Tarros de miel y redes trampa N. Del T.: Esta presentación está basada en la presentación “Honeypots” de Lance Spitzner publicada en http://www.tracking-hackers.com y ha sido traducida y modificada con su consentimiento. El autor de la presentación es Javier Fernández-Sanguino Peña y el trabajo ha sido realizado dentro del proyecto HIS (Honeynets In Spanish) dedicado a la investigación de redes trampa en el entorno español, que ha realizado la traducción todos los contenidos del Proyecto Honeynet.
El Ponente Consultor de Seguridad en Germinus Miembro del grupo HIS Desarrollador de software libre Miembro del proyecto Debian Autor del Manual de Seguridad de Debian Desarrollador principal de Tiger Colaborador en el desarrollo de Bastille y Nessus (entre otros)
Propósito Mostrar qué son los tarros de miel y las redes trampa, para qué sirven y qué aportan a la ingeniería de seguridad. N. Del T.: No hay traducción consensuada para “Honeynet” ni “Honeypot”. Un “Honeypot” es un tarro de miel (también a vesces traducido como “perita en dulce”), es decir un equipo diseñado para “atrapar” a los atacantes. Honeynet es un derivado de la palabra “Honeypot” (tarro de miel). En un informe para RedIris (http://www.rediris.es/app/ptyoc/actual/fm14.es.html) se traduce éste como “máquinas (o sistemas) trampa”
Resumen El problema Definición y tipos de los tarros de miel Introducción a las redes trampa Ejemplos de redes trampa Descubrimientos Recursos
El problema
El problema Las organizaciones son objetivos estáticos, no se “mueve” y todo el mundo sabe dónde están. Los “malos” tienen la iniciativa. Tienen recursos ilimitados y pueden atacarte cuando quieran, como quieran.
Solución Tradicional Proteger su red lo mejor que pueda. Esperar y desear que detecte cuando se produce un fallo.
Iniciativa Los tarros de miel y las redes trampa pueden dar la iniciativa.
Motivos e intenciones J4ck: why don't you start charging for packet attacks? J4ck: "give me x amount and I'll take bla bla offline for this amount of time” J1LL: it was illegal last I checked J4ck: heh, then everything you do is illegal. Why not make money off of it? J4ck: I know plenty of people that'd pay exorbatent amounts for packeting
Descubrimiento de nuevas herramientas El 8 de enero de 2002, el Proyecto Honeynet capturó el primer ataque conocido del CDE Subprocess Control Service (dtspcd). Se conocía la existencia de la vulnerabilidad, pero no se había visto un ataque en Internet aún. Este ataque sobre una de nuestras Honeynets demostró el potencial de éstas para descubrir y analizar ataques nuevos o desconocidos. Más información disponible en http://www.honeynet.org/papers/dtspcd/
Definición de los tarros de miel (o PED) ‘PED’ es el acrónimo de “perita en dulce” el término utilizado por Francisco Jesús Monserrat Coll, responsable de las redes trampa de RedIris, como traducción de “honeypot”. En esta presentación, sin embargo, se utiliza la traducción “tarro de miel”. Más información de las experiencias de redes trampas en Rediris en: http://www.rediris.es/app/ptyoc/actual/fm14.es.html Y http://www.rediris.es/~paco/ped
Historia 1990 1997 - Deception Toolkit The Cuckoo’s Egg Una noche con Berferd 1997 - Deception Toolkit 1998 - NetFacade y CyberCop Sting 1999 - El proyecto Honeynet 2001 - Capturas de gusanos
Definición Recursos de seguridad cuyo valor reside en ser sondeados, atacados o comprometidos.
Concepto Recursos que no tienen servicios en producción ni uso autorizado. Lo más probable es que cualquier conexión sea una sonda o un ataque, cualquier uso es no autorizado.
Una herramienta, no una solución Los tarros de miel son muy flexibles, son de muchas formas y tamaños. No se diseñan para un problema específico. Puede utilizarse para distintos propósitos.
