Planung und Aufbau eines virtuellen Honeynetzwerkes

Planung und Aufbau eines 

virtuellen Honeynetzwerkes 

Diplomarbeit 

Sebastian Reitenbach 

reitenba@fh-brandenburg.de 

Planung und Aufbau eines virtuellen Honeynetzwerkes – p.1/30

Agenda 

• “traditionelle” Sicherheitstechnologien 

• Klassifizierung von Honeypots und -netzen 

• Architekturelle Anforderungen 

• Risiko durch Honeypots, rechtliche 

Grundlagen 

• Erfahrungen beim Aufbau des virtuellen 

Honeynetzwerkes 

• Datenanalyse aus Testbetrieb 

• Erkenntnisse und Ausblick, Diskussion 


Traditionelle Sicherheitstechnologien 

• Firewall: stoppt Eindringlinge an den 

Grenzen des Netzwerkes 

• IDS: anomalie-, behaviour- oder 

patternbasierte Überwachung des 

produktiven Netzwerkverkehr 

• IPS: Arbeitsweise wie IDS, zusätzlich 

automatische Abwehrmaßnahmen 

• Viren-, Spyware-, Malware-Scanner: aktives 

Suchen auf Festplatten und im Netzwerk 


Definition: Honeypot 

• A honeypot is a security resource whose 

value lies in being probed, attacked, or 

compromised. 

• Ein Honeypot ist eine Sicherheitsresource, 

deren Wert darin liegt, untersucht, 

angegriffen und kompromittiert zu werden. 

• Honeypot ist kein produktives System 

• Anomaliebasiert: jede Verbindung zum 

Honeypot ist Angriff 


Definition: Honeynet 

• Nicht produktives Netzwerk 

(unterschiedlicher) Honeypots 

• Befindet sich hinter “umgekehrter” Firewall 

• Ausgehender Verkehr wird gefiltert 

• Detailliertes Aufzeichnen der Vorgänge im 

Honeynet 

• Honeynetze der 1. und 2. Generation 

• Auch als virtuelle Architektur implementierbar 


Low-Interaction Honeypots 

• Simuliert nur einige Teile eines 

Betriebssystems 

• Simulierte Dienste können nicht exploited 

werden 

• Eingeschränkte 

Datenaufzeichnungsfunktionen 

• Geeignet, um Netzwerkproben und 

Wurmaktivitäten zu erkennen 

• Beispiel: honeyd, Port-Listener 


Medium-Interaction Honeypots 

• Installation und Management komplex wie bei 

High-Interaction, gesammelte Informationen 

gering wie Low-Interaction Honeypots 

• Selten eingesetzt, in Spezialfällen 

• Unix-Konzepte: chroot und Jail 


High-Interaction Honeypots 

• Bietet alle Aspekte eines Betriebssystems 

• Eindringlinge können unter nahezu realen 

Bedingungen beobachtet werden 

• Erhöhtes Risiko aufgrund der Komplexität 

• Beispiel: Honeynetzwerke 1. und 2. 

Generation 


Produktionshoneypot 

• Low-Interaction Honeypots 

• Einfache Installation 

• Gesammelte Daten bestehen meist nur aus 

Meta-Daten der Verbindungen 

• Einsatz als “Detektor”, Alarmfunktion 

• Zur Unterstützung traditioneller 

Sicherheitstechnologien 


Forschungshoneypot 

• High-Interaction Honeypots 

• Komplexe Technologie, Installation in der 

Regel aufwändig 

• Zeichnet während Angriff große Menge an 

Informationen auf 

• Hauptsächlicher Einsatz zu Lehrzwecken und 

in Sicherheitsorganisationen 

• Ziel: Entdeckung und Erforschung neuer 

Angriffstechniken und Programme 


Anforderungen an die Architektur 

• Honeynet Definitions, Requirements, and 

Standards, ver 1.5.3 

• Datenkontrolle: Eingrenzung der potenziell 

vom Honeynet ausgehenden Gefahr 

• Datenaufzeichnung: Erfassung aller 

Vorgänge im Honeynetz 

• Datensammlung und Korrelation: in verteilten 

Honeynetzen 


Risiken 

• Gefährdung von Nicht-Honeypot Systemen, 

Honeynet dient als Ausgangsplattform für 

weitere Angriffe 

• Gefahr der Erkennung, Fingerprinting 

• Angriffe gegen Honeynetze, DoS, Hijacking 

• Missbrauch, Warez-Server 

• Risiko lässt sich nur minimieren, nicht 

eliminieren 


Erkennung von Honeypots 

• Blackhats analysieren Honeypot Technologie 

• Fingerprinting von Honeypots 

• Gegensätze: Betriebssystem Solaris aber 

Web-Server IIS 

• VMware Erkennung 

• Erkennung von Honeynetzwerken 

• Erkennung von SEBEK 


Rechtliche Grundlagen 

• Zivil- und strafrechtliche Überlegungen 

• Datenschutz 

• Ethische Bedenken? 

• Kein Präjudiz, in dem sich 

Honeynetbetreiber vor Gericht 

verantworten musste 


Planung des Honeynets 

• Welchen Zweck soll das Honeynet haben? 

• Was für Hardware steht zur Verfügung? 

