Edukira joan

Honeypot

Wikipedia, Entziklopedia askea

Honeypot bat sistemen erasoei eta erasotzaileen tresnei buruzko informazioa lortzeko diseinatua izan den aplikazio, software edo makina multzoa da. Honen bitartez erasotzailearen metodo, teknika, tresna, etab... buruzko informazioa jaso dezakegu gerora begira hauek ekidin ahal izateko gure sistemetan. Honela, hauek eguneratuak egongo dira eta gure segurtasun maila hobetu ahal izango dugu egunez-egun. Sistema hauek, gainera, sare bateko beste zerbitzarietatik arreta kentzeko erabil ditzakegu honela garrantzizko zerbitzari batean erasoa pairatu ordez gure amu bezala ezarritako Honeypotean jasango dugularik (hala ere, hau ez da oso gomendagarria, Honeypot sistemak arriskutsuak baitira). Horrez gain, erasoaren xehetasunak jakin ahalko ditugu aurrerantzean gure sistema eraso mota horretatik babestu ahal izateko.

Aipatu beharra dago, gaur egun wireless teknologiak duen bultzada dela eta, Wireless Honeypot-ak ere eskuragarri ditugula. Badira Honeynet deituriko sistemak ere, Honeypot-ez osatutako sareak direnak. Hauen bitartez erasotzailearentzat erakargarriagoa gerta daitekeen sistema bat lortu nahi da.

Interakzio baxukoak

[aldatu | aldatu iturburu kodea]

Interakzio baxuko sistemetan makina eta sistema eragile birtualez baliatzen dira. Hauek amu bezala erabiltzen dira kasu gehienetan ez baitira oso erabilgarriak.

Interakzio altukoak

[aldatu | aldatu iturburu kodea]

Interakzio altuko sistemetan, ordea, makina eta sistema eragile errealak erabiltzen dira. Hauek ikerkuntza arlora zuzenduta daude, baina arrisku maila nahiko altua dute.

Funtzionamendua

[aldatu | aldatu iturburu kodea]

Sare bat edo sarea izatea simulatzen duen sistema bat da, eta, era berean, interakzio handiko Honeypot mota. Erasotzaileen informazio handia lortzeko erabiltzen da, hauen tresna berriak, eraso mota berriak edota motibazioak aurkitzeko kasu. Beti izan da arazo handia eraso bat antzematea, are gehiago sarean erasoa jarraitzeko hauek duten informazio bidalketa handiekin, eta arazo hori konpontzen du Honeynet-ak. Honeynet erasotua izateko sortutako sarea denez, ez du ia informazio garraiorik edukiko eta iristen zaizkion atzipen gehienak erasoren bat izango dira.

Bi dira Honeynet bat sortzeko beharrezko premisak: Datuen Kontrola eta Datuen Atzematea.

Datuen Kontrola oso garrantzitsua da. Blackhat-ekin lan egitean beti daude arriskuak -Blackhat-ak beste sistemak asmo maltzurrekin erasotzen dituzten pertsonak dira, eta Dark Hacker edo Cracker ere deitzen zaie - eta gure lehen helburua Honeypot-ak beste makina bat erasotzea galeraztea izan behar da. Horregatik da garrantzitsua Datuen Kontrola. Erasotzailea mezuak bidaltzen saiatuko da, mail nahiz irc bitartez. Erronka hauek galeraztea da, erasotzailea konturatu gabe.

Datuen Atzipena erasoaren datu guztiak lortzean datza eta hau da Honeynet (eta Honeypot) baten benetako helburua. Kontutan hartu behar da erasotzaile gehienen lehen helburua beren burua administratzaile bezala ezartzea dela. Beraz, ez dugu arazo makala, erasotzailea gure datu atzipenaz ez konturatzea lortu behar baitugu, bera administratzaile izanik. Horretarako, datuak urrunean gordeko ditugu, Honeypot arruntetan egiten den bezala. Informazioa lortzeko gakoa, datuak mailaka atzitzean dago. Gero, maila bakoitzean lortutako datuak elkartuz, ulertu ahalko dugu erasotzaileak egin duena (lanaren zati honi analisi forensea deitzen zaio).

Erakunde handietan Honeypot asko egon daitezke, eta hauen datuen bilketa bat egin beharko dute, modu zentralizatu batean.

Honeynet Project-ek - Honeynet Project teknologia hauen inguruan iniziatiba daraman taldea da - Honeypot edo Honeynet bat garatu nahi duen edozein erakunderako dokumentu bat sortu du.

Zainketa, datu sarrera eta arriskuak

[aldatu | aldatu iturburu kodea]

Honeynet bat ez da martxan jarri eta ahaztu daitekeen zerbait. Blackhat-en ekintzak denbora errealean aztertuz datu erauzketa eta analisi ahalmena maximiza dezakegu. Gainera informazio erauzketak, hau da, analisi forenseak, denbora asko behar du. Erasotzaile aditu baten erasoak zer egin duen jakiteak (30 minutuko eraso batek, adibidez) 30-40 orduko analisi forensea beharko luke, honek diru gastu handi bat suposa dezakeelarik (2000 eta 22000 euro inguru kontsultorearen arabera). Mantenu konstante bat behar du Honeynet-ak funtzionamendu ona izan dezan. Zer edo zer gaizki badoa (eta joango da) ahalik eta azkarren konpondu beharko dugu gure sistemaren osotasuna bermatzeko.

Honeynet bat instalatzeak gure eta besteen sareko sistemen integritatea arriskuan jar dezake eta gu honen erantzule gara. Honeynet-a gure eskuetatik deskontrolatzen bada gure errua izango da eta honen erantzule zuzenak izango gara. Gure Honeynet-aren bitartez beste sistema batzuk atzitu ditzakete.

Argi izan behar dugu, baita, halako sistema baten instalazioak ez dituela gure segurtasun arazoak konponduko, berez, probabilitate handiagoa dugu eraso bat jasotzeko Honeynet bat izanik. Enpresen segurtasunari begira hobe da segurtasun sistemen hobekuntzan ihardutea (zifratze protokoloen erabileran, sistema erregistroen gainbegiraketan, etab.).


Honeynet belaunaldiak

[aldatu | aldatu iturburu kodea]

Bi teknologia nagusi bereiz ditzakegu Honeynet bat garatzeko asmoa badugu: Lehen Belaunaldiko Teknologia - GenI - eta Bigarren Belaunaldiko Teknologia - GenII -.

Lehen belaunaldia (GenI)

[aldatu | aldatu iturburu kodea]

GenI teknologiek Datu Kontrola eta Datu Atzematea neurri soil eta eraginkorrekin inplementatzen dituzte. Inoiz Honeynet bat garatu ez duen edonor GenI teknologiekin hasi beharko litzateke. Ez dira GenII bezain eraginkorrak, baina beraien sinpletasuna eta urteetan zehar jasan dituzten probei esker, nahiko fidagarriak dira.

Normalean bi osagai nagusi dituzte, firewall-a eta router-a. Lehena, barruranzko nahiz kanporanzko konexioak kontrolatzeko dugun tresna garrantzitsuena da. Bigarrena, iragazketa honentzat gehigarri bat dela esan daiteke. Firewall-ak barruranzko konexio oro onartuko du, baina kanporakoak mugatuko ditu. Nahi dugun funtzionalitatearen arabera, Honeypot batetatik Interneterako konexio kopuru bat aukeratu beharko dugu. Kopuru horretara iristean, firewall-ak beste edozein konexio debekatuko du. Eraso automatizatuak harrapatu nahi baditugu, harrak kasu, ez dugu zertan kanporanzko konexio bat ere onartu behar. Baina Blackhat-en aurka ari bagara, komeni zaigu hauei malgutasun minimo bat ematea, ezer susma ez dezaten. Gero eta konexio gehiago baimendu, orduan eta aukera gehiago izango ditu erasotzaileak eta gehiago ikasi ahal izango dugu, baina beste sistema bat kutsateko arriskua ere handiagoa izango da.

Honeynet Project-ekoen ustez, 5-10 konexio nahikoak izan ohi dira Blackhat-a pozik mantentzeko. Hala ere, eguneko 24 orduetan sistema gainbegiratzen pertsona bat izan dezakeen erakunde batek konexio kopuru mugagabea onar dezake. DoS eraso bat pairatuz gero, pertsona honek desgaitu dezake. Logikoki, oso erakunde gutxik manten dezake sistema denbora guztian gainbegiratuta.

Haatik, router-a dugu firewall eta Honeynet-aren artean. Bi arrazoi ditugu honetarako: Bata, suhesia ezkutatzea. Honeypot baten barruan dagoenean, bera eta kanpoko sareen artean router-a bakarrik ikusiko dute erasotzaileek. Bigarrena, router-a atzipen kontrol bezala erabiltzea. Honela firewall-a osatuko dugu, Honeynet barrutik beste sistema bat erasotzea ekiditeko.

