4.2.1. Cài đặt và cấu hình Honeywall
a) Cài đặt
Quá trình thực hiện Honeywall khá đơn giản, sau khi đƣa đĩa cài đặt Honeywall Roo vào, màn hình sau xuất hiện:
Hình 4. 2- Màn hình cài đặt Honeywall Sau đó thực hiện theo hƣớng dẫn, quá trình cài đặt sẽ diễn ra tự động.
Lưu ý: sau khi cài đặt, dữ liệu trên ổ cứng sẽ bị xóa hết, bởi vậy cần phải sao lƣu trƣớc
b) Cấu hình
Sau khi Honeywall đƣợc cài đặt, nhiệm vụ đầu tiên là cấu hình hệ thống. Trên thực tế, Honeywall là một gateway - nơi luồng dữ liệu vào / ra hệ thống Honeynet phải đi qua, hoạt động ở chế độ cầu (bridge) sử dụng iptable, snort_inline để kiểm soát dữ liệu. Ngoài ra, Honeywall sử dụng snort, pcap_api để thu nhận dữ liệu trên mạng. Honeywall bản roo 1.4-hw-2009 tích hợp Sebekd 3.0.5 để thu nhận dữ liệu Sebek từ phía Sebek client gửi về, cùng với công cụ hỗ trợ phân tích Walleye, giao diện đồ họa dựa trên nên Web.
Sau khi cài đặt xong thì Honeywall sẽ tự động Restart lại và sau đó hiện ra màn hình Login nhƣ hình dƣới . Theo mặc định , Honeywall có sẵn 2 Account là : Roo và Root ; cả 2 đều có password là : honey . Và để đảm bảo tính an toàn ,Honeywall chỉ cho phép Logon với Account Roo , sau đó sẽ su lên với quyền của Account Root bằng lệnh : su - Honeywall cung cấp một giao diện kiểu hội thoại để cấu hình tệp /etc/Honeywall.conf
Hình 4. 3- Màn hình cấu hình Honeywall
51 Hình 4. 4- Cấu hình các địa chỉ IP Public cho các Honeypots
Hình 4. 5– Cấu hình địa chỉ IP đích cho các gói tin Sebek
Hình 4. 7 - Cấu hình địa chỉ IP cho Management Interface ( eth2 )
Hình 4. 8 - Cấu hình default gateway cho Managemant Interface
53 Sau khi cấu hình xong trên Honeywall, chúng ta có thể quản lý Honeywall thông qua giao diện Web tại địa chỉ: https://10.0.0.66 (nhƣ hình minh họa dƣới đây)
Hình 4. 10 - Giao diện quản lý Honeywall
4.2.2 Cài đặt và cấu hình Sebek a) Cài đặt a) Cài đặt
Chúng ta thực hiện cài đặt Sebek client trên các honeypot nhằm thực hiện thu nhận các hành động của hacker trên từng honeypot.
Cài đặt Sebek client trên hệ điều hành WINDOWS - Tải tệp tin Sebek – Win32 – 3.0.5.zip
- Giải nén tệp tin và chạy tệp cài đặt Setup.exe
- Sau khi cài đặt xong, thực hiện cấu hình thông qua chƣơng trình Configuration Winzard.exe (các tham số đƣợc đề cập ở phần cấu hình)
b) Cấu hình
Hình 4. 11 - Cấu hình Sebek Client trên Windows Lƣu ý: Địa chỉ MAC trong phần cấu hình là địa chỉ của eth1 nối với honeywall
55
4.3. Vận hành hệ thống Honeynet và phân tích kỹ thuật tấn công của Hacker 4.3.1. Kịch bản tấn công 4.3.1. Kịch bản tấn công
Hình 4. 13 - Kịch bản tấn công hệ thống Honeynet
Đề tài sẽ trình bày một kịch bản tấn công đơn giản dựa trên mô hình triển khai hệ thống Honeynet diễn ra nhƣ sau:
- Hacker tìm ra đƣợc địa chỉ máy chủ 10.0.0.10, thực hiện dùng chƣơng trình nmap để thực hiện dò quét xem server có mở những cổng nào để thực hiện ý đồ tấn công sau đó của mình.
