Nghiên cứu, tìm hiểu về honeyd để thiết lập hệ thống honeypots
MỤC LỤC Chương I: Tổng quan 1.1 Giới thiệu : .2 1.2 Honeypots : Chương II : Honeypots .5 2.1 Các loại hình Honeypots : 2.1.1 BackOfficer Friendly (BOF) : 2.1.2 Specter : 2.1.3 Honeyd : 2.1.4 Honeynet : .6 2.2 Triển khai Honeypots : 2.2.1 Lôi kéo người công : 2.2.2 Xác định mục tiêu : 2.3 Vị trí đặt hệ thống Honeypots : 10 2.3.1 Đặt vùng : 10 2.3.2 Đặt vùng : 10 2.3.3 Đặt vùng DMZ : 11 Chương III : Triển khai Honeypots .12 3.1 Các bước thiết lập Honeypots : 14 3.2 Thiết lập Router mạng : .16 3.3 Thiết lập mạng Router : 18 3.4 Thiết lập độ trễ , thất thoát băng thông : 19 3.5 Tích hợp máy vật lý vào topology mạng : .20 3.6 Thiết lập nhiều Router đầu vào : 21 3.7 Đường hầm GRE để thiết lập mạng phân tán : 23 Chương IV : Mô hệ thống Honeypots 26 4.1 Tổng hợp cấu hình Honeypots : 26 4.2 Cấu hình hệ thống Honeypots : 29 KẾT LUẬN 42 Chương I: Tổng quan 1.1 Giới thiệu : Trong năm gần đây, xâm nhập mạng gia tăng đáng kể, phổ dụng công cụ công tự động lập kịch Điều thúc đẩy quan tâm đến hệ thống Honeypots, hệ thống dùng để “bẫy” giải mã phương pháp công Các chuyên gia bảo mật cho biết: kẻ công ngán ngẩm phải công vào hệ thống Linux dạng trung bình Chi phí cho đột nhập thành công vào hệ thống sử dụng Linux cao nhiều so với chi phí bỏ để đột nhập vào hệ thống sử dụng Windows Dự án mang tên Honeypots tạo với mục đích giả lập hệ thống mạng Linux bình thường để câu nhử công nhằm nghiên cứu độ an toàn hệ thống máy chủ Linux Các kết nghiên cứu Honeypots đưa cho biết: khoảng thời gian tồn an toàn hệ thống máy chủ chạy Linux gia tăng đột ngột năm gần Honeypots rằng: Trong giai đoạn nay, hệ thống máy chủ Linux chưa cài đầy đủ sửa lỗi “chịu đựng” an toàn trung bình tháng trước công, so sánh với giai đoạn 2001-2002 72 Một số hệ thống máy chủ dự án an toàn suốt tháng trời trước công Dự án Honeypots thiết kế để nhằm mục đích nghiên cứu, dò tìm thu hút công Internet vào hệ thống máy chủ Linux, Windows Từ xưa đến công Internet dường chưa giảm Các nhà nghiên cứu dự án rằng: hầu hết công đời nhằm vào hệ thống sử dụng Windows, đơn giản mức độ phổ biến mức hệ điều hành độ bảo mật “ngon ăn” đến mức mà kẻ công cưỡng lại Lance Spitzner, chủ tịch dự án Honeynet, cho biết: “Tấn công vào người dùng tỏ dễ dàng nhiều so với công vào hệ thống máy tính ngân hàng Ngân hàng bảo vệ tốt người dùng không Chừng không đủ người dùng để công công ngân hàng” Dự án không đưa nghiên cứu so sánh với Windows, Spitzner quan chuyên bảo mật Symantec Internet Storm Center (ISC) công nhận có nhiều công vào hệ thống Honeynet Windows Một dự án khác ISC đo lường thời gian tồn hệ thống Windows trước công cho nhiều kết thú vị sau: Thời gian tồn trung bình trước công số hệ thống chạy Windows thử nghiệm ISC giảm nhanh từ 55 phút giai đoạn mùa thu 2003 xuống 20 phút vào dịp cuối năm 2004 Thảm hại vào giai đoạn mùa xuân 2004, hệ thống Windows “kịp sống” có 15 phút trước bị hạ gục Microsoft vớt vát thời gian tồn ngắn - Windows XP Service Pack - có nhiều người sử dụng Dự án Honeynet cân nhắc kỹ trước phân bố hệ thống khắp nơi giới để thu hút công Các máy tính chuyên câu nhử Honeynet phân bố mạng gia đình đến doanh nghiệp vừa nhỏ Dự án triển khai 12 trạm honeynet quốc gia Mỹ, Ấn Độ, Anh, Pakistan, Hy Lạp, Bồ Đào Nha, Brazil Đức Bao gồm 24 hệ thống Unix giả lập Unix, 19 hệ thống Linux hầu hết Red Hat bao gồm: hệ thống Red Hat 7.2, hệ thống Red Hat 7.3, Red Hat 8.0, Red Hat 9.0 hệ thống Fedora Core Các hệ thống khác bao gồm: chạy Suse 7.2, Suse 6.3, Solaris Sparc 8, Solaris Sparc hệ thống chạy Free- BSD 4.4 Dự án Honeynet nghiên cứu phi lợi nhuận công ty bảo mật thành lập nên, bao gồm