© Saniphoto, Fotolia.com
Einbrüche im High Interaction Honeynet beobachten
Ich sehe dich
von Markus Engelberth, Jan Göbel, Christian Gorecki, Philipp Trinius
Erschienen im Linux-Magazin
2009/02
Richtig konfiguriert zu einem Netzwerk zusammengeschlossen täuschen elektronische Köder nicht nur automatisierte Schadprogramme, sondern auch menschliche Angreifer. Der sicherheitsbewusste Admin kann sie beobachten, aufzeichnen und ihre Methoden und Werkzeuge analysieren.
Jeder Admin findet sich über kurz oder lang in der Situation, einen infizierten Rechner zu reinigen. Die einfache Vorgehensweise liegt am nächsten: Festplatte kurzerhand formatieren und das System von einem vermeintlich sauberen Medium neu installieren. Aber wie kam es überhaupt zu der Infektion? Welche Schwachstelle hat der Angreifer ausgenutzt, um Zugang zum System zu erlangen, und zu welchem Zweck hat der Unbefugte den Rechner benutzt?
Natürlich kostet es viel Zeit und Erfahrung, ein infiziertes System zu untersuchen und die Spuren des Angreifers zu verfolgen. Gerade wenn es sich um Produktivsysteme handelt, muss der Admin die Ausfallzeit zur Kostenvermeidung so kurz wie möglich halten. Oft mangelt es ihm auch an der nötigen Erfahrung im Umgang mit infizierten Rechnern: Wo sind die Informationen zu finden, worauf muss er achten und welche Systemwerkzeuge sind noch verlässlich, wenn er auf einem kompromittierten System nach Spuren sucht?
Angreifer anlocken
Präparierte Köder-Systeme oder Honeypots [1] ermöglichen es, erste Erfahrungen mit Angriffen aus dem Internet zu sammeln. Sie täuschen nach außen ein produktives System mit Schwachstellen vor. So laden sie Angreifer dazu ein, das System zu übernehmen. Was die Angreifer nicht wissen: Anders als normale Rechner werden Honeypots genauestens überwacht. Der Honeypot verfügt über spezielle Werkzeuge, die alle ausgeführten Kommandos mitlesen und über das Netzwerk zurück an die so genannte Honeywall senden (Abbildung 1). Die Honeywall verfügt ihrerseits über spezielle Werkzeuge, die der Steuerung und dem Schutz dienen.
|
Abbildung 1: Das Honeynet aus Admin-Sicht: Die Honeywall ist Zentrum und Schnittstelle zwischen den Honeypots und dem Administrationsnetz. Der Angreifer sieht nur die virtuellen oder realen Honeypots.
|
Honeypots treten als physische oder virtualisierte Systeme auf. Virtualisierte Hardware hat den Kostenvorteil auf ihrer Seite, außerdem ist der kompromittierte Honeypot für den Administrator schnell neu aufzusetzen. Andererseits identifiziert der Angreifer leicht das virtualisierte System und wendet sich ab. Außerdem würde eine unbekannte Schwachstelle in der Virtualisierungssoftware das Basis-System und alle dort laufenden virtuellen Maschinen angreifbar machen. Um solche ungewollten Kompromittierungen der Honeywall zu verhindern, erhält sie ein eigenes physisches System. Die Auswertung eines Angriffs erfolgt in der Regel retrospektiv. Gängige Werkzeuge wie Wireshark oder TCPdump erlauben, den ein- und ausgehenden Netzwerkverkehr der Honeypots live zu beobachten.
Die Honeypot-Idee lässt sich auf ein Netzwerk von Honeypots ausweiten, das Honeynet. Der Zusammenschluss mehrerer Pots, die mit unterschiedlichen Betriebssystemen und Schwachstellen präpariert sind, erhöht einerseits die Wahrscheinlichkeit, dass jeder Angreifer eine zu ihm passende Schwachstelle findet. Zudem hat der Betreiber die Möglichkeit, das Verhalten der Honeypots auch untereinander zu beobachten. Der Operator eines Honeynet schafft sich ein eigenes Szenario und sammelt Erfahrungen mit Angriffsstrategien und digitaler Forensik, ohne Produktivsysteme zu gefährden.
Wissen, was sie tun
Ein High Interaction Honeynet der dritten Generation (siehe Kasten "Entwicklung der Honigfalle") braucht zwei getrennte Netzwerke. Im ersten Netz sitzen die einzelnen Honeypots, das zweite dient der Administration des gesamten Honeynet. Einzige Schnittstelle ist die Honeywall, vom Honeynet-Projekt als Roo implementiert [2]. Alle im Honeynet gesammelten Informationen fließen hier zusammen und sind vom Administrationsbereich aus zugänglich. Eine schrittweise Installationsanleitung für die Honeywall Roo stellt das Honeynet-Projekt bereit [3]. Als Zentrale des Honeynet erfüllt die Honeywall die Aufgaben Datenkontrolle, Datenerfassung und Datenanalyse.