Firewall eta router-aren konbinaketa kanporanzko trafikoa kontrolatzeko teknika eraginkor bat da beraz, Blackhat-ei egin behar dutena egiteko malgutasuna ematen badiegu ere, beste sistemen aurkako erasoak ezeztatuko baititugu. Datuen Kontrola bermatu ondoren, Datuen Atzematea izango da gure helburu nagusia. Horretarako hiru geruza kritiko erabiliko ditugu. Lehen geruza firewall-a bera da. Gure firewall-ak konexio guztiak erregistratuko ditu, eta gainera konexio berri bat egiteko saiakera bat dagoenean abisatu egingo gaitu. Ostera, konexioa Honeypot baten barrutik badator, hau kutsatua izan dela esan nahi du, eta kasu horretan alarma berezia aktiba daiteke (Honeynet Project-en kasuan, e-mail bat bidaliko liguke eta mezu bat “busca” batetara).

Bigarren geruza IDS sistema da. Bi helburu nagusi ditu: Lehena (eta, dudarik gabe, garrantzitsuena) sareko aktibitate guztia atzematea da. Sareko pakete oro atzeman eta erregistratuko du. IDS sistema Honeynet-eko beste sistemek partekatzen duten gune fisiko batean dago, 'gainbegiratze portu' batean hain zuzen, eta beraz, sareko aktibitate osoa erregistra dezake. Erregistro hauek Blackhat-aren ekintzak aztertzeko erabilko ditugu. IDS sentsorearen bigarren helburua edozein ekintza susmagarri ematen denean gu abisatzea da. Hala ere, funtzio hau ez da hain garrantzitsua, Honeypot batean ematen den edozein ekintza, definizioz, susmagarria baita.

Azken geruza sistemek berek osatzen dute. Sistema nahiz erabiltzailearen aldetik eman diren ekintza guztiak atzematea da gure helburua. Hau lortzeko lehen estrategia, sistemaren erregistro guztiak era lokalean gordetzeaz gain, urruneko erregistro zerbitzari batean gordetzea da. Unix sistemetan nahikoa izaten da konfigurazio fitxategian urruneko 'syslog' zerbirzarirako sarrera bat gehitzea. Aitzitik, Windows sistemetan informazioa urrutitik erregistratzeko aplikazioren bat erabili beharko dugu. Ez dugu zertan urruneko 'syslog' zerbirzaria ezkutatu behar. Alderantziz, Blackhat-ak detektatzen badu, egin dezakeen okerrena 'syslogd' desgaitzea da (Blackhat askoren portaera estandarra da hau). Hau gertatzen bada, ez ditugu erregistro oso jarraiak lortuko, baina gutxienez jakingo dugu nondik eta nola sartu den. Maila altuagoko Blackhat-ak urruneko 'syslog' zerbirzaria atzitzen saiatuko dira, beraien arrastoak ezkutatu nahian. Hori da, zehazki, guk nahi duguna. Eskuarki, 'syslog' zerbitzaria nahiko sistema seguruagoa da. Ondorioz, sistema honen kontrola hartu nahi badu, Blackhat-ak teknika aurreratuagoak erabili beharko ditu. Eta gu hor egongo gara, hauek atzematen eta ikasten. Gainera, 'syslog' zerbitzariko kontrola lortu eta erregistroak garbitzea lortzen badu ere, ez dugu ezer galduko. Izan ere, ez dugu ahaztu behar sarean dagoen gure IDSak sarean eman den ekintza guztien erregistroak gorde dituela. Sistemaren datuak lortzeko bigarren estrategia teklen sakatzea atzematea eta pantailaren argazkiak ateratzea da, gero hauek beste sistema batetara bidaliz. Hala ere, kasu gehienetan lehen estrategia erabiltzea gomendatzen da.

Bigarren belaunaldia (GenII)

[aldatu | aldatu iturburu kodea]

Datuen kontrol eta atzematerako aipatu berri ditugun mekanismoak eraginkorrak dira, baina hobetuak izan daitezke. Gen II Honeynet-en helburua, garatzeko errazagoak eta antzemateko are eta zailagoak diren soluzioak aurkitzea da. Gen II Datu Kontrolak erasotako sistemarekin elkarrekintza handiagoa ematen dio erasotzaileari, era berean, bere ekintzengan kontrol handiagoa -eta antzemateko zailagoa- ematen duelarik. Espero da erasotzaileari bere ekintzetan askatasun handiagoa emanda, batik bat irteera konexioetan, hauei buruzko informazio gehiago jaso ahal izango dugula. Hau, Blackhat ekintzen aurrean erantzun zuhur eta malguago bat eraikita lortzen da. Ondoren, Gen II teknologiaren kontzeptuak argituko ditugu.