công ty tầm cỡ như: Foundstone, Counterpane, Security Focus SourceFire 1.2 Honeypots : Honeypots hệ thống tài nguyên thông tin xây dựng với mục đích giả lập đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Trong lĩnh vực an toàn mạng, Honeypots hệ thống máy tính thiết kế đặc biệt để “bắt” tất hoạt động file khởi tạo thủ phạm có ý định giành quyền truy cập trái phép tới hệ thống Honeypots mức bảo vệ firewall bảo vệ hệ thống mạng Ví dụ, firewall bảo vệ mạng, Honeypots thường đặt bên firewall Điều cho phép thủ phạm Internet nhận quyền truy cập đầy đủ tới dịch vụ vào Honeypots Lưu ý rằng, ý tưởng ghi lại hoạt động thủ phạm, ngăn chặn chúng khỏi việc giành quyền truy cập tới Honeypots Một Honeypots hình nộm thiết kế để quan sát công hacker Một honeynet mạng thiết lập xung quanh hình nộm để lure (nhử) ghi lại bước công hacker Bằng việc nghiên cứu công thật, người nghiên cứu hy vọng có bước tiến việc phát triển kế hoạch phòng ngự Mỗi Honeypots có công người nghiên cứu học kỹ thuật công dùng Honeypots để tìm rootkit (ẩn nấp tránh không bị phát hiện, sử dụng hỗ trợ giấu đoạn mã độc), lỗi backdoor (cổng sau, hacker cài vào máy bị công để sau quay lại máy dễ dàng hơn) trước chúng vào hệ thống Cần phải xây dựng hệ thống phòng ngự phải có khả giấu dodge (lẩn tránh) công mà hệ thống đáp trả lại Đây vấn đề quan trọng để nghiên cứu cách an toàn máy tính khoảng cách xa Thay vào việc tìm chúng chúng tự tìm đến Một hệ thống Honeypots bị công khác hành động kẻ công thay đổi password root, password admin hệ thống (điều làm cho người quản trị hệ thống chủ hệ thống đăng nhập vào) Không kẻ công quan tâm đến việc kiểm tra diện Tripwire (một hệ thống kiểm tra tính toàn vẹn hệ thống), hệ thống mặc định Red Hat Linux sử dụng Honeypots Honeypots có khác biệt, Honeypots nghiên cứu Honeypots sản phẩm Những Honeypots nghiên cứu dựa thông tin tình báo đạt kẻ công phương pháp, kỹ thuật hacker Trong đó, sản phẩm Honeypots có mục đích làm giảm nguy hiểm cho nguồn lực IT công ty cung cấp cảnh báo phát cho công sở hạ tầng mạng, đồng thời đoán làm chệch hướng công khỏi hệ thống sản phẩm môi trường giám sát Honeypots Chúng miêu tả mạng hệ thống sản phẩm kết nối tới Internet (có thể không qua firewall) Hệ thống hệ thống sản phẩm chuẩn với ứng dụng thực tế sử dụng công ty mạng Trong thực tế, hoàn toàn có khả (clone) hệ thống sản phẩm triển khai thành Honeypots, thông tin confidential (bí mật) gỡ bỏ thay thông tin tương tự không mang giá trị thực Cũng chạy Honeypots honeynet nhà công ty nhỏ Trong thực tế, triển khai phần mềm đơn giản Linux honey, Niels Provos, phần mềm bắt chước phản hồi nhiều dịch vụ biết Trong trường hợp này, thu thập liệu từ công worm tự động initial bước công người Tuy nhiên, illusion (ảo) giới hạn đạt mức độ cao sau liệu xuyên qua Để tiếp cận với hành động xảy bóng tối, cần phải có honeynet: thiết bị trực tiếp kết nối tới mạng, mà bị probe (dò tìm), bị công Chỉ cần vài máy tính, kết nối tới mạng (thậm chí với IP động) số kiến thức an toàn thông tin sở hữu mạng để admit (nhận, nạp) hacker từ tất nơi giới Chương II : Honeypots 2.1 Các loại hình Honeypots : Gồm hai loại chính: Tương tác thấp tương tác cao Tương tác thấp (Low Interaction): Mô giả lập dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ Tương tác cao (High Interaction): Là dịch vụ, ứng dụng hệ điều hành thực Mức độ thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng Low Interaction BackOfficer Friendly Specter Honeyd Honeynet High Interation Hình 2.1: Loại hình Honeypots 2.1.1 BackOfficer Friendly (BOF) : Một loại hình Honeypots tương tác thấp dễ vận hành cấu hình hoạt động phiên Windows Unix tương tác với số dịch vụ đơn