Honeypot & Tarpit prikaz delovanja "lonca medu"

Download Honeypot & Tarpit prikaz delovanja

Post on 15-Jan-2016

36 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

Honeypot & Tarpit prikaz delovanja "lonca medu". nejc@skoberne.net. O medenih loncih in limanicah. - PowerPoint PPT Presentation

TRANSCRIPT

<ul><li><p>Honeypot &amp; Tarpitprikaz delovanja "lonca medu"nejc@skoberne.net</p></li><li><p>O medenih loncih in limanicahV raunalniki terminologiji se izraz medeni lonec ali honeypot uporablja za past, ki jo napadalec odkrije in zlorabi, na podlagi njegove aktivnosti pa lahko na drugi strani tisti, ki je past postavil pridobi informacije o nainu, ki ga je napadalec uporabil za vdor.Limanice pa predstavljao specifino programsko opremo, ki v osnovi zelo mono zakasni oziroma upoasni prihajajoe povezave.</p></li><li><p>LimaniceLimanice so se razvile takoj, ko so se v internetu zaeli pojavljati rvi, ideja pa je bila im bolj upoasnit raziranje nezaelene pote ter mrenega skeniranja.Danes se limanice uporabljajo navekrat na SMTP strenikih (nekateri imajo to funkcionalnost integirano pri drugih pa postavimo tarpit-proxy pred SMTP server)V osnovi limanica za nekaj sekund ne polje SMTP pozdrava. S tem se sicer upoasni dostava legitimne pote vendar doseemo elen uinek pri poiljateljih spam-a.http://support.microsoft.com/?kbid=842851 SMTP tar pit feature for MS Windows Server 2003</p></li><li><p>LimaniceIP Tarpit omogoa lepljenje ARP zahtevkov. Najbolj poznana reitev je Labrea tarpit, ki jo je razvil Tom Liston (http://labrea.sourceforge.net/labrea-info.html). Labrea omogoa, da en sam raunalnik varuje vae celotno omreje. Program zasede vse proste IP tevilke v vaem omreju in na njih poslua za ARP zahtevki. e se v omreju pojavi omreni rv in zaen skenirati omreje za potencialnimi rtvami ga program zalepi v drugem koraku t.i. 3-way-handshake. Tako rv nikdar ne zane s poiljanjem podatkov oziroma problematine vsebine.</p></li><li><p>Delitev loncev meduLonci medu se v osnovi delijo v dve skupiniLow-interactionKot primer lahko pogledamo projekt honeyd, ki pripravi ogromno mreno strukturo z uporabo enega samega raunalnika. Honeyd lonec medu lahko zelo natanno nastavimo z uporabo raznih skript. Uporabnikom prikazuje t.i. bannerje oziroma splash screen-e simuliranih servisov. (npr. predstavi se kot Exchange SMTP strenik)High-interactionResneji honeypot sistem je pa sistem Honeynet ta omogoa resnejo analizo prometa saj vzpostavivi most med honeypot omrejem ter zunanjim omrejem tako lahko sledi celotnemu prihajajoemu in odhajajoemu prometu.Honeynet web vmesnik omogoa natanno analizo vsakega napada. Vzorce napadov pa analizira s pomojo aplikacije Snort</p></li><li><p>Projekt HoneynetTeavaKako se lahko zaitimo pred napadalcem, ki ga sploh ne poznamo?CiljNauiti se, taktik, motivov ter dela z orodji, ki so prisotni pri napadu na raunalnika omrejaPodajanje teh informacij dalje ...Dvigniti nivo zavedanja o groenjah, ki so prisotneZa tiste, ki se zavedajo globje informirati o samih gronjahRaziskovalni namen dati organizacijam monost, da se uijo in raziskujejo na svojem podroju</p></li><li><p>Projekt HoneynetHoneynet research alliancezaetki segajo v leto 2002lani aliance</p><p>South Florida Honeynet Project Georgia Technical Institute Azusa Pacific UniversityUSMA Honeynet ProjectPakistan Honeynet ProjectPaladion Networks Honeynet Project (India) Internet Systematics Lab Honeynet Project (Greece)Honeynet.BR (Brazil)UK HoneynetFrench Honeynet ProjectItalian Honeynet ProjectPortugal Honeynet ProjectGerman Honeynet ProjectSpanish Honeynet ProjectSingapore Honeynet ProjectChina Honeynet Project</p></li><li><p>Projekt HoneynetBackOfficer FriendlyKFSensorHoneydHoneynetsLow InteractionHigh Interaction</p></li><li><p>Projekt HoneynetHoneynet-i z visoko interakcijo omogoajo zajem globjih informacijPonavadi so to zelo kotrolirana omreja kjer je vsak paket, ki vstopa ali izstopa natanno pregledan, ulovljen in analiziranKontrola podatkovZajem podatkovAnaliza podatkov</p></li><li><p>Projekt Honeynet</p></li><li><p>Projekt HoneynetKontrola podatkovZmanja monost, da bi se honeypot izkoristilo za napad na produkcijsko omrejetetje izhodnih in vhodnih sejIPS Snort lineKontrola pasovne irine</p></li><li><p>Projekt HoneynetBrez kontrole podatkov</p></li><li><p>Projekt HoneynetZ uporabo kontrole podatkov</p></li><li><p>Projekt HoneynetZajem podatkovZajem vseh aktivnosti na ve nivojihAktivnost mreeAktivnost aplikacijAktivnost sistema</p></li><li><p>Projekt HoneynetSEBEKSkrit jedrni modul, ki zajema vse aktivnosti gostiteljaIzpisuje aktivnost omreja</p></li><li><p>Projekt HoneynetZajem podatkovZajem vseh aktivnosti na ve nivojihAktivnost mreeAktivnost aplikacijAktivnost sistema</p></li><li><p>Lonec medu Honey pot- Pregled spletnega portala Brazilske CERT organizacijehttp://www.honeynet.org.brhttp://www.honeynet.orghttp://www.honeypots-alliance.org.br</p><p>- Back officer friendly honeypot for Windows http://www.nfr.com/Limanica Tarpit</p><p>- http://labrea.sourceforge.net (official)http://heanet.dl.sourceforge.net/sourceforge/labrea</p></li><li><p>Topologija omreja</p><p>Title</p></li><li><p>Povezavehttp://www.nevarnost.org spletni portal, ki se ukvarja z raunalniko (ne)varnostjohttp://www.insecure.org/ - hacking resourceshttp://www.snort.org/ - de facto standard za prepreevanje in zaznavanje vdorovhttp://rootprompt.org/ - novice v zvezi z raunalniko varnostjohttp://www.dshield.org/ - distribucijski sistem za detekcijo in prepreevanje vdorovhttp://www.milw0rm.com/ - programi in skripte za izkorianje ranljivosti (exploits)http://www.metasploit.com/ - okolje za razvoj/testiranje exploit-ovhttp://www.wireshark.org/ - analizator omrenih protokolov in vohlja (bivi Ethereal)http://www.tcpdump.org/ - vohlja (sledenje omrenih paketov)http://labrea.sourceforge.net/ - program za izvedbo limanicehttp://support.microsoft.com/?kbid=842851/ - limanice za MS SMTP</p></li><li><p>Vpraanja?nejc@skoberne.net / http://nejc.skoberne.netluka@manojlovic.net / http://luka.manojlovic.net</p></li></ul>