Toàn bộ thông tin quá trình tấn công của hacker vào hệ thống Honeypot sẽ đƣợc ghi lại đầy đủ, chi tiết.
- Quá trình tấn công diễn ra nhƣ thế nào
- Công cụ hacker sử dụng (công cụ khai thác nmap) - Kỹ thuật hacker sử dụng
4.3.2. Phân tích kỹ thuật tấn công của hacker
Quá trình hacker thực hiện dò quét cổng
Hacker sử dụng công cụ nmap quét các cổng mở của ip 10.0.0.10 của server thấy đƣợc server 10.0.0.10 mở 8 cổng là 80,135,53,445,139,1027,1029,1028.
Hình 4. 14 –Kết quả việc quét cổng dịch vụ mở của server
Sau khi biết các cổng mở của server, hacker sẽ thực hiện các hình thức xấu của mình lên server. Do thời gian làm đề tài có hạn nên chúng em xin phép không trình bày sâu về cách thức tấn công tiếp theo của hacker.
4.3.3. Sử dụng Honeynet để phân tích kỹ thuật tấn công của Hacker
Với sự hỗ trợ của công cụ Walleye chúng ta thu đƣợc mối quan hệ giữa các dữ liệu tấn công hệ thống. Hình dƣới mô tả tổng quan các luồng dữ liệu mạng vào/ra hệ thống Honeynet.
57 Hình 4. 15 -Tổng quan luồng dữ liệu vào/ra hệ thổng Honeynet
Hình dƣới đây chỉ ra các gói tin đƣợc thu nhận bởi Honeywall và hiển thị trên Walleye theo một chuỗi trình tự các bƣớc tấn công.
Hình 4. 16 - Chuỗi các gói tin thu nhận trên Walleye
Hệ thống đã thu nhận đƣợc toàn bộ quá trình quét của hacker với hệ thống server, các gói tin, địa chỉ ip nguồn – đích, thậm chí còn hiển thị rõ hệ điều hành mà hacker đang sử dụng.
4.4.Nhận xét về hệ thống honeynet.
Hệ thống Honeynet đã thu đƣợc một số kết quả sau:
- Giúp chúng ta thấy rõ quá trình tấn công của hacker diễn ra cụ thể nhƣ thế nào: các tấn công cụ thể diễn ra từng bƣớc ra sao.
- Thu đƣợc kỹ thuật tấn công của hacker
- Ngoài ra Honeynet còn có thể giúp chúng ta biết đƣợc công cụ giúp hacker phát hiện cổng dịch vụ đang mở của server.
Với mục đích nghiên cứu Honeynet để thu thập các kỹ thuật tấn công dịch vụ web. Từ đó, giúp chúng ta sớm phát hiện các lỗ hổng bảo mật, điểm yếu của server để chúng ta sớm có các biện pháp khắc phục, sử lý kịp thời, đảm bảo an toàn.
59
KẾT LUẬN
Qua quá trình tìm hiểu đề tài “ Tìm hiểu về Honeypot và Honeynet ” chúng em đã hiểu đƣợc những thành phần cơ bản của hệ thống Honeypot và Honeynet. Bƣớc đầu xây dựng đƣợc hệ thống đơn giản và khai thác hệ thống đó bằng các công cụ. Trong thời gian tới, nhóm sẽ tập trung tìm hiểu sâu hơn về các công nghệ của Honeypot và Honeynet, và các mô hình triển khai thực tế ở Việt Nam. Tuy nhiên, do kiến thức còn hạn chế, đề tài không tránh khỏi những thiếu sót, sai lầm, rất mong đƣợc thầy cô và các bạn góp ý. Chúng em xin chân thành cám ơn!
TÀI LIỆU THAM KHẢO [`1] http://www.tracking-hackers.com/papers/honeypots.html [`2] www.honeynet.org [`3] http://www.icst.pku.edu.cn/honeynetweb/honeyneten/HoneynetTopology.htm [`4] http://www.honeynet.org.gr/reports/apr2005-sept2005.html [`5] http://www.honeynet.org/papers/phishing/details/index.html [`6] http://www.exploit-db.com/webapps/