giản FTP, Telnet, SMTP… 2.1.2 Specter : Cũng loại hình Honeypots tương tác thấp khả tương tác tốt BOF, giả lập 14 cổng, cảnh báo quản lý từ xa Tuy nhiên giống BOF specter bị giới hạn số dịch vụ không linh hoạt 2.1.3 Honeyd : Honeyd lắng nghe tất cổng TCP UDP, dịch vụ mô thiết kế với mục đích ngăn chặn ghi lại công, tương tác với kẻ công với vai trò hệ thống nạn nhân Honeyd giả lập lúc nhiều hệ điều hành khác Hiện nay, Honeyd có nhiều phiên mô khoảng 473 hệ điều hành Honeyd loại hình Honeypots tương tác thấp có nhiều ưu điểm nhiên Honeyd có nhược điểm cung cấp hệ điều hành thật để tương tác với tin tặc chế cảnh báo phát hệ thống bị xâm nhập hay gặp nguy hiểm 2.1.4 Honeynet : Hình 2.2: Mô hình honeynet (GenII) Honeynet hình thức Honeypots tương tác cao Khác với Honeypots, Honeynet hệ thống thật, hoàn toàn giống mạng làm việc bình thường Honeynet cung cấp hệ thống, ứng dụng, dịch vụ thật Quan trọng xây dựng honeynet honeywall Honeywall gateway Honeypots mạng bên Nó hoạt động tầng Bridged Các luồng liệu vào từ Honeypots phải qua honeywall Các chức Honeynet Bất kỳ hệ thống Honeynet phải thực ba điều kiện: Kiểm soát liệu, bắt liệu phân tích chúng - Kiểm soát liệu Có thể hiểu mở cánh cửa cho hacker vào, cho phép xâm nhập honeynet lại đóng cửa ra, ngăn không cho hacker phát tán đoạn mã độc hại mạng làm việc bên Internet No Restrictions Connections Limited Packet Scrubbed Hình 2.3: Kiểm soát liệu Honeynet GenIII sử dụng ba cách kiểm soát liệu Đếm số kết nối từ honeynet ngoài: lớn mức cho phép cấm kết nối Sử dụng Snort-inline: phần mềm mã nguồn mở phát triển lên từ Snort làm việc hệ thống ngăn chặn xâm nhập (IPS) dựa sở liệu hình thức công thu thập từ trước để định Kiểm soát băng thông Bắt liệu Đây mục đích tất loại hình Honeynet - thu thập nhiều thông tin kẻ công theo nhiều mức: hoạt động mạng, hoạt động ứng dụng, hoạt động hệ thống Honeynet GenIII sử dụng Sebek để bắt liệu Đây kernel ẩn đặt máy Honeypots server honeywall gateway Hình 2.4: Hoạt động Sebek Khi mà kẻ công xâm nhập vào hệ thống tương tác với Honeypots Tất hoạt động hacker bí mật chuyển sebek server thu thập xử lý - Phân tích liệu Phân tích dựa giao diện walleye Honeywall Ethereal 2.2 Triển khai Honeypots : Để triển khai Honeypots cần có trình xử lý kỹ thuật tốt với việc thực kế hoạch giúp triển khai thành công hệ thống Danh sách đưa bước để thực hiện: Xác nhận Honeypots cho phép tạo dựng môi trường hệ thống Xác định mục tiêu Honeypots Tại lại muốn chạy Honeypots Dùng để nghiên cứu bảo vệ hệ thống tổ chức máy tính Xác định vai trò người việc tạo trì Honeypots Có chuyên môn kỹ thuật để triển khai cách xác trì Honeypots không? Có phần mềm phần cứng để triển khai chưa? thời gian hàng ngày để trì phân tích liệu nào? Tiếp tục thảo luận, nghiên cứu để theo kịp Honeypots khai thác cách hiệu Các loại Honeypots triển khai nghiên cứu sản phẩm, thực hay ảo Xác định cài đặt cấu hình thiết bị mạng cần thiết để tạo Honeypots Kế hoạch cấu hình số thành phần hỗ trợ Honeypots tool (cảnh báo, đăng nhập, giám sát, quản lý…) Thu thập thiết lập việc giám sát, đăng nhập tool phân tích hợp pháp Triển khai kế hoạch phục hồi lại Làm để phục hồi hệ thống Honeypots nguyên sau khai thác sử dụng dẫn tới việc bị hư hại Triển khai Honeypots thành phần hỗ trợ nó, kiểm tra việc triển khai, đánh giá công cụ phát xâm nhập, thử nghiệm xem hệ thống Honeypots hoạt động tốt không Phân tích kết tìm thiếu sót Tinh chỉnh hệ thống Honeypots dựa học nghiên cứu Lặp lại bước cần thiết 2.2.1 Lôi kéo người công : Nếu để lộ Honeypots theo cách mà địa IP port truy xuất tới từ Internet, truy cập cách nhanh chóng Trung bình hàng ngày địa IP công khai Internet thăm dò hàng chục