Ventajas Información valiosa Número reducido de falsos positivos Número reducido de falsos negativos Concepto simple No exige muchos recursos Retorno de la inversión
Desventajas Riesgo Punto de vista limitado No protege sistemas vulnerables
Tipos de tarros de miel Producción Investigación Incrementa la seguridad en su red: protección, detección y respuesta Investigación Utilizada para recoger información Alerta temprana y predicción de ataques
Nivel de interacción Los objetivos de los tarros de miel son distintos. La funcionalidad depende de sus objetivos. Cuanto más pueda hacer un atacante en un tarro de miel, mayor es el nivel de interacción. “Nivel de interacción” es un término creado para entender las capacidades de distintos tarros de miel. Es lo que usamos para medir cuánta funcionalidad ofrece un tarro de miel a su atacante. Cuando un atacante interactúa con un tarro de miel hay distintos niveles de funcionalidad que puede éste ofrecer. Algunos tarros de miel ofrecen sólo un conjunto limitado de servicios emulados, mientras que otros no sólo ofrece aplicaciones completas, sino incluso un sistema operativo al que puede conseguir acceder el atacante. El nivel de interacción que vd. quiere depende de lo que quiere conseguir. Además, en función del nivel de interacción las ventajas y desventajas cambian. Esto puede ser un asunto crítico en el momento de decidir que tarro de miel quiere y como implementarlo.
Nivel de interacción. A mayor interacción más se puede conocer sobre el atacante. Cuanto mayor la interacción, mayor el riesgo. Los tarros de miel de producción suelen tener baja interacción mientras que las de investigación tienen alta interacción. Cuando mayor el nivel de interacción, mayor la funcionalidad que se ofrece al atacante y más puede hacer éste. Cuanto más pueda hacer el atacante, más se aprenderá de éste. Si todo lo que un atacante puede hacer es conectarse a un tarro de miel, sólo se capturarán sus intentos de conexión. Sin embargo, si el atacante tiene un sistema operativo real al que puede conectarse y con el que interactuar, se podrá aprender más de él. Sin embargo, a mayor nivel de interacción, mayor riesgo. Cuando más se permita que haga un atacante, más daño causará a su red o redes de terceras entidades.
Niveles Bajo – Emula servicios. Ejemplos: BackOfficer Friendly o Honeyd. Medio – Acceso limitado a un sistema operativo controlado. Ejemplo: entorno chroot o de jaula. Alto – Acceso a un sistema operativo totalmente funcional. Ejemplo: ManTrap o las redes trampa. Aquí hay algunos ejemplos de distintos tipos detarros de miel con distintos tipos de interacción. Se mostrarán cada una de estos tarros de miel con más detalle más adelante. Los tarros de miel de baja interacción generalmente ofrecen servicios emulados. Pueden tener un servicio de Telnet of FTP en el que puedes entrar e interactuar, pero no es un sistema real. Los tarros de miel de interacción media permiten alguna interacción con el sistema operativo, pero con funcionalidad limitada. Los tarros de miel de alta interacción ofrecen un sistema operativo completo. Los atacantes pueden descargar ficheros, binarios de troyanos, compilar código o múltiples otras acciones. Se puede aprender mucho más, pero con esta interacción vienen nuevos riesgos.
¿Cual es mejor? ¡Ninguno! Tienen todas ventajas y desventajas. Depende en lo que se quiera conseguir. Ninguno de los niveles de interacción es mejor que otro. Cada uno tiene sus ventajas y desventajas. Todo depende de lo que se quiera conseguir. Se selecciona el nivel de interacción que más se ajuste a un objetivo.
Baja interacción Emula vulnerabilidades: Un atacante está limitado a interactuar con los servicios que se ofrezcan, y el nivel de funcionalidad que se le de a éstos. Utilizado fundamentalmente para detectar o confundir. Captura de información limitada. Los sistemas de baja interacción emulan servicios y vulnerabilidades. La interacción del atacante está limitada a la funcionalidad que ofrezcan los servicios emulados. La mayoría de las soluciones de tarros de miel son programas que se instalan en sistemas existente. Los tarros de miel de baja interacción se utilizan habitualmente como tarros de miel de producción para proteger redes, capturan muy poca información para poder ser utilizado como un sistema de investigación. Se utilizan generalmente como tecnologías de engaño o detección. La mayor parte de los tarros de miel tradicionales son soluciones de baja interacción. Los tres tarros de miel que se mostrarán a continuación (BackOfficer Friendly, Specter, y Honeyd) se consideran soluciones de baja interacción.
Emulación de servidor de FTP case $incmd_nocase in QUIT* ) echo -e "221 Goodbye.\r" exit 0;; SYST* ) echo -e "215 UNIX Type: L8\r" ;; HELP* ) echo -e "214-The following commands are recognized (* =>'s unimplemented).\r" echo -e " USER PORT STOR MSAM* RNTO NLST MKD CDUP\r" echo -e " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUP\r" echo -e " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOU\r" echo -e " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZE\r" echo -e " REIN* MODE MSND* REST XCWD HELP PWD MDTM\r" echo -e " QUIT RETR MSOM* RNFR LIST NOOP XPWD\r" echo -e "214 Direct comments to ftp@$domain.\r" USER* ) parm1_nocase=`echo $parm1 | gawk '{print toupper($0);}'` if [ "$parm1_nocase" == "ANONYMOUS" ] then echo -e "331 Guest login ok, send your complete e-mail address as a password.\r" AUTH="ANONYMOUS" else echo -e "331 Password required for $parm1\r" AUTH=$parm1 fi Aquí se puede ver el código de un tarro de miel de baja interacción (Honeyd) que emula un servidor de FTP. Basándose en la entrada del ataque, existe una salida predefinida.
