docPDF, 671Ko
download 
Plainte Transcription
PDF, 671Ko
Honeypot Farms EUROSEC 2004 Cédric Blancher / Franck Veysset D1 - 05/05/04 Plan s s s s Le concept de Honeypot QQu’est-ce qu’un honeypot ? QPrincipes et objectifs Quelques contraintes liées aux HP QDéploiement et administration QCouverture, ressources Une solution : Les « honeypot farms » QDéfinition QPrincipes et usages Exemple de réalisation QPrototype d’une solution QDétails techniques EUROSEC 2004 – Honeypot Farm D2 - 05/05/04 Honeypot ? s Principe Q Mettre en place un système « leurre » destiné à étudier les activités anormales / hostiles survenant sur un réseau (contre ce système) Q Observer / surveiller ce système Q Pour apprendre les tactiques / motivations / outils utilisés par les « hackers » sur l’Internet (peut aussi se décliner en Intranet) s Thème d’actualité : beaucoup d’articles sur le sujet Q Nouvel axe prometteur de la communauté « sécurité » Q Des articles dans la presse généraliste – Comment les honeypots leurrent les pirates, 3 septembre 01 sur 01NET QLe « French Honeynet Project » EUROSEC 2004 – Honeypot Farm D3 - 05/05/04 Principes s Il faut voir le honeypot comme un « microscope » Q Il ne voit pas tout Q Mais permet une analyse très fine sur les éléments collectés … qui sont par nature plutôt suspects EUROSEC 2004 – Honeypot Farm D4 - 05/05/04 Objectifs (1/2) s Avant tout, apprendre Q Que se passe-t-il vraiment sur les réseaux Q Que font les hackers ? Q Que cherchent-ils ? Q Quels sont leurs armes ? Q L’espionnage industriel : mythe ou réalité ? Q… s Apprendre à mieux détecter s Pour mieux se protéger EUROSEC 2004 – Honeypot Farm D5 - 05/05/04 Objectifs (2/2) s Pour la recherche Q Connaître les tendances dans le domaine des attaques Q Connaître ses ennemis Q Capturer de nouveaux outils (worm…) s s s Pour sécuriser son environnement Q Détection des nouvelles attaques Pour se préparer en cas d’attaques sur les réseaux opérationnels Et pour apprendre à se défendre EUROSEC 2004 – Honeypot Farm D6 - 05/05/04 Problématiques (1/2) s Utilisation des honeypots QNécessité de maximiser les chances de capturer des évènements intéressants QChoix de l’emplacement du honeypot dans le réseau –En interne ? –Devant le firewall ? –En DMZ ? QPas de solutions, dépend des objectifs… s Nécessité de déployer plusieurs honeypots, et de « surveiller / leurrer » un grand nombre d’adresses IP EUROSEC 2004 – Honeypot Farm D7 - 05/05/04 Problématiques (2/2) s Nécessité de déployer plusieurs plate-forme honeynet QCoût matériel important QDifficulté de gérer la cohérence d’un parc de honeynet s Taches d’administration et de supervision importantes QBesoin en ressources humaines importants QCompétences pointues requises : rare et cher ! EUROSEC 2004 – Honeypot Farm D8 - 05/05/04 Comment maximiser la couverture ? s Quelques exemples sur le réseau local QHistoriquement, LaBrea –Idée : surveiller les adresses IP non utilisées sur le réseau –Pour ralentir / contrer la propagation de vers et attaques QAutre cas : Honeyd –Honeypot virtuel permettant d’émuler des centaines de système –Utilisation d’un démon ARPD afin de répondre à toutes les requêtes s BUT : maximiser la « couverture » EUROSEC 2004 – Honeypot Farm D9 - 05/05/04 Le concept de honeypot farms (1/2) s Mutualisation des ressources honeypot dans le SOC QPrésence de personnel qualifié dans le Security Operating Center QAdministration, supervision H24… s Utilisation de « relais » honeypot, les « reflectors » QLe reflector émule un système QLe trafic est alors relayé vers le « honeypot farm » QDe façon transparente L’idée est de disposer de multiples « reflectors » dans le réseau, et de mutualiser la plate-forme honeypot EUROSEC 2004 – Honeypot Farm D10 - 05/05/04 Le concept de honeypot farms (2/2) Honeypot Farm Tu nn el Passerelle A tra ck tta Reflector fic Reflector Network C Network A Reflector Network B EUROSEC 2004 – Honeypot Farm D11 - 05/05/04 Exemple d’implémentation s s s s Reflector basé sur un système Linux QCapture du trafic local avec un démon ARPD QSimulation d’un réseau virtuel Utilisation de tunnel GRE QRelayage transparent des flux vers la ferme de honeypot Utilisation d’une passerelle Linux QTerminaison des tunnels GRE QNetfilter pour la gestion des flux QIPRoute2 pour le routage des flux Ferme de Honeypot : Choix libre EUROSEC 2004 – Honeypot Farm D12 - 05/05/04 Honeypot 1 @L1 GRETunnel1 