lần Theo số liệu thống kê từ nhiều dự án Honeypots cho thấy có nhiều trăm lần thăm dò ngày, hầu hết máy chủ lưu trữ xảy công vòng tuần Các worm từ Internet quét nhiều lần ngày Nhiều quản trị Honeypots ghi lại thành công tổn hại xảy chưa đến 20 phút Chính nguyên nhân số quản trị viên Honeypots nhanh chóng tích cực đăng vùng Honeypots họ tới danh sách mail website hacker Những quản trị viên đăng vị trí Honeypots họ để khám phá số tội phạm nghiêm trọng Thu thập thông tin chứng hành vi xâm nhập trái phép Việc tạo Honeypots không nên quảng bá diện hay mời gọi hacker đánh bại mục đích Honeypots 2.2.2 Xác định mục tiêu : Để thiết kế hệ thống Honeypots cần xác định mục tiêu, muốn chọn nơi để đặt Honeypots Có nhiều câu hỏi cần trả lời trước bắt đầu, bao gồm điều sau đây: Lý muốn tạo hệ thống Honeypots? Môi trường OS để giả lập Honeypots? Giả lập lọai Server Service gì? Muốn theo dõi mối đe dọa từ bên trong, bên hay 2? Để có câu trả lời cho câu hỏi cần xác định nghiên cứu hay tạo sản phẩm Honeypots, làm nào? cấu hình sao? Sản phẩm Honeypotss nên mô theo ứng dụng, dịch vụ, máy chủ tồn Nếu làm với tương tác cao, gây khó khăn cho tin tặc việc nhận biết tương tác với Honeypots Hình 2.5: Ví dụ sản phẩm Honeynet Ví dụ, giả sử hệ thống mạng bao gồm máy chủ chạy HĐH Windows Server 2003 chạy IIS 6.0, Windows 2000 Server chạy Microsoft SQL Server 2000, Windows NT 4.0 Server, Windows 2000 Server chạy IIS 6.0 Sản phẩm honeypots cố gắng để mô giống máy chủ dịch vụ 2.3 Vị trí đặt hệ thống Honeypots : Có vùng để đặt hệ thống Honeypots: External Placement (đặt vùng ngoài) Internal Placement (đặt vùng trong) DMZ Placement (đặt vùng DMZ) Mỗi vùng để đặt Honeypots có ưu điểm nhược điểm tùy theo mục đích việc tạo Honeypots để làm 2.3.1 Đặt vùng : Là vùng nằm Internet với vị trí tường lửa đứng trước Honeypots, Honeypots mạng lưới honepots chia sẻ địa IP subnet công cộng 2.3.2 Đặt vùng : Vị trí Honeypots nằm bên mạng tường lửa ngăn cách với giới Internet Vị trí cách tốt để tạo hệ thống cảnh báo sớm cho biết khai thác từ bên vào bảo vệ mạng nội bộ, bắt đe dọa xảy lúc Một ví dụ cho thấy mà worm Blaster công, nhiều công ty #also need to be bound to templates to model their #behavior We have created a template called router #and bound the router IP addresses to that template create router set router personality "Cisco IOS 11.3 - 12.0(11)" set router default tcp action reset set router default udp action reset add router tcp port 23 "perl scripts/router-telnet.pl" set router uid 32767 gid 32767 set router uptime 1327650 bind 10.0.0.100 router bind 10.0.1.100 router bind 10.1.0.100 router bind 10.0.0.200 router bind 10.2.0.100 router bind 172.20.254.1 router 4.2 Cấu hình hệ thống Honeypots : Mô hình mạng giả lập Hình 5.1 : Sơ đồ mạng giả lập Các router: R1 với IP 10.0.0.100 R2 với IP 10.0.1.100 R3 với IP 10.0.1.200 R4 với IP 10.1.0.100 R5 với IP 10.2.0.100 Trong tất router chạy hệ điều hành “Cisco 7200 router running IOS 12.1(14)E6” riêng router R1 mở port 23 có dịch vụ telnet chạy thông qua script, router lại bình thường port đóng Các máy server client: pc1 với IP 10.0.1.51 pc2 với IP 10.0.1.52 pc3 với IP 10.1.0.51 pc4 với IP 10.1.0.52 pc5 với IP 10.1.1.51 pc6 với IP 10.1.1.52 pc7 với IP 10.2.1.51 Các pc1 pc7 server chạy hệ điều hành “Microsoft Windows 2003 Server Enterprise Edition” đồng thời mở port 23,80 cho dịch vụ Telnet, IIS chạy thông qua script Pc2 pc4 chạy hệ điều hành “Linux 2.6.8 (Ubuntu)” mở port 21, 80 cho dịch vụ FTP, IIS chạy thông qua script Pc3 chạy hệ điều hành “Microsoft Windows 2003 Server Enterprise Edition” mở port 25, 110 cho dịch vụ SMPT, POP3 chạy thông qua script Pc5 pc6 client chạy hệ điều hành “Microsoft Windows XP Home Edition”, mở port 138, 139, 445 #annotate "Cisco 7200 router running IOS 12.1(14)E6" #annotate "Linux 2.6.8 (Ubuntu)" #annotate "Microsoft Windows 2003 Server Enterprise Edition" #annotate "Microsoft Windows XP Home Edition" route entry 10.0.0.100 network 10.0.1.0/24 route 10.0.0.100 link 10.0.1.0/24 route 10.0.0.100 link 10.0.0.100/32 route 10.0.0.100 add net 10.1.0.0/24 10.0.1.100 route 10.0.0.100 add net 10.1.1.0/24 10.0.1.100 route 10.0.0.100 add net 10.2.0.0/24 10.0.1.200 route 10.0.0.100 add net 10.2.1.0/24 10.0.1.200 route 10.0.1.100 link 10.1.0.0/24 route 10.0.1.100 link 10.0.1.100/32 route 10.0.1.100 add net 10.1.1.0/24 10.1.0.100 latency 500ms loss 0,5 bandwidth 1Mbps route 10.0.1.200 link 10.2.0.0/24 route 10.0.1.200 link 10.0.1.200/32 route 10.0.1.200 add net 10.2.1.0/24 10.2.0.100 route 10.1.0.100 link 10.1.1.0/24 route 10.1.0.100 link 10.1.0.100/32 route 10.2.0.100 link 10.2.1.0/24 route 10.2.0.100 link 10.2.0.100/32 create linux set linux ethernet "vmware" set linux personality "Linux 2.6.8 (Ubuntu)" set linux default icmp action reset set linux default tcp action reset set linux default udp action reset add linux tcp port 21 "sh scripts\ftp.sh" add linux tcp port 80 "perl scripts\iisemulator-0.95\iisemul8.pl" create router1 set router1 ethernet "vmware" set router1 personality "Cisco 7200 router running IOS 12.1(14)E6" set router1 default icmp action reset set router1 default tcp action reset set router1 default udp action reset add router1 tcp port 23 "perl scripts\router-telnet.pl" create router2 set router2 ethernet "vmware" set router2 personality " Cisco 4000 Series running IOS 12.0(10.3" set router2 default icmp action reset set router2 default tcp action reset set router2 default udp action reset create win2k3_1 set win2k3_1 ethernet "vmware" set win2k3_1 personality "Microsoft Windows 2003 Server Enterprise Edition" set win2k3_1 default icmp action block set win2k3_1 default tcp action reset set win2k3_1 default udp action reset add win2k3_1 tcp port 23 "perl scripts\faketelnet.pl" add win2k3_1 tcp port 80 "perl scripts\iisemulator-0.95\iisemul8.pl" create win2k3_2 set win2k3_2 ethernet "vmware" set win2k3_2 personality "Microsoft Windows 2003 Server Enterprise Edition" set win2k3_2 default icmp action reset set win2k3_2 default tcp action reset set win2k3_2 default udp action reset add win2k3_2 tcp port 25 "perl scripts\smtp.pl" add win2k3_2 tcp port 110 "sh scripts\pop3.sh" create winxp set winxp ethernet "vmware" set winxp personality "Microsoft Windows XP Home Edition" set winxp default icmp action reset set winxp default tcp action reset set winxp default udp action reset add winxp udp port 138 open add winxp tcp port 139 open add winxp tcp port 445 open set winxp uptime 2230938 set winxp droprate in 0.005 set winxp uid 202909 gid 1389090 bind 10.0.0.100 router1 bind 10.0.1.100 router2 bind 10.0.1.200 router2 bind 10.0.1.51 win2k3_1 bind 10.0.1.52 linux bind 10.1.0.100 router2 bind 10.1.0.51 win2k3_2 bind 10.1.0.52 linux bind 10.1.1.51 winxp bind 10.1.1.52 winxp bind 10.2.0.100 router2 bind 10.2.1.51 win2k3_1 Lệnh thực thi file cấu hình trên: C:\winhoneyd-1.5c\WinHoneyd_1.5c.exe –d –p nmap.prints –a nmap.assoc –x xprobe2.conf –i -f C:\winhoneyd-1.5c\demo_honeyd.config –l C:\winhoneyd-1.5c\log\honeyd 10.0.0.100 10.0.1.100 10.0.1.200 10.0.1.51 10.0.1.52 10.1.0.100 10.1.0.51 10.1.0.52 10.1.1.51 10.1.1.52 10.2.0.100 10.2.1.51 Sau chạy lệnh máy honeyd tạo hệ thống máy tính giả lập dịch vụ, port open Dùng máy client chạy win XP với địa 10.0.0.14 cài đặt phần mềm để Scan Đầu tiên ta chứng minh hệ thống mạng ảo tạo cách