Zur Datenkontrolle zählen alle Maßnahmen der Honeywall, um Systeme außerhalb des Honeynet vor Angriffen zu schützen. Dafür verwendet sie das Spezialtool Snort-Inline [4], aber beispielsweise setzt sie auch eine Netfilter-Regel ein, die ausgehende TCP-Verbindungen limitiert. Mehr Details beschreibt der Text "A Primer on Honeynet Data Control Requirements" von Ryan Talabis [5].
|
1999 gründete eine Gruppe um den amerikanischen Security-Enthusiasten Lance Spitzner das Honeynet-Projekt, um das Verhalten von Angreifern zu beobachten. Drei Jahre später entstand die weltweite Honeynet Research Alliance. Sie brachte Werkzeuge hervor wie Snort-Inline, ein Signatur-basiertes Extrusion Detection System, das von einem System ausgehende Angriffe unterbindet. Außerdem entwickelte die Honeynet-Allianz den Tracker Sebek, der die Aktivitäten eines Angreifers auf dem Honeypot aufzeichnet und regelmäßig zur Auswertung an die so genannte Honeywall sendet. Als Zentrale des Honeynet realisiert sie Datenkontrolle, Datenerfassung und Datenanalyse. Roo ist die quelloffene Implementierung einer Honeywall. Zusammen legen diese Werkzeuge den Grundstein für ein so genanntes High Interaction Honeynet.
High und Low Interaction Honeynets unterscheiden sich durch den Interaktionsgrad für den Angreifer. Bei der Low Interaction simulieren die Honeypots ihre Verwundbarkeiten nur. Sie erlauben es nicht, die Kontrolle über das System zu erlangen. Somit bedarf es nach einem Angriff keiner aufwändigen Bereinigung des Systems. Allerdings fängt ein solches Honeypot nur sich automatisch verbreitende Schadprogramme ein, da ein Mensch ihn schnell erkennt und sich verabschiedet. Mit Low Interaction Honeynets lassen sich vor allem Angriffe und Angriffsstrategien erkennen. Zum Beispiel bedient sich Intrusion Detection dieser Methode.
Hoch interaktiv
Bei den High Interaction Honeypots handelt es sich dagegen um Rechner mit echten Schwachstellen. Diese soll der Angreifer ausnutzen und Kontrolle über den Rechner gewinnen. Der Honeynet-Betreiber kann so das Vorgehen studieren und Informationen über die Werkzeuge sammeln. Den Rest des Netzwerks schützt die Honeywall, die eine Reihe besonderer Kontrollmaßnahmen ermöglicht.
Die Entwicklungsstufen der Honeywall Roo heißen Generation I, II und III. Während Roo in der ersten Generation noch als Router den Netzwerkverkehr mit Hilfe von Firewallregeln überwacht und gegebenenfalls unterbindet, arbeitet die zweite Generation bereits als transparente Bridge: Sie verbindet die Rechner im Honeynet mit dem Internet, tritt für den Angreifer aber nicht in Erscheinung und kann folglich nicht Ziel des Angriffs werden. Da der Netzwerkverkehr an der Bridge zusammenläuft, ist sie der ideale Punkt für die Datensammlung. Der Betreiber eines Honeynet greift über eine separate Managementschnittstelle auf die Honeywall zu. Sie enthält bereits Snort-Inline, sodass sie bekannte ausgehende Angriffe verhindert.
In der dritten Generation geht Sebek an Bord. Das Programm ersetzt einige Kernelfunktionen und zeichnet mittels API-Hooking sämtliche von einem Angreifer abgesetzten Kommandos auf. So entstehen lückenlose Protokolle über die erfolgreichen Angriffe.
|
| Whitepaper |
|---|
|
Open Source Datenintegration in der Praxis: Fallstudien und Anwendungsbeispiele
Über die letzten Jahre hinweg haben sich Open Source Lösungen als fester Bestandteil des gesamten Datenintegrationsmarktes etabliert. Viele Unternehmen haben bereits das Open Source Modell für Ihre Datenintegrationsprojekte aufgegriffen. Das vorliegende White Paper illustriert anhand ausgewählter Fallstudien und Anwendungsbeispiele die Implementierung von Open Source Datenintegration in der Praxis und benennt die daraus resultierenden Vorteile.
Download PDF (Registrierung erforderlich)
|
|
The Role of Open Source in Data Integration
Obwohl in den letzten Jahren viele technische Fortschritte erzielt werden konnten, verfügen die meisten Datenintegrationsprozesse nach wie vor nur über eine sehr begrenzte Automatisierung. Das vorliegende White Paper von dem Industry Analyst Mark Madson wird zunächst ein grundlegendes Verständnis von Daten Integration vermitteln, die Vorzüge von Open Source Lösungen für Daten Integration erläutern und Ihnen professionelle Empfehlungen geben, damit Sie Ihre Integrationsjobs noch einfacher und produktiver gestalten können.
Download PDF (Registrierung erforderlich)
|
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
|