• Welches Virtualisierungskonzept? 

• Sicherheitsrichtlinie entwerfen! 

• Systemtests, um Funktionalität und 

Einhaltung der Sicherheitsrichtlinie zu 

überprüfen! 

• Vorbereitung auf Kompromittierung: Incident 

Response Plan! 


Das virtuelle Honeynet 


Sicherheitsrichtlinie 

• Richlinien und Vorschriften zur Sicherheit und 

Funktionsweise des Honeynetzwerkes 

• Muss sich in Richtlinien der Organisation 

eingliedern, darf diesen nicht widersprechen 

• Erstellung eines CSIRT 

• Rolleneinteilung und Aufgabenverteilung 

• Grundlage für Implementierung, Tests, IRP 

• Beinhaltet Incident Response Plan 


Datenkontrolle 

• Honeywall 

• Sicherheitsüberwachungsscript 

• snort_inline 

• SWATCH-Firewallüberwachung 


Datenaufzeichnung 

• SEBEK Clients und Server 

• Promiscous-Mode Syslog Server 

• TcpDump zeichnet Netzwerkverkehr auf 

• p0f Passive OS-Fingerprinting 


Datenanalyse 

• SEBEK-Web 

• Syslog-Web 

• SNORT, ACID und SnortSnarf 

• Scripte zur statistischen Analyse der 

TcpDump LOG-Dateien 

• Forensische Analyse: sleuthkit und Autopsy 


Funktionstests 

• Entwicklung einer Checkliste mit Tests 

• Sicherheitsrichtlinie ist Grundlage 

• Separierung der Tests nach Komponenten 

• Einzelne Tests der Komponenten nach deren 

Installation 

• Abschließender Test aller Komponenten, um 

Wechselwirkungen zu erkennen 

• Einsatztest - Kann es sich bewähren? 


Incident Response Plan 

• Sicherheitsrichtlinie ist Grundlage 

• Vorschriften und Richtlinien zur Untersuchung 

kompromittierter Honeypots 

• Hinweise zum Abschalten des Honeypots und 

Reaktivieren eines neuen 

• Hinweise zum weiteren Vorgehen in der 

Untersuchung des Vorfalles 


Aufgetretene Probleme 

• OpenBSD SEBEK-Client hatte BUGs 

• SEBEK-Server hatte BUGs 

• snort_inline hatte BUG 

• Modifizierung vom SEBEK-Server als 

Syslog-Server mit DB-Anbindung 

• Tuning der Konfiguration von SWATCH 

• Anti-Fingerprint: in vmware-vmx VMware 

MAC-Adressen geändert 


Übertragene Datenmengen 

• 28 Tage Einsatztest 

• 1x CRUX 1.3, 2x OpenBSD 3.4 

Protokoll Anzahl Pakete Prozent Übertragenes Volumen Prozent 

TCP 365999 76,55 % 68 MB 89,0 % 

UDP 14087 2,95 % 1,3 MB 1,7 % 

ICMP 11228 2,35 % 995 KB 1.3 % 

Sonstiges 86768 18,15 % 6 MB 8,0 % 


Top-10 der TCP- und UDP-Ports 

Platz TCP-Port Verbindungen UDP-Port Verbindungen 

1. 80 3251 137 200 

2. 135 2449 32789 181 

3. 445 2228 1434 155 

4. 443 1225 1026 151 

5. 9898 489 1027 109 

6. 5554 372 500 62 

7. 1023 364 53 40 

8. 3127 260 520 23 

9. 1433 227 1701 18 

10. 17300 220 135 18 


Erkenntnisse aus Testlauf 

• Scans von Viren und Würmer, und nach 

deren Backdoors 

• Windows PopUp Spam 

• SSH Login Versuche 

• Proxy Scans 

• Warez Upload auf Anonymous FTP Server 

• Fast alle beobachteten Angriffe können 

durch geeignete Maßnahmen an Grenzen 

des Netzwerkes abgewehrt werden 


Vorteile von Honeynetzwerken 

• Kann umfassend Daten von Angriffen 

sammeln 

• Beobachtungen von Angreifern und 

Sicherstellung der Tools möglich 

• Bekommt nur die “Nadeln” im “Heuhaufen” 

• Detektor von Bedrohungen 

• Vielfältige Einsatzmöglichkeiten in Lehre und 

Forschung 


Nachteile von Honeynetzwerken 

• Angreifer sind sich deren Existenz bewusst 

• Erkennt nur direkt gegen ihn selbst gerichtete 

Angriffe 

• Risiko, kann nur begrenzt, aber nicht ganz 

eliminiert werden 

• Hoher Aufwand bei Installation und 

Administration 


Ausblick 

• Korrelation der Daten aller Sensoren 

• Intelligentere Alarmierungsfunktionen mit 

Triggern 

• Unterscheidung zwischen “spitzen” und 

“stumpfen” Nadeln 

• Multicast Honeypot 

• P2P-Honeypots, Kommunikation 

untereinander über geheime, verschlüsselte 

Kanäle, Simulation von Netzwerkverkehr zur 

Tarnung 


Ende 

• Haben Sie noch Fragen?

Planung und Aufbau eines virtuellen Honeynetzwerkes

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?