dùng tool Net tools, Friendly Pinger, SolarWinds LANsurveyor SolarWinds LANsurveyor tool dùng để scan vẽ lại sơ đồ mạng toàn hệ thống tool scan địa IP không phù hợp với mạng có nhiều mạng dãy IP khác tạm thay Friendly Finger tool không sử dụng cách scan IP mà dùng để thiết lập sơ đồ mạng ta tự cấu hình giống với mô hình mạng mà ta tạo từ Honeyd, add router, computer, line tương ứng với địa IP sau dùng tiện ích tool để chứng minh hệ thống mạng ảo tồn hình 5.1 mô tả điều Hình 5.2: Tracert 10.2.1.51 minh họa mô hình mạng chạy Một cách dùng Net tools tool ko cho thấy sơ đồ mạng mà scan IP xem địa alive Với việc sử dụng tool cho thấy hệ thống mạng ảo tạo ra, bước dò tìm xem mạng có dịch vụ port mở Để thực việc dùng tool nmap nmap tool scan port mạnh danh từ lâu giới hacker tin dùng nhà quản trị mạng Nó hỗ trợ toàn phương thức scan port, scan OS (operating system)…, hỗ trợ phương thức scan hostname, service chạy hệ thống Nmap có giao diện đồ hoạ giao diện command line cho người dùng, chạy môi trường NIX Windows Phần mềm nmap miễn phí download địa chỉ: http://nmap.org/download.html Dưới cách sử dụng nmap để scan Hình 5.3: Tùy chọn chạy nmap Hình 5.4: Tùy chọn chạy nmap Các dạng Scan Nmap hỗ trợ nmap –sT: chữ -s Scan, chữ T dạng TCP scan nmap –sU: sử dụng UDP Scan nmap –sP: sử dụng Ping để scan nmap –sF: sử dụng FIN Scan nmap –sX: sử dụng phương thức XMAS Scan nmap –sN: sử dụng phương thức NULL Scan nmap –sV: sử dụng để Scan tên ứng dụng version nmap –SR /I RPC sử dụng để scan RPC Các option cao cấp kết hợp với dạng scan Nmap : -O : sử dụng để biết hệ điều hành chạy máy chủ ví dùng Nmap sử dụng phương thức scan XMAS Scan đoán biết hệ điều hành của: http://www.stsi.com.vn/ dùng câu lệnh: nmap –sX –O http://www.stsi.com.vn/ - p: giải port sử dụng để scan: nmap –p 1-1024 10.0.0.1 scan từ port đến 1024 nmap –p 80 10.0.0.0/24 scan port 80 dùng tùy chọn kết hợp với service ftp, http để scan trực tiếp: nmap –p ftp,http 10.0.0.0/24 Hình 5.5: Scan port services - F: Chỉ port danh sách scan Nmap - v: Sử dụng Scan hai lần nhằm tăng độ tin cậy hiệu phương thức scan sử dụng - P0: không sử dụng ping để Scan nhằm mục đích giảm thiểu trình quét ngăn chặn scan trang web hay máy chủ Ví dụ muốn Scan trang web http://www.stsi.com.vn/ phương thức UDP Scan số port sử dụng từ tới 1024 sử dụng hai lần để nâng cao hiệu quả, scan không ping tới trang này: Nmap –sU –p 1-1024 –v –P0 http://www.stsi.com.vn/ Ngoài nmap hỗ trợ tính scan ẩn nhằm tránh trình quét server sử dụng: -Ddecoy_host1, decoy2… để sử ẩn trình Scan -6: Scan IPv6 Ngoài Nmap có options để output kết nhiều định dạng file khác Hình 5.6: Scan tcp Hình 5.7: Scan udp Sau phát dịch vụ, port mở router server, thử tìm cách xâm nhập vào, đồng thời chạy Snort để ghi log alert Snort –dve –i2 –l c:/snort/log –c c:/snort/rules/demo.rules –h 10.0.0.0/24 Chạy câu lệnh máy Honeyd dựng Honeypors snort bắt đầu lắng nghe Tại máy client địa IP 10.0.0.14 dùng câu lệnh đơn giản ping, telnet, ftp tới Honeypots kết lệnh snort ghi log lại đưa alerts Hình 5.8: Kết thúc việc theo dõi phát xâm nhập Hình 5.9: Thư mục chứa file log Hình 5.10: Nội dung file alert.ids Hình 5.11: Log file thể kết nối ftp Hình 5.12: Log file thể kết nối telnet Tiếp tục với file demo1.rules có nội dung: alert tcp any any -> any 23 (msg: "Telnet Connection => Attempt";) alert tcp any any -> any any (msg: "ACK => scan detected"; flags: SA;) alert tcp any any -> any any (msg: "SYN => scan detected"; flags: SS;) alert tcp any any -> any any (msg: "NULL scan ???detected"; flags: 0;) alert tcp any any -> any any (msg: "O/S Fingerprint => detected"; flags: S12;) Chạy file với lệnh: Snort –dve –i2 –l