
create windows
set windows personality "Windows NT 4.0 Server SP5-SP6"
set windows default tcp action reset
set windows default udp action reset
add windows tcp port 80 "perl /usr/local/share/honeyd/scripts/iis-0.95/iisemul8.pl"
add windows tcp port 139 open
add windows tcp port 137 open
add windows udp port 137 open
add windows udp port 135 open
set windows uptime 3284460
bind 80.58.63.60 windows


honeyd.conf : router Cisco
create router
set router personality "Cisco IOS 11.3 - 12.0(11)"
set router default tcp action reset
set router default udp action reset
add router tcp port 23 "/usr/bin/perl scripts/router-telnet.pl"
set router uid 32767 gid 32767
set router uptime 1327650
bind 80.58.63.62 router


syslog.conf : redirección a servidor
de logs remoto
daemon.info,daemon.err,daemon.warn @servidor


Honeyd : sintáxis

./honeyd –i eth0
–p nmap.prints
–x xprobe2.conf
–f honeyd.conf
192.168.0.60-192.168.0.62


PING a los hosts virtuales


Detección de OS en equipo Cisco


Detección de OS en servidor Windows


Servicio POP3 virtual


Servicio Web virtual: página por defecto


Servicio Web virtual: página inexistente


Servicio FTP virtual


Telnet equipo Cisco virtual


Sustituimos echo por syslog ():


Honeyd : scripts adicionales
• wuftpd • squid
• ident • qpop
• lpd • discard
• syslogd • fingerd
• telnetd • ldap
• rpc • vnc
• sendmail • servicios MS Exchange


smtp.sh : añadir un nuevo comando
#!/bin/sh
DATE=`date`
host=`hostname`
domain=`dnsdomainname`
log=/tmp/honeyd/smtp-$1.log
MAILFROM="err"
EHELO="no"
RCPTTO="err"
echo "$DATE: SMTP started from $1 Port $2" >> $log
echo -e "220 $host.$domain ESMTP Sendmail 8.12.2/8.12.2/SuSE Linux 0.6;
$DATEr"


while read incmd parm1 parm2 parm3 parm4 parm5
do
# remove control-characters
incmd=ècho $incmd | sed s/[[:cntrl:]]//g`
parm1=ècho $parm1 | sed s/[[:cntrl:]]//g`
# convert to upper-case
incmd_nocase=ècho $incmd | gawk '{print toupper($0);}'`


case $incmd_nocase in
QUIT* )
echo "220 2.0.0 $host.$domain closing connection"
exit 0
;;
RSET* )
echo "250 2.0.0 Reset state"
;;
RAFA* )
echo “Hola Rafa!”
;;
*)
echo "500 5.5.1 Command unrecognized: "$incmd""
;;
esac


script IIS : cambiar la página web


Honeyd : emulación de redes


herramienta de gestión: características

• parsear mensajes honeyd
• empaquetado y almacenaje de logs
• cifrado de la comunicación
• estadísticas del sistema


• ADMlogger
http://aaron.marasco.com/linux.html
• Logrep
http://itefix.no/cgi-bin/itefix/logrep
• Lire
http://logreport.org/lire/


Sandbox: más seguridad

• Sólo llamadas al sistemas “legítimas”
(observación del funcionamiento “típico”)
• Restriccíón de privilegios


• Auditorías de seguridad
• e-commerce • redes de acceso
• web • VPN
• wireless • sistemas operativos
• Diseño de sistemas de información
seguros


¡Muchas gracias!

Sistemas Honeynet

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (12)

Destacado

Destacado (20)

Similar a Sistemas Honeynet

Similar a Sistemas Honeynet (20)

Más de Conferencias FIST

Más de Conferencias FIST (20)

Último

Último (10)

Sistemas Honeynet