Példamutatás honeypot opensource honeyd, j3qx
Példamutatás honeypot OpenSource Honeyd
Honeypots érdekes új technológia. Ezek lehetővé teszik számunkra, hogy a kezdeményezést a saját kezét, és tanulmányozni a művet hackerek. Az elmúlt években egyre nagyobb az érdeklődés ebben a technológiában. A célja ennek a cikknek -, hogy meséljek honeypotokkal és bizonyítaniuk képességeiket. Kezdjük megvitatásával mi honeypotokkal és hogyan működnek, akkor lépni a nyílt forráskódú megoldás Honeyd.
Sem a megoldás nem nagyobb, mint a másik, hogy minden attól függ, hogy mit akar elérni. Ebben a cikkben, akkor elsősorban a termelési honeypotokkal. Ha szeretne többet megtudni a kutatás honeypotokkal, meg lehet kezdeni egy cikket Know Your Enemy: Honeynets Honeynet Project.
Hogy jobban megértsük a termelés értékét honeypots fogjuk használni a biztonsági modell Bruce Schneier'a, azaz a három szinten a megelőzés, a felderítés és a reagálás. Honeypots lehet alkalmazni mind a három szinten. Annak megakadályozása érdekében honeypotokkal lehet használni lassítja vagy megállítja az automatizált támadások. Például honeypot LaBrea TARPIT használt lassú TCP automatizált támadások, mint a férgek. A hackerek ellen-emberek, annak érdekében, hogy megakadályozzák a támadásokat, honeypotokkal használhatja pszichológiai fegyver, mint a csalás és a megfélemlítés (pl Fred Cohen oldalon).
Végül, a termelés honeypotokkal lehet használni, hogy válaszoljon a támadást. Ha a behatoló betört a hálózat a szervezet és az egyik rendszerek is feltörték, egy honeypot, az összegyűjtött információk ezt a rendszert fel lehet használni, hogy válaszoljon a támadást. Honeypots is fel lehet használni, hogy ki és azonosítja a támadót, miután egykor a szervezetben. Átfogóbb tanulmányt honeypots, akkor olvassa el a könyvet Honeypots: Tracking hackerek.
Most, hogy van egy jobb ötlete honeypot technológia, csináljunk egyet. Mi fog használni nyílt forráskódú megoldás Honeyd, amelyet fejleszteni és fenntartani Niels Provos. Honeyd való használatra tervezték Unix operációs rendszerek, mint például az OpenBSD, Linux; de hamarosan ki kell igazítani és a Windows. Mivel ez a nyílt forráskódú megoldás, nem csak szabad, de mi is teljes hozzáférésük van a forráskód BSD licenc.
Alapértelmezésben Honeyd képes érzékelni (és record) minden olyan tevékenység bármely UDP vagy TCP port és ICMP aktivitást. Nem kell, hogy hozzon létre egy szolgáltatást, vagy hallgatni a port, amelyre szeretné, hogy ellenőrizzék a kapcsolatot, Honeyd nem minden az Ön számára. Azonban dolgozik Honeyd, akkor egy további lehetőség, hogy ne csak érzékeli a támadásokat, hanem hozzon létre emulációs szolgáltatásokat, amelyek kölcsönhatásba lépnek a támadó egy előre meghatározott módon. Például létrehozhat egy FTP script, ami versenyez a wu-ftpd Linux démon, vagy egy Telnet kapcsolatot a Cisco router. Ezek emulált szolgáltatások korlátozottak, hogy van egy előre meghatározott viselkedés. Egy ilyen forgatókönyv lehet írva szinte minden nyelven, mint a Perl, a Shell, vagy várhat. Abban az időben az írás, Honeyd volt hét emulált szolgáltatások, amelyek közül választhat. Mivel Honeyd nyílt forráskódú, hozhat létre, és megoszthatja a saját szolgáltatásokat. Az alábbiakban egy példát olyan szolgáltatás, amely utánozza a Cisco router. Ebben az esetben, ha a támadó csatlakozik Honeyd honeypot, úgy dönt, hogy csatlakozik a Cisco router.
Ez a támadás kell felismerni és rögzíteni. Honeyd naplózza kísérletek kapcsolat és a záró kapcsolat. A script is utánozza a szolgálat.
Telepítéséhez Honeyd, meg kell fordítani, és a két közművek: Arpd és Honeyd. Honeyd nem tud mindent megtenni magát, és segítségre van szüksége Arpd. Arpd használt ARP spoofing; jegyzi meg a nem használt IP tér és irányítja a támadást, hogy Honeyd honeypot. Honeyd képtelen irányítani a támadást, ő csak akkor képesek kommunikálni hackerek. Parancsokat kell futtatni őket az alábbiakban mutatjuk be. Láncok Ezen parancsok vannak beállítva, akik figyelemmel kísérésére és a folyamat Arpd Honeyd. A példánkban akarunk honeypot ellenőrzött használt IP helyet az alhálózati 192.168.1.0/24.
honeyd -p -f nmap.prints honeyd.conf 192.168.1.0/24
Úgy kezdődik a létrehozása a különböző típusú számítógépek kívánt versenyez, akkor a Honeyd úgynevezett sablonokat. Ezek a sablonok határozzák meg a viselkedést az egyes emulált operációs rendszer. Ebben a konfigurációs fájl hoztuk létre két különböző emulált számítógép: default és a router. Az első dolog, amit meg kell tenni minden egyes sablon beállítása «személyiség»; hogy az operációs rendszer lesz emulált szintjén a stack IP. Típusának leírása OS venni egy adatbázist nyomatok Nmap. Az alapértelmezett sablon, általunk megadott személyiség «Windows NT 4.0 Server SP5-SP6», és a marósablonok van személyiség «Cisco 4500-M futó IOS 11.3 (6) IP Plus». Felhívjuk figyelmét, hogy a személyiség nem befolyásolja a viselkedést az emulált szolgáltatás, de csak az IP-verem. A versenyez a szolgáltatást, akkor ki kell választania a különböző szkriptek, attól függően, hogy milyen típusú operációs rendszert kívánt versenyez. Más szóval, ha a személyiség - Windows, Apache nem használja egy script a HTTP port. Ehelyett telepíteni egy jobb forgatókönyvet a HTTP port IIS.
A következő lépés az, hogy meghatározza a viselkedést az egyes portok. Akkor sem kiválaszthat egy adott viselkedés minden kikötőben, vagy adja meg az általános viselkedés. Például az alapértelmezett sablon, megkérdeztük az összes TCP port újraindítás viselkedés, így azok a csatlakozási kísérletek válaszolni RST (UDP portot, ICMP). További lehetőségek - nyitott (a válaszként küldött ACK, vagy semmit sem UDP) vagy blokk (nem fog reagálni a TCP és UDP lekérdezések). A negyedik lehetőség, hogy szkripteket versenyez szolgáltatásokat. Késedelem esetén a sablon, akkor kötve szkripteket a port 21, 80 és 110. Ezek a szkriptek kezdeni, és kölcsönhatásba lépnek a hacker. Arra is lehetősége van arra, hogy irányítsa át próbál csatlakozni egy másik rendszerbe, vagy akár egy támadó. Az alapértelmezett sablon átirányítjuk az összes SSH kapcsolatot vissza a hacker. Van is egy sor más fejlett funkciók Honeyd, így létrehozva egy virtuális irányított hálózattal és a hamis idõbélyegzést, de egy részletes magyarázatot túlmutat ezt a cikket.
(C) Mikhail Razumov alapján SecurityFocus