The honeynet project honeypots
Trang 1GVHD:
TS Phạm Văn Tính
Trang 2N i Dung Báo Cáo ộ
1 Tổng quan Honeypots
2 Honeypot tương tác thấp(honeyd)
3 Honeypot tương tác cao(honeynet)
4 Ưu nhược điểm Honeypots
Trang 31 T ng quan Honeypots ổ
1.1 Honeypots là gì?
1.2 Vắn tắt lịch sử Honeypots
1.3 Phân loại
Trang 41.1 Honeypots là gì?
Honeypots là một hệ thống tài nguyên thông tin
được xây dựng với mục đích giả dạng đánh lừa
những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn chặn tiếp xúc với hệ thống thật
Honeypot có thể giả dạng bất cứ loại máy chủ tài
nguyên nào như : Mail Server, DNS, Web server, …
Honeypot là một hệ thống tài nguyên không có giá trị
Được sử dụng để giám sát, phát hiện và phân tích các cuộc tấn công
Trang 71.3.1 Level of Interaction
Tương tác thấp
Mô phỏng một vài khía cạnh hệ thống
Dễ dàng triển khai, ít rủi ro
Giới hạn thông tin
Trang 8Medium
High
Trang 91.3.2 Physical V.S Virtual Honeypots
Trang 101.3.3 Cách làm việc honeypots?
Prevent Detect
Response
Monitor
No connection
Trang 12Research Honeypots
• Khám phá những công cụ, chiến thuật mới
• Phân tích và phát triển những kỹ thuật
• HONEYNET?
Trang 16BackOfficer Friendly
BackOfficer
BackOfficer Friendly
Trang 17BackOfficer Friendly
BackOrifice: Là một loại Trojan khi được cài đặt vào máy nạn nhân (chỉ trên những hệ thống Window 95 hoặc Window 98) và nằm ẩn bên trong hệ thống và cho phép các Attacker
có thể thực hiện hành vi tấn công của mình như: theo dõi tất
cả hành động của nạn nhân trên hệ thống của mình mà các nạn nhân không hề biết.
Chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
BackOfficer Friendly
báo những tấn công từ bên ngoài đe dọa trên hệ thống nạn nhân nào đó
Trang 18• Khi một tấn công bị phát hiện, thì thông tin bắt được rất hạn hẹp, chỉ cho thấy được các loại như IP của máy tấn công, trên port và loại dịch vụ tương ứng
Trang 19KF Sensor
• Là một Honeypot chạy trên môi trường Window, có chức năng thu hút và phát hiện ra các cuộc tấn công, worm và trojan trên hệ thống mạng
• Nó chứa nhiều các tính năng riêng biệt như có khả năng quản lý từ xa, các mẫu signature tương thích với Snort, mô phỏng được hầu hết các dịch vụ mạng của Window.
• KFSensor mô phỏng các dịch vụ như là: FTP, SMB, POP3, HTTP, TELNET, SMTP nhằm lấy các thông tin về một cuộc tấn công Một cuộc tấn công bị phát hiện, phân tích và báo cáo ngay tức khắc, đồng thời đáp trả lại những yêu cầu của
kẻ tấn công trong khi nó vẫn tiếp tục xử lý cuộc tấn công đó.
Trang 21 Hạn chế của honeypot KFSensor:
Giống như các honeypot tương tác thấp khác,
KFSensor không cung cấp một hệ điểu hành thật để cho kẻ tấn công có thể tương tác, vì thế sẽ hạn chế lượng thông tin thu được từ những cuộc tấn công và chính vì điểm yếu đó sẽ làm cho Honeypot sẽ dễ
dàng bị phát hiện KFSensor chỉ mô phỏng được
những dịch vụ chưa chạy trên hệ thống
Trang 23 Specter định ra bảy loại traps trong tổng số 14 dịch
vụ mô phỏng, chủ yếu là định ra danh sách port lắng nghe trên từng loại dịch vụ, trong đó có 1 trap có thể tùy biến port lắng nghe
Hạn chế : Specter không có khả năng theo dõi trên bất cứ loại dịch vụ nào đang chạy trên hệ điều hành thật
Trang 24 Được phát triển và duy trì bởi Niels Provos
Honeyd là một chương trình nền nhỏ có rất nhiều
tính năng nổi trội
Honeyd giả lập các máy ảo trong một mạng máy tính
Nó có thể đóng giả một hệ điều hành bất kỳ, cho
phép mô phỏng các dịch vụ TCP/IP khác nhau như HTTP, SMTP, SSH v.v
Trang 25 Hỗ trợ nhiều loại dịch vụ khác nhau;
Mô phỏng nhiều mô hình mạng khác nhau;
Hỗ trợ tunneling và redirecting ;
Trang 28How it attracts worms?
Three methods:
Create special routes;
Proxy ARP;
Network tunnels.