c:/snort/alert –c c:/snort/rules/demo1.rules –h 10.0.0.0/24 Sau chạy xong snort lắng nghe, máy client dùng Nmap để scan Nmap –sA 10.0.0.1, nmap –sS 10.0.0.1, quay lại máy chủ Honeyd dựng Honeypots theo dõi folder c:\snort\alert thấy file alert.ids có cảnh báo file log : Hình 5.13: Thư mục cảnh báo chứa folder log Hình 5.14: File log thể cho việc dùng nmap scan Hình 5.15: Nội dung file cảnh báo Các hình minh họa “Chương IV” thể đầy đủ hệ thống mạng giả lập với dịch vụ, đồng thời đưa cảnh báo nhằm phát xâm nhập KẾT LUẬN Sau trình nghiên cứu, tìm hiểu Honeyd để thiết lập hệ thống Honeypots với việc thực em rút số nhận xét: Những kiến thức đạt Honeypots lựa chọn tốt cho việc bẫy hacker tìm phương pháp công bảo vệ hệ thống mạng thiệt cho doanh nghiệp tổ chức Việc tạo hệ thống mạng máy tính ảo với dịch vụ giả lập phần quan trọng Honeypots Một số tính Honeyd cung cấp để thiết lập mạng Honeypots thực đồ án: o Giả lập topology mạng phức tạp o Giả lập dịch vụ mạng thông qua scripts o Cấu hình thông số mạng độ trễ, tỉ lệ thất thoát băng thông o Hỗ trợ nhiều router đầu vào để phục vụ nhiều mạng Thông qua việc demo cho thấy hệ thống Honeypots tạo ra, dựng dịch vụ, quét dịch vụ, port phát cảnh báo xâm nhập vào mạng Cài đặt sử dụng Honeyd Honeypots chia thành nhiều loại có tool miễn phí có tool phải mua tiền Bù lại có thuận lợi cấu hình để setup hệ thống Honeypots yêu cầu cấu hình không cao chạy nhiều hệ điều hành khác Những mặt hạn chế Việc chuyển đổi cài đặt hệ thống Honeypots thiết lập Linux sang Windows gây không khó khăn, đồng thời khai thác hết chức hoạt động Honeyd tạo Honeypots Trong phần nghiên cứu dừng lại Honeyd dạng tương tác Honeypots thuộc tương tác thấp lên chưa đáp ứng đầy đủ chức hiệu tốt nhất, việc tạo hệ thống thật để tương tác với tin tặc Với khó khăn định trang thiết bị, kiến thức thực tế việc thiết lập Honeypots dùng Honeynet chưa thành công Hướng phát triển Nghiên cứu mở rộng hệ thống, công cụ khác có chức nhiệm vụ giả lập mạng, theo dõi phát xâm nhập bảo vệ mạng Triển khai Snort nhằm phát xâm nhập với Honeypots cách hiệu nhằm nâng cao việc bảo vệ mạng Tích cực đưa hệ thống áp dụng mô hình mạng doanh nghiệp tổ chức Điểm mạnh Honeypots honeynet Khác với Honeypots, Honeynet hệ thống thật, hoàn toàn giống mạng làm việc bình thường Honeynet cung cấp hệ thống, ứng dụng, dịch vụ thật Quan trọng xây dựng honeynet honeywall Honeywall gateway Honeypots mạng bên Nó hoạt động tầng Bridged Các luồng liệu vào từ Honeypots phải qua honeywall Từ đề tài phát triển rộng cao việc thiết lập Honeypots dùng Honeynet kết hợp với việc sử dụng Snort cài đặt Linux [...]... Provos, Honeyd là một chương trình nền nhỏ nhưng có rất nhiều tính năng nổi trội Honeyd giả lập các máy ảo trong một mạng máy tính Nó có thể giả lập một hệ điều hành bất kỳ, cho phép mô phỏng các dịch vụ TCP/IP khác nhau như HTTP, SMTP, SSH Honeyd được sử dụng trong việc xây dựng Honeynet, thiết lập các Honeypots để dụ hacker đột nhập vào hệ thống Một tính năng hữu ích của Honeyd là có khả năng giả lập. .. chủ Honeyd Honeyd làm việc trên nền Unix, rồi được chuyển sang Windows bởi Michael Davis Trong ví dụ này, sẽ dùng một máy Windows Server 2003 để làm máy chủ Honeyd Mạng vật lý sử dụng dải địa chỉ 10.0.0.0/24, và máy chủ Honeyd được gán cho địa chỉ IP 10.0.0.1 như hình 3.1 Hình 3.1 : Honeyd host 3.1 Các bước thiết lập Honeypots : Đầu tiên xem qua cách thức thiết lập 2 mạng Honeypots trên máy chủ Honeyd. .. truyền dữ liệu thông qua đường hầm từ một mạng ảo trong máy chủ Honeyd tới các mạng khác từ xa để thiết lập một mạng phân tán Tính năng này được sử dụng để giả lập một mạng phân tán thông qua máy chủ Honeyd hoặc dùng một máy