Honeypot 2 @L2 Honeypot 3 @L3 Gateway @G GRETunnel2 Internet Hacker @H Reflector @A Virtual IP 1 @X1 Virtual IP 2 @X2 Reflector @B Virtual IP 3 @X3 Virtual IP 1 @Y1 Virtual IP 2 @Y2 Virtual IP 3 @Y3 EUROSEC 2004 – Honeypot Farm D13 - 05/05/04 Détail de l’implémentation : les reflectors s « proxy arp » pour faire un « puit de trafic » s Routage vers la passerelle dans un tunnel GRE s Tout le trafic est donc re-routé de façon totalement transparente, vers la ferme s Le reflector assure l’acheminement de la réponse vers le hacker EUROSEC 2004 – Honeypot Farm D14 - 05/05/04 Détail de l’implémentation : la gateway s Passerelle sur plate-forme Linux s Terminaison des tunnels GRE s Utilisation d’IPRoute2 QPour les fonctions de routage avancées QRoutage selon l’adresse source pour le trafic retour s Netfilter pour le « packet mangling », c’est-à-dire l’incrémentation du TTL EUROSEC 2004 – Honeypot Farm D15 - 05/05/04 Détail de l’implémentation : la ferme s Système de type honeynet, constitué de plusieurs machines leurres (plusieurs honeypots) s Ceux sont eux qui subissent les attaques des « hackers » s Afin de mutualiser les ressources, un système honeypot physique émule autant de système virtuel que nécessaire QUtilisation d’adresses IP virtuelles multiples sur chaque leurre (honeypot) QUne adresse est nécessaire par adresse émulée sur le reflector EUROSEC 2004 – Honeypot Farm D16 - 05/05/04 Principe général @A @H @H @B @X1 @X1 L1 A Tunnel X1 t ck ta t A @H B X1 Y1 Honeypot Farm Gateway Reflector fi c Network A ra @X1 @H @X1 H EUROSEC 2004 – Honeypot Farm D17 - 05/05/04 Fonctionnement de la gateway (1/2) @H @X1 IN @H Prerouting Routing Forward Postrouting @X1 OUT EUROSEC 2004 – Honeypot Farm D18 - 05/05/04 Fonctionnement de la gateway (2/2) @X1 Tunnel GRE -> A @X1 @H Postrouting Forward Routing @H @X1 Prerouting @H IN La gateway route le trafic retour en fonction de l’adresse source du paquet. Le tunnel GRE à destination du reflector A est choisi dans cet exemple, (car X1 est associé à A) EUROSEC 2004 – Honeypot Farm D19 - 05/05/04 Fonctionnement des leurres @X1 @Y1 @H @X1 ... @L1 @Z4 Le leurre L1 dispose de plusieurs adresses X1, Y1… virtuelles mappées sur ce honeypot suivant l’architecture du système EUROSEC 2004 – Honeypot Farm D20 - 05/05/04 Exemple : Table de routage de la GW @A @H @H @B @X1 @X1 L1 A Tunnel X1 ck ta At @H B X1 Y1 Honeypot Farm Gateway Reflector fi c Network A tr a tun0 @X1 eth1 @X1 @H H s Avec IPRoute2 (Linux) QPaquets entrant la gateway B ( reflector -> HP Farm) –ip rule add to x1/24 dev tun0 table outTunnel QRègle présente dans la table outTunnel –ip route add x1/24 dev eth1 table outTunnel QPaquets retour (HP Farm -> reflecor) –ip rule add from x1/24 dev eth1 table inTunnel0 QRègle présente dans la table inTunnel0 –Ip route add default dev tun0 table inTunnel0 EUROSEC 2004 – Honeypot Farm D21 - 05/05/04 Quelques points à noter s s Les adresses virtuelles X1, X2, Y1… sont assignées à deux équipements disjoints, un reflector et un leurre associé Une configuration fine est à réaliser sur la gateway, au niveau de la gestion des tables de routage QUtilisation de iproute2 pour le routage retour en fonction de l’adresse source s Lors de la définition de l’architecture de cette ferme de honeypot, il faut : QRéfléchir à la distribution des adresses virtuelles des reflectors (@x1, @x2…) sur les leurres L1, L2 QGérer les aspects routage sur la gateway EUROSEC 2004 – Honeypot Farm D22 - 05/05/04 Fonctionnement transparent s L’idée est de relayer le trafic de façon transparente QIl faut donc que le reflector soit transparent QIl faut que l’encapsulation GRE soit transparente s Nécessité de modifier les paquets QAction « Mangle » dans Netfilter QIncrémentation du TTL (Time To Live) dans les paquets IP au niveau des reflectors –Permet de rester invisible aux outils type « traceroute » s D’autres actions seraient nécessaires QRéflexions en cours… challenge intéressant ! EUROSEC 2004 – Honeypot Farm D23 - 05/05/04 Conclusions s Concept de « Honeypot Farm » très prometteur QIntéressant de mutualiser les ressources QMaximisation de la couverture QExploitation du honeypot facilitée (SOC?) s Des améliorations à apporter QProblème de furtivité du honeypot farm ? QQuid si honeypot de type « forte interactivité ? » QMais ce problème ne se pose pas que pour les honeypot farms… EUROSEC 2004 – Honeypot Farm D24 - 05/05/04
