Tarpitting & Honeypotting [email protected] [email protected]infrax.si Vaš partner za varovanje informacij O omrežnih črvih  Črvi so programi, ki z izkoriščanjem varnostnih lukenj v sistemih in aplikacijah vdirajo.

Report
Tarpitting &
Honeypotting
[email protected]
[email protected]
Vaš partner za varovanje informacij
O omrežnih črvih

Črvi so programi, ki z izkoriščanjem varnostnih
lukenj v sistemih in aplikacijah vdirajo v sisteme
in se samodejno razmnožujejo – pri tem lahko
povzročajo škodo (obremenitev omrežja, kraja
podatkov ...)

Črvi simulirajo človeške napadalce in navadno
ne potrebujejo sodelovanja morebitnega
neukega uporabnika
Viri okužb/napadov

Neposreden napad na sisteme iz omrežja (prihajajoče ali
odhajajoče seje)

Prenos nevarne vsebine na lokalne sisteme (elektronska
pošta s priponkami, ...)

Od kod?
►
Internet
► Ostala zunanja omrežja (omrežja partnerjev)
► Okužba mobilnih sistemov med gostovanjem v
tujem omrežju (domača pisarna, partnerjevo omrežje,
WLAN hotspot, ...)
► Priklop nenadzorovanih sistemov v lokalno omrežje
(serviserji, partnerji, zunanji sodelavci, testni sistemi, ...)
Tveganja
► Dostop črva do občutljivih podatkov
► Lahko privede do prave katastrofe na
področju razvoja, financ, ...
► Prenehanje strežbe/DoS – Denial of Service
► Delo je v takšnem primeru onemogočeno,
saj je celotno omrežje ohromljeno
Čas okužbe
“dan nič”
(day zero)
nekaj dni
odkrita nova napaka v
OS, proizvajalec
obveščen
objava
napake,
izdaja
popravka
za OS
razvit nov
črv
nekaj ur
prve
okužbe
črv pride
do vas!
čas
Načini preprečevanja
Preprečevanje znanih napadov (reaktivno)
►
Popravki OS/aplikacij
► Iskanje znanih vzorcev napadov
► Dovoljeno je vse, kar ni očitno nevarno
Preprečevanje še neznanih napadov (proaktivno)
Pravilo najmanjšega dostopa na vseh nivojih
infrastrukture
► Iskanje nepravilnosti oz. odstopanja od normalnega
delovanja
► Prepovedano je vse, kar ni eksplicitno dovoljeno
Vmesen pristop - iskanje splošnih posledic napadov
►
Cilji obrambnega sistema
Sistem naj omogoča
1. Preprečevanje okužbe
2. Omejevanje širjenja okužbe in porabe virov
3. (Preprečevanje dostopa do občutljivih
podatkov)
Zaželen je samodejen odziv
► Ker je potencialno dovolj hiter
Dodatni omrežni triki
Napredne tehnologije zaznave
Zaznava nepravilnosti v omrežnem prometu
► Pregledovanje večine prometa
► Alternativa:
limanice ter lonci medu
Nepravilnosti so različnih stopenj očitnosti
► Nova storitev v omrežju
► Odjemalec postane strežnik
► Količina ICMP prometa naraste za 10-20%
Večinoma zahtevajo ročni odziv
Kaj tehnološko predstavlja limanico?
Limanica (Tarpit) je program, ki opravlja naslednje funkcije:
►
Upočasnjevanje napdalca z velikimi časovnimi
zakasnitvami (timeout)
►
Napadalcu vseeno “da vedeti”, da smo prisotni in ga
tako dodatno zadržuje
►
Limanico imenujemo tudi lepljivi medeni lonec čeprav je
po definiciji medeni lonec nekoliko drugačen
►
Limanica na omrežja prevzame proste IP naslove in na
njih ustvari navidezne (lažne) naprave
Kaj tehnološko predstavlja limanico?
Primer tcpdump-a limanice LaBrea, ki jo je izdelal Tom Liston
(http://labrea.sourceforge.net/):
►
Kaj počne?
► Posluša na omrežju med tem, ko se črv sprašuje, ali je na
IP naslovu 10.0.0.13 kakšna naprava
► Ko limanica zazna, da na 10.0.0.13 najverjetneje nihče ne
bo odgovoril (kar pomeni, da tam ni računalnika) se sama
oglasi in napadalca “zapelje” na nek neobstoječ fizični
naslov 00.00.0f.ff.ff.ff
14:18:28.832187 ARP who-has 10.0.0.13 tell 10.0.0.1
14:18:29.646402 ARP who-has 10.0.0.13 tell 10.0.0.1
14:18:31.707295 ARP who-has 10.0.0.13 tell 10.0.0.1
14:18:31.707574 ARP reply 10.0.0.13 is-at 00:00:0f:ff:ff:ff
Kaj tehnološko predstavlja lonec medu?
Lonce medu v omrežjih uporabljamo za učenje veščin, ki jih