chủ Honeyd để phục vụ nhiều mạng phân tán Trong phần sau, sẽ thiết lập máy chủ Honeyd đóng vai trò như một tập hợp các Honeypots tương tác, một dạng site tập trung Các thành phần tham... này, Honeyd bắt đầu lắng nghe và trả lời các gói tin đối với 2 hệ thống ảo mà nó tạo ra tại địa chỉ 10.0.0.51 và 10.0.0.52 Máy chủ Honeyd vẫn có thể được truy cập từ bên ngoài, nên cần phải bảo vệ địa chỉ IP của máy chủ Honeyd bằng tường lửa cụ thể là phần mềm "Kerio WinRoute Firewall” Hình 3.2: Thiết lập 2 Honeypots 3.2 Thiết lập một Router trong mạng : Hình 3.3 : Router trong mạng Honeypots Giả lập. .. Thiết lập các biến system: UPTIME thời gian hệ thống chạy bao lâu tính bằng giây DROPRATE IN tỷ lệ (%) rớt được chỉ định của packets gửi từ Honeyd để mô phỏng một mạng bận rộn UID and GID định danh duy nhất và định danh trên toàn cầu của các máy tính ảo (number) Sau đây sẽ xây dựng một mạng vật lý bao gồm 4 máy tính để bàn cộng với một hệ thống được dùng làm máy chủ Honeyd Mạng ảo mà giả lập. .. Windows XP Pro (German) SP1 Chương IV : Mô phỏng hệ thống Honeypots 4.1 Tổng hợp cấu hình Honeypots : Phần trên đã cho thấy cách cấu hình và thiết lập topology mạng sử dụng Honeyd Bằng cách dùng một số lệnh kết hợp với nhau ta đã giả lập các mạng phức tạp và mô hình hoạt động của mạng Mạng thiết lập bao gồm các tính năng sau: o o o o o Nhiều điểm vào Nhiều trạm để đưa tới đích Liên kết với trễ truyền, tổn... cổng nối mới để truy cập vào mạng con bằng cấu hình "route add net" Đây là 3 cấu hình cơ bản để xây dựng topology mạng lớn với Honeyd Bằng cách sử dụng kết hợp các cấu hình này, có thể giả lập các mạng phức tạp Bây giờ, sẽ mở rộng mạng thêm một mức nữa để nghiên cứu thêm các đặc tính nổi trội khác của Honeyd 3.4 Thiết lập độ trễ , thất thoát và băng thông : Thêm vào một mạng thứ 3, bao gồm 2 Honeypots. .. entry" một lần nữa để định nghĩa router mới Phần còn lại của mạng có thể được xây dựng thông qua việc kết hợp "route add net" với "route link" Đối với mạng này, có một cấu hình cho điểm vào thứ 2 và mạng đằng sau nó: Hình 3.7 : Thiết lập nhiều Router đầu vào 3.7 Đường hầm GRE để thiết lập mạng phân tán : Hình 3.8 : Đường hầm GRE để thiết lập mạng phân tán Một tính năng nổi trội khác của Honeyd là khả năng... cho Honeypots với mẫu đó Mẫu trên yêu cầu Honeyd đóng giả hệ điều hành “Microsoft Windows 2003 Server SP1” khi một máy khách cố gắng xác minh Honeypots với nmap hoặc Xprobe Mở 5 port trên Honeypots: 80/tcp, 139/tcp, 137/udp, 138/udp và 135/udp Khi một máy kết nối tới cổng 80 của Honeypots, Honeypots sẽ thực thi “perl scripts\iisemulator-0.95\iisemul8.pl” để giả lập IIS Đối với các cổng được đóng, Honeypots. .. Đối với người dùng trên mạng xuyên quốc gia, điều này có vẻ như mạng giả lập bên trong máy chủ Honeyd chỉ cách một trạm truyền, khi lưu thông được thực hiện thông qua đường hầm qua liên kết ảo được thiết lập giữa 2 router Máy chủ Honeyd của ta có thể nhờ đó được sử dụng để phục vụ một mạng ở xa Để cấu hình máy chủ Honeyd thiết lập đường hầm GRE như hình 3.8, phải thêm R6 - router có giao diện bên ngoài ... “Chương IV” thể đầy đủ hệ thống mạng giả lập với dịch vụ, đồng thời đưa cảnh báo nhằm phát xâm nhập KẾT LUẬN Sau trình nghiên cứu, tìm hiểu Honeyd để thiết lập hệ thống Honeypots với việc thực... Tripwire (một hệ thống kiểm tra tính toàn vẹn hệ thống) , hệ thống mặc định Red Hat Linux sử dụng Honeypots Honeypots có khác biệt, Honeypots nghiên cứu Honeypots sản phẩm Những Honeypots nghiên cứu... Bao gồm 24 hệ thống Unix giả lập Unix, 19 hệ thống Linux hầu hết Red Hat bao gồm: hệ thống Red Hat 7.2, hệ thống Red Hat 7.3, Red Hat 8.0, Red Hat 9.0 hệ thống Fedora Core Các hệ thống khác bao