Gen II Honeynet-ek balditza guztiak gailu bakarrean batzen dituzte. Honek esan nahi du, datuen kontrol, atzemate eta bateratzea baliabide beretik egingo direla. Honela, errazagoa izango da Honeynet baten mantenu eta garatzea. Gailu bakar hau, zubi baten antzera arituko den bigarren geruzako igarobide bat izango da. Hainbat onura eskainiko dizkigu: bigarren geruzako gailua izateak zailagoa egingo du antzemateko, ez baitu IP pilarik. Ez dago ez trafiko bideratzerik ezta TTL-an dekrementurik. Gailua nahiko izkutatua dagoenez, erasotzaileek ez lukete jakin behar bere trafikoa aztertua edo kontrolatua izaten ari denik. Bigarren onura bezala, igarobidea denez, trafiko oro - bai sarrerakoa bai irteerakoa - gailuan zehar pasako dela aipa genezake. Modu honetan, trafiko guztia gailu beretik atzematea posible izango da.

Datu kontrolaren lehen aurrerakuntza, baimenik gabeko trafikoa antzemateko gaitasuna izango da. Erasotzailearen kanporako aktibitatearen aztarnaren jarraitzea kanporako konexioen zenbatzeaz egin ordez, aztertze adimentsuagoa egingo dugu, konexio motak identifikatuta. Bere ekintza eta asmoen arabera baimendu gabeko ekintza identifikatuko dugu. 30 irteerako FTP konexioa egiten saiatzen bada, ez da arazorik izango. Bestalde, Honeynet bat ez den sistema baten aurkako kanporako FTP exploit bakar bat egiten saiatzen bada, ekintza mota hau kontrolatua izan behar da. Adimen gehiagoko analisi hau erasotzailearen ekintzetan oinarrituta egin nahi dugu, ez kanporako konexioetan oinarrituta soilik.

Bigarren aurrerakuntza, baimendu gabeko aktibitateari erantzuna emateko moduan dator. Besterik gabe konexioak desgaitu ordez, erasotzailearen aktibitatea kontrolatu edo modifikatu nahi dugu. Erasoa Honeynet-etik irtengo da, baina eraginik gabe. Helburua, erantzunok erasotzaileak antzemateko askoz ere zailagoak izatea da. Erregulatze hau, bigarren geruzako igarobidetik paketeak pasatzerakoan egingo dugu. Adibidez, erasotzaileak Honeynet barnean sistema baten kontrola bereganatu eta Honeynet ez den beste sistema baten aurka FTP exploit bat bidaltzen saiatzen denean. Gen I teknologiarekin, datuen kontrola mugatua da, kanporako konexioen bostgarren saiakeraren ondoren, aktibitate oro - exploit-ak barne - blokeatu egingo baita. Aldiz, Gen II teknologiarekin, exploit saiakera hau identifikatua izango da eta ez-eraginkor bihurtua. Bigarren geruzako igarobideak exploit-aren kodetik hainbat byte aldatuko ditu, bere funtzionalitatea baliogabetuz, ondoren eraginik gabeko erasoari jarraitzen utziko diolarik. Erasotzaileak, bere exploit-a bidalia izan dela ikusi eta erantzuna jaso beharko luke, baina zergatik ez dabilen jakin gabe. Erasotzailearen ekintzengan kontrol handiagoa lortuko dugu berak jakin gabe. Gainera, erantzunak faltsutzeko aukera izango dugu, konexio osoak blokeatuz bezala, konexioak eteteko RST paketeak bueltatuta.

Datuen kotrola hobetzeaz gain, Gen II teknologiak, datuak atzemateko gaitasuna dexente handitzen du. Gen I teknologiaz, datu gehiengoa sare mailan eskuratzen zen, sniffer (IDS siteman) eta firewall bidez. Gen II-rekin, datuak sistema eragilearen nukleotik bertatik lortzen dira. Honekin, komunikatze teknika edozein izanda ere (SSH, SSL, IPSEC) datuen atzipena bermatzen da.

Honeynet Birtuala

[aldatu | aldatu iturburu kodea]

Honeynet Project ikertzen ari den beste arlo bat Honeynet birtualak dira. Hauek, Honeynet baten elementu guztiak sistema fisiko bakarrean batzen dituzte. Ez dute datuen kontrol, atzemate eta bateratzearen baldintza soilik betetzen, horretaz gain, Honeypot-ak sistema bakarrean exekutatzearen abantailak dakarzkite. Honeynet birtualek Gen I eta Gen II teknologiak erabiltzeko aukera emango dute. Orain, Honeypot-ak sistema eragileak direla esateko moduan gaude. Ez dago emulatutako ezer. Abantaila kostu eta eraginkortasunean dator. Askoz ere merkeagoa da Honeynet baten elementu guztiak exekutatzeko sistema bakarra erabiltzea eta sinpleagoa da mantendu eta garatzeko.