uporabljajo napadalci omrežja.
Zapomniti si moramo, da se z loncem medu v bistvu igramo “z
ognjem”, saj lahko pri slabi postavitvi takšnega sistema
napadalec dejansko pride v naše omrežje.
V osnovi je lonec medu sistem, ki:
►
►
►
Je ponavadi postavljen v tako imenovan “Perimeter network”
ali pogosteje poznan kot DMZ del omrežja.
Je ponavadi nekakšen približek strežnika, ki ga uporabljamo (v
primeru, da nas zanima do katerih podatkov našega podjetja
se morebitni napadalec želi dokopati)
Ponavadi v resnici niti ne deluje na sistemu, ki ga napadalcu
“prikazuje” (npr. Debian Linux, ki teče na Windows NT
sistemu).
Kaj tehnološko predstavlja lonec medu?
Sledenje dejavnosti napadalca
►
Vzpostavimo takšen sistem, ki nam bo omogočal
sledenje na več plasteh
► Intenzivni monitoring požarnega zidu, za katerim tiči
lonec medu
► NE puščajmo dnevniških datotek na sistemu!
Preusmerimo jih drugam – syslog program
► Aktivirajmo “vohljača” omrežja na požarnem zidu
tako, da bomo lažje razbrali kateri paketi krožijo po
omrežju (nove storitve, sniffer na loncu medu, ...)
► Uporaba programske opreme, ki nam prikaze
spremenjene datoteke na sistemu (tudi za Windows
okolje) – težava je v tem, da jo izkušen udiralec kmalu
zazna kar navadno pomeni konec vohunjenja
Kaj tehnološko predstavlja lonec medu?
Sledenje dejavnosti napadalca ko ta že prevzame nadzor nad
loncem medu
►
Pustimo mu, da si “uredi delovno okolje”
►
Iz sistema ga “vržemo” z odklopom sistema iz omrežja
► Sistem analiziramo (spremenjene, dodane datoteke)
► Sistem nato ponastavimo (reinstall) in zapremo vse
luknje ki jih je napadalec v tem napadu izkoristil
► Sistem spet priklopimo na isto mesto v omrežju
(tako lahko testiramo ali novi popravki odpravijo stare
napake)
DEMO – Lonec medu
Demo zajema:
►
Prikaz postavitve lonca medu (virtualni FreeBSD strežnik
v VMWare z nameščenim Apache+PHP+MySQL+Horde)
►
Prikaz vdiranja v lonec medu preko Horde spletnega
vmesnika za elektronsko pošto
►
Spremljanje in analiza napada
DEMO – Topologija omrežja
Internet
Požarni zid/NAT naprava
Javni IP: 89.212.X.Y
Lokalni IP: 10.1.0.1/24
VMWare Server (192.168.171.1/24, 10.1.0.5/24)
Požarni zid/NAT naprava
Javni IP: 89.142.W.Z
Lokalni IP: 192.168.170.1/24
HoneyWALL
(vohljač, IDS sistem)
Mgmt: 192.168.171.2/24
FreeBSD
(lonec medu)
192.168.170.2/24
HoneyWALL ima 3 omrežne vmesnike, od tega dva služita kot most (bridge)
med ZyWALL usmerjevalnikom in FreeBSD loncem medu. Tretji vmesnik služi
za nadzor in spremljanje dogajanja na loncu medu. Požarni zid/NAT naprava
preusmerja vsa vrata (razen vrat za upravljanje) na lonec medu, tako da izgleda
kot da bi bil lonec medu priklopljen direktno na Internet. Ker gostiteljski
VMWare strežnik in lonec medu ter HoneyWALL in lonec medu paroma niso v
istem lokalnem omrežju, tudi v najslabšem primeru izgubimo nadzor le nad
loncem medu.
Povezave
http://www.nevarnost.org – spletni portal, ki se ukvarja z računalniško (ne)varnostjo
http://www.insecure.org/ - hacking resources
http://www.snort.org/ - “de facto” standard za preprečevanje in zaznavanje vdorov
http://rootprompt.org/ - novice v zvezi z računalniško varnostjo
http://www.dshield.org/ - distribucijski sistem za detekcijo in preprečevanje vdorov
http://www.milw0rm.com/ - programi in skripte za izkoriščanje ranljivosti (exploits)
http://www.metasploit.com/ - okolje za razvoj/testiranje exploit-ov
http://www.wireshark.org/ - analizator omrežnih protokolov in vohljač (bivši Ethereal)
http://www.tcpdump.org/ - vohljač (sledenje omrežnih paketov)
http://labrea.sourceforge.net/ - program za izvedbo limanice
http://store.manojlovic.net/ - zrcalni strežnik z raznimi potrebščinami
http://support.microsoft.com/?kbid=842851/ - limanice za MS Exchange 2003
Vprašanja

similar documents