Trang 29DataBase
Network
Trang 30Personality Engine
Đánh lừa những công cụ fingerprinting
Thay đổi header của gói tin trước khi out put ra ngoài netword
Trang 31Kiến trúc Routing
Mô phỏng kiến trúc mạng ảo;
Một số honeypot có thể cấu hình như là router
Cấu hình các thông số của mạng như độ trễ, tỉ lệ thất thoát và băng thông
Hỗ trợ kỹ thuật tunneling và sự chuyển
hướng dòng dữ liệu
Trang 33Simulation Results of Anti-Worm
Trang 343 Honeypot t ng tác ươ cao(Honeynet)
Trang 35What is a Honeynet
Honeypot tương tác mức cao thiết kế để :
Thu thập thông tin ở mức sâu.
Học nguời mà sử dụng hệ thống của bạn với không có quyền của bạn.
Nó là 1 kiến trúc, không là một sản phẩm hay phần mềm.
Phổ biến với các hệ thống thực.
Vậy :
Honeynet là một mạng các honeypot tương tác mức cao giống như một mạng thực sự trong thực tế và được cấu hình sao cho tất cả các hoạt động được giám sát và ghi nhận.
Trang 36What is a Honeynet
Một khi đã bị tấn công, dữ liệu thu thập được từ
honeynet sử dụng để học những công cụ, chiến lược
và động cơ của cộng đồng blackhat
Thông tin thu thập có những giá trị khác nhau đối với những tổ chức khác nhau
Học những lỗi mà có thể tấn công hệ thống
Triển khai kế hoạch phản hồi
Honeynet được áp dụng theo 2 hướng
Mục đích nghiên cứu
Bảo vệ hệ thống thật
Trang 37What’s The Difference?
Honeypots sử dụng những lỗi đã biết để thu hút tấn
Trang 38How it works
Một mạng được giám sát với mức độ khá cao.
Mỗi gói tin đi vào hay rời hệ thống đều được giám sát, thu thập và phân tích.
Bất kì traffic đi vào hay ra hệ thống honeynet đều nằm trong phạm vi nghi ngờ.
Trang 39Diagram of Honeynet
Trang 41Data Control
Trang 42• Triển khai tại gateway
• Dựa trên 2 cơ chế :
• Giới hạn số lượng kết nối ra bên ngoài.
• Lọc gói tin độc hại
• Loại bỏ gói tin
• Thay thế sửa đổi gói tin
Trang 43Data Capture
Nhằm khám phá ra kỹ thuật xâm nhập , tấn công, công cụ và mục đích của
hacker Đồng thời phát hiện ra lỗ hổng của hệ thống.
Đóng vai trò vô cùng quan trọng trong
honeynet, không có module thu nhận dữ liệu honeynet không có giá trị.
Trang 44Data Capture
Yêu cầu đối với module thu nhận dữ liệu
Thu nhận càng nhiều dữ liệu càng tốt.
Đảm bảo tính sẵn sàng.
Che dấu đối với hacker.
Dựa trên yêu cầu trên cơ chế thu nhận dữ liệu trong honeynet bao gồm 3 tầng
Thu nhận từ tường lửa
Thu nhận từ luồng mạng.
Thu nhận dữ liệu từ hoạt động honeypot trong hệ
thống.
Trang 45Data Analysis
Hỗ trợ phân tích dữ liệu thu nhận được nhằm đưa ra : kỹ thuật , công cụ và mục đích của kẻ tấn công.
Từ đó đưa ra cho nguời quản trị đưa ra các biện pháp phòng chống.
Trang 46Honeynet – Gen I
Trang 47Honeynet – Gen II
Trang 48Honeynet – Gen III
Honeynet thế hệ cải tiến bằng triển khai và quản lý.
Một thay đổi cơ bản trong kiến trúc là sử dụng
một thiêt bị đơn lẽ điều khiển việc kiểm soát dữ liệu và thu nhận dữ liệu được gọi là honeywall
Sự thay đổi trong honeywall chủ yếu ở module
kiểm soát dữ liệu Những sự thay đổi đó khiến honeynet thế hệ 2 và 3 trở nên khó bị kẻ tấn công phát hiện hay in dấu chân.
Trang 504 u đi m c a honeypot Ư ể ủ
• Honeypot thu nhận rất ít dữ liệu, nhưng lại có giá trị
sử dụng rất cao
• Lượng tài nguyên phân tích thấp
• Khái niệm đơn giản, có nhiều cách thức hiện thực
• Tính hiệu quả cao
• Có thể nghiên cứu tìm ra cách tấn công mới
Trang 51R i ro c a honeypot ủ ủ
• Thu hẹp phạm vi ảnh hưởng.
• Để lại dấu vết ( footprinting).
• Gây ra rủi ro lớn khi:
Bị phát hiện.
Cấu hình lỗi.
Trang 52Cách gi m nh r i ro ả ẹ ủ
• Làm cho honeypot trở nên linh hoạt hơn:
Honeypot nào cũng có khả năng tự phát hiện.
Sữa đổi những giải pháp không an toàn
Khắc phục footprinting.
Trang 53K t lu n ế ậ
• Honeypot không phải là một giải pháp thay thế hoàn toàn cơ chế bảo mật.
• Honeypot chỉ là một công cụ linh hoạt tăng
cường tính bảo mật của hệ thống.
• Ý nghĩa chính của nó là nhận dạng và thu nhập thông tin của các cuộc tân công.
• Honeypot chỉ đang ở những bước đầu.