Legediak eta Honeypot

[aldatu | aldatu iturburu kodea]

Herrialde bakoitzean legedi ezberdinak daudenez, zaila da Honeynet (edo Honeypot) bat eraikitzeak duen legaltasuna argi izatea. Ez dago dudarik sistema arriskutsuak direla, eta gerta litekeela maila altuko Blackhat batek gure sistema kontrolatu eta honen bidez beste sistemak erasotzea. Honeynet Project, adibidez, Estatu Betuetako Justizia Sailko kideekin ari da elkarlanean kontu hauek zilegiak ote diren argi uzteko. Baina, Estatu Batuetatik kanpo, Honeynet bat eraikitzeko asmoa duen erakundearen ardura da, ezertan hasi baino lehen, bere zuzenbide aholkulariekin hitz egitea, gero arazorik ez izateko.

Mugimenduak dokumentatzen

[aldatu | aldatu iturburu kodea]

Arazo handienetariko bat erasotzaileen mugimenduak dokumentatzea da hauek jakin gabe. Hasteko, ez dugu informazio iturri bakar baten menpe egon nahi. Zerbait gaizki joan daiteke edo zerbait ezabatu eta erasoari buruzko informazio gabe gera gaitezke. Horregatik, esanguratsuago izango zaigu informazioa laginetan erauztea. Gero eta informazio gehiago jasota, nahiz eta hauetariko bat galdu, ez gara esku hutsik geratuko. Geroz eta informazio iturri gehiago, orduan eta informazio zehatzagoa lortu ahalko dugu. Lehen esan bezala, gure lehen informazio lagina firewall-etik lortuko dugu. Honekin, datu mugimenduak ikusi ahal izango dugu, gure sistematik zein informazio atera nahi izan den jakiteko, edo zein konexio ezarri nahi diren jakiteko (portu eskaneatzeak, etab.). Bigarren informazio iturria sistemaren log-ak izango dira, honela kernel nahiz erabiltzaile prozesuen gorabeherak gainbegiratuko ditugularik. Hala ere, erasotzaile batek egingo duen lehen gauza sistemako log-a aldatzea izango da. Hemen dator lehen erronka, gure 'syslog'-a beste zerbitzari betean gorde behar dugu Backhat-a ohartarazi gabe. Normalean, firewall batez banaturiko sare desberdin batean kokaturiko zerbitzari batean gordeko dugu. Honen arazoa, sniffer baten bidez erraz antzeman daikeela da. Hala ere, normalean erasotzaileen ohitura 'syslog'-a akatzea da, beraz, normalean ez dira honetaz ohartuko. Hirugarren informazio iturria firewall-ean kokaturiko sniffer bat litzateke. Honen bidez (jakinda Honeypot-erako bide bakarra firewall-a dela) trafiko guztiaz atzituz Blackhat-ak ikusi nahiz idazten duen guztia jaso ahalko dugu. Laugarren informazio iturria Tripwire bat martxan jartzea liteke; honekin gure sisteman eraldatutako kode bitarrak (bynaries) antzeman ditzakegu. Azken hau, sistema erauzkarri batean antolatzea komeni zaigu (floppy bat adibidez). Bertan bai Tripwire bai honen datubasea gordez. Honek datuen osotasuna bermatuko liguke. Gainera, oso tresna forense ona da, erasotzailearen fitxategi aldaketak zehazki azter baititzakegu. Informazioa gordetzeko garaian ez zaigu komeni Honeypot-an bertan edukitzea bi arrazoi nagusigatik. Lehena; Honeypot-ari gero eta aldaketa gutxiago egin, hobe. Aldaketa asko jasaten baditu, Blackhat-a zer edo zer gertatzen ari delaz ohartaraz daiteke. Eta bigarrena, informazio hori gal dezakegula da: noiz edo noiz erasotzailea root moduan jarri eta hainbat ekintza egikaritu ditzake, log-ak ezabatu kasu. Guzti hau oinarri bezala hartuta kontutan izan behar dugu blackhat-a geroz eta adituagoa izan geroz eta prebentzio altuagoak hartu beharko ditugula.

Kanpo estekak

[aldatu | aldatu iturburu kodea]