Alta interacción Ofrece un sistema operativo completo para que el atacante interactúe con él. Usado principalmente para investigación y respuesta, pero también puede ser utilizado para prevención y detección. Complejas de desplegar, pero potencialmente más seguro que las jaulas Captura gran cantidad de información. NO emula Los tarros de miel de alta interacción no emulan nada. En lugar de esto le dan a los atacantes un sistema operativo real completo con el que pueden interactuar. Debido a esta alta interacción se captura gran cantidad de información. No sólo pueden estas soluciones ser utilizadas como elementos de engaño y detección, como las soluciones de baja interacción, sino que también pueden ser utilizada para respuesta ante incidentes y para investigar a los atacantes. Se pueden capturar pulsaciones, nuevas herramientas de ataque, conversaciones e incluso imágenes. Un ejemplo de soluciones de alta interacción son ManTrap y Honeynets. Toda esta capacidad introduce nuevos riesgos. Cuanto más pueda hacer un atacante, más daño puede hacer.
Valor de redes trampa de producción Protección Detección Respuesta
Valor de redes trampa de investigación Recogida de inteligencia Predicción y Alerta Temprana
Ejemplos
Redes Trampa de producción BackOfficer Friendly LaBrea Tarpit Deception Toolkit Smoke Detector Specter Honeyd
Specter
Honeyd.conf create default set default personality "FreeBSD 2.2.1-STABLE" set default default tcp action reset add default tcp port 80 "sh /etc/Honeyd/scripts/web.sh" add default tcp port 22 "sh /etc/Honeyd/scripts/test.sh" add default tcp port 113 open add default tcp port 1 reset create windows set windows personality "Windows NT 4.0 Server SP5-SP6" set windows default tcp action reset add windows tcp port 80 ”perl /etc/Honeyd/scripts/iis/main.pl" add windows tcp port 25 block add windows tcp port 23 proxy real-server.tracking-hackers.com:23 add windows tcp port 22 proxy $ipsrc:22 set windows uptime 3284460 bind 192.168.1.200 windows Este es un ejemplo de un fichero de configuración de Honeyd. Éste determina el comportamiento de distitntos tarros de miel, y las direcciones IP a las que se asocia este comportamiento. Honeyd usa plantillas, donde cada plantilla define un comportamiento específico de distintas personalidades de tarros de miel. En este fichero de configuración hay dos plantillas. La primera es la plantilla por omisión (default) la segunda se llama Windows.
Nmap.prints # Contributed by Vilius beneti@sc.ktu.lt Fingerprint Windows NT 4.0 Server SP5-SP6 TSeq(Class=RI%gcd=<8%SI=<11784E&>2CA4) T1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=MNWNNT) T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=Y%W=2017%ACK=O%Flags=A%Ops=NNT) T4(DF=N%W=0%ACK=O%Flags=R%Ops=) T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T6(DF=N%W=0%ACK=O%Flags=R%Ops=) T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) Este es un ejemplo de una entrada de la base de datos de “huellas” de Nmap. Este es el fichero que Nmap utiliza para validar el sistema operativo de un sistema remoto. Es el mismo fichero que Honeyd utiliza para emular la pila de protocolos IP del sistema operativo. En el momento de escribir esta presentación, Nmap tenía más de 470 sistemas operativos documentados en el fichero de huellas. Este es el fichero normal de Nmap, Honeyd no necesita nada especial. Esto significa que se puede actualizar el tarro de miel consiguiendo la última base de datos disponible directamente de Nmap. Esta firma es para Windows NT 4.0 Server, Service Pack 5 or 6.
¿Un router Cisco?
Tarros de miel de investigación ManTrap Redes trampa
ManTrap Sistema Operativo Host Jaula 1 Jaula 2 Jaula 3 Jaula 4 Este es el diagrama lógico de un Host con ManTrap. Todo reside físicamente en el mismo sistema. Este Host soporta hasta cuatro jaulas lógicas. Cada jaula actúa como un sistema operativo virtual independiente con su propio interfaz de red físico que se conecta a la red.
Repetición de sesión La última versión de ManTrap (la 3.0) tiene la capacidad de reproducir ataques, pulsación por pulsación, incluso en tiempo real.
Red Trampa (Honeynet) Tarro de miel OpenSource. Se trata de una arquitectura, no es ni un producto ni ningún software concreto. Poblada de sistemas “vivos”.
GenII Honeynet
Control de Datos - GenII alert tcp $HONEYNET any -> any 53 (msg:"DNS EXPLOIT named";flags: A+; content:"|CD80 E8D7 FFFFFF|/bin/sh"; replace:"|0000 E8D7 FFFFFF|/ben/sh";) http://www.snort.org
Redes trampas virtuales Éste es un modelo gráfico de VMWare GSX, una de las herramientas utilizadas para tener redes trampa virtuales. En el diagrama se puede ver como el software de Vmware permite la ejecución de distintos sistemas operativos al mismo tiempo sobre distinto hardware.
Desplegando tarros de miel
Tarros de miel distribuidos
Tarros de miel wireless Otras redes wireless en el área de Washington D.C.
Descubrimientos
El proyecto Honeynet Una organización de voluntarios dedicados a la investigación de riesgos cibernéticos. Desplegando redes a lo largo del planeta para que sean atacadas
¿Quién soy yo? Creemos que esta persona es un “blackhat” Rumano que live en la costa este (de EEUU, N. del T.). Se cree que su apodo es ‘Johnny17’. El Proyecto Honeynet capturó este video en tiempo real mientras una de nuestras Honeynets estaba siendo atacada.
TESO wu-ftpd mass-Mass-rooter 1 | Caldera eDesktop|OpenLinux 2.3 update[wu-ftpd-2.6.1-13OL.i386.rpm] 2 | Debian potato [wu-ftpd_2.6.0-3.deb] 3 | Debian potato [wu-ftpd_2.6.0-5.1.deb] 4 | Debian potato [wu-ftpd_2.6.0-5.3.deb] 5 | Debian sid [wu-ftpd_2.6.1-5_i386.deb] 6 | Immunix 6.2 (Cartman) [wu-ftpd-2.6.0-3_StackGuard.rpm] 7 | Immunix 7.0 (Stolichnaya) [wu-ftpd-2.6.1-6_imnx_2.rpm] 8 | Mandrake 6.0|6.1|7.0|7.1 update [wu-ftpd-2.6.1-8.6mdk.i586.rpm] 9 | Mandrake 7.2 update [wu-ftpd-2.6.1-8.3mdk.i586.rpm] 10 | Mandrake 8.1 [wu-ftpd-2.6.1-11mdk.i586.rpm] 11 | RedHat 5.0|5.1 update [wu-ftpd-2.4.2b18-2.1.i386.rpm] 12 | RedHat 5.2 (Apollo) [wu-ftpd-2.4.2b18-2.i386.rpm] 13 | RedHat 5.2 update [wu-ftpd-2.6.0-2.5.x.i386.rpm] 14 | RedHat 6.? [wu-ftpd-2.6.0-1.i386.rpm] 15 | RedHat 6.0|6.1|6.2 update [wu-ftpd-2.6.0-14.6x.i386.rpm] 16 | RedHat 6.1 (Cartman) [wu-ftpd-2.5.0-9.rpm] 17 | RedHat 6.2 (Zoot) [wu-ftpd-2.6.0-3.i386.rpm] 18 | RedHat 7.0 (Guinness) [wu-ftpd-2.6.1-6.i386.rpm] 19 | RedHat 7.1 (Seawolf) [wu-ftpd-2.6.1-16.rpm] 20 | RedHat 7.2 (Enigma) [wu-ftpd-2.6.1-18.i386.rpm] 21 | SuSE 6.0|6.1 update [wuftpd-2.6.0-151.i386.rpm] 22 | SuSE 6.0|6.1 update wu-2.4.2 [wuftpd-2.6.0-151.i386.rpm] 23 | SuSE 6.2 update [wu-ftpd-2.6.0-1.i386.rpm] 24 | SuSE 6.2 update [wuftpd-2.6.0-121.i386.rpm] 25 | SuSE 6.2 update wu-2.4.2 [wuftpd-2.6.0-121.i386.rpm] 26 | SuSE 7.0 [wuftpd.rpm] 27 | SuSE 7.0 wu-2.4.2 [wuftpd.rpm] 28 | SuSE 7.1 [wuftpd.rpm] 29 | SuSE 7.1 wu-2.4.2 [wuftpd.rpm] 30 | SuSE 7.2 [wuftpd.rpm] 31 | SuSE 7.2 wu-2.4.2 [wuftpd.rpm] 32 | SuSE 7.3 [wuftpd.rpm] 33 | SuSE 7.3 wu-2.4.2 [wuftpd.rpm]