![Page 2: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/2.jpg)
HONEYPOT: INTRODUCCIÓ
QUÈ ÉS UN HONEYPOT?
Un Honeypot és un software o conjunt de computadores que tenen com a objectiu:
• Simular ser dèbils i vulnerables per tal d’atreure atacants.
• Recol·lectar informació sobre atacants i tècniques utilitzades
• Desviar l’atenció dels atacants dels sistemes importants.
![Page 3: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/3.jpg)
HONEYPOT: OBJECTIUS
• Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada d’atacants
• Implementar Honeypots (Linux i Windows) per atreure atacants.
• Implementar sistemes per extreure informació dels atacs.
• Realitzar un estudi/informe dels atacs rebuts.
![Page 4: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/4.jpg)
HONEYPOT: DISSENY DEL SISTEMA HONEYPOT
El nostre entorn Honeypot està construït sobre quatre pilars:
• Entorn sobre el que es dissenyarà tot el sistema Honeypot
• Estructura de xarxa
• Estructura de sistemes
• Honeypots seleccionats
![Page 5: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/5.jpg)
HONEYPOT: DISSENY DE L’ENTORN
Per construir tot el nostre sistema de Honeypot s’ha seleccionat l’entorn en cloud de VMWare per les facilitats que aquest ens proporciona:
• Crear tantes màquines com siguin necessàries
• Crear tantes xarxes com es vulgui
• Crear firewalls virtuals
![Page 6: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/6.jpg)
HONEYPOT: DISSENY DE LA XARXA
Internet Firewall
Honeypot192.168.0.100
192.168.0.0/24
NAT:W.X.Y.Z – 192.168.0.100
192.168.0.1W.X.Y.Z
![Page 7: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/7.jpg)
HONEYPOT: DISSENY DEL SISTEMA
Entre els objectius del projecte hi ha la necessitat de crear honeypot tant per entornLinux com per a Windows i la recomanació de fer servir la distribució de LinuxHoneydrive.
Honeydrive destaca per ser una distribució de Linux que compte amb una granvarietat de softwares per crear Honeypots.
![Page 8: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/8.jpg)
HONEYPOT: DISSENY DEL HONEYPOT
Entre la gran varietat de softwares per crear Honeypots que ens aporta Honeydrive,s’han seleccionat les següents eïnes:
• Dionaea Capacitat de emular entorns Linux i windows
• DionaeaFR Capacitat de extreure informació dels atacs rebuts per Dionae
• Kippo Capacitat per emular SSH
• KippoGraph Capacitat de extreure informació dels atacs rebuts per Kippo
![Page 9: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/9.jpg)
HONEYPOT: DISSENY DEL HONEYPOT
Amb les eines Honypot seleccionades s’han emulat els següents serveis vulnerables:
• Kippo:
o Linux:• SSH (port 22 TCP)
• Dionaea:
o Windows:o Ms SQL Server (MsSQL) (port 1433 TCP)o WINS (port 42 TCP)o NetBios (port 139 TCP)o Ms Active Directory / SMB (port 445 TCP)
o Linux:o HTTP (port 80 i 443 TCP)o FTP (port 21 TCP)o TFTP (port 69 UDP)o Telnet (Port 23 TCP)o MySQL (port 3306 TCP)
o Altres:o Sip
![Page 10: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/10.jpg)
HONEYPOT: RESULTAT DELS ATACS
Amb els dissenys esmentats s’ha creat un entorn Honeypot que ha estat rebentconnexions i atacs durant 15 dies, obtenint dades sobre:
• Nº de connexions totals, per servei i per país d’origen
• Serveis emulats que han rebut més connexions i/o atacs
• Nº d’atacs en funció del servei objectiu.
• Atac o vulnerabilitat més explotat
![Page 11: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/11.jpg)
HONEYPOT: RESULTAT DELS ATACS
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
Nº de connexions per dia
Número de connexions per dia i com es distribueixen aquestes connexions per països
![Page 12: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/12.jpg)
HONEYPOT: RESULTAT DELS ATACS
SMB61%
NetBIOS24%
SSH12%
Sip2%
Altres1%
SERVEIS AMB MÉS CONNEXIONS
![Page 13: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/13.jpg)
HONEYPOT: RESULTAT DELS ATACS
1
10
100
1000
10000
100000
1000000
Connexions vs Atacs
Nº d'Atacs Nº de Connexions
SMB82%
SSH17%
Resta atacs1%
PERCENTATGE D'ATACS
SERVEIS AMB MÉS ATACS
![Page 14: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/14.jpg)
HONEYPOT: RESULTAT DELS ATACS
SMB61%
NetBIOS24%
SSH12%
Sip2%
Altres1%
SERVEIS AMB MÉS CONNEXIONS
SMB82%
SSH17%
Resta atacs1%
PERCENTATGE D'ATACS
![Page 15: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/15.jpg)
HONEYPOT: RESULTAT DELS ATACS
ATACS MÉS UTILITZATS
El 99% dels atacs se’ls reparteixen dos servies SMB i SSH. I els atacs fets servir hansigut preferentment
• SSH: força bruta per esbrinar la combinació user:pass
• SMB: explotar la vulnerabilitat MS08-067
![Page 16: Honeypot - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/33061/9... · HONEYPOT: OBJECTIUS • Dissenyar un conjunt de sistemes i xarxes que facilitin l’entrada](https://reader031.vdocumento.com/reader031/viewer/2022022003/5a9eb9797f8b9a71178bc04c/html5/thumbnails/16.jpg)
HONEYPOT: CONCLUSIONS
• A internet hi ha milers d’aranyes dedicades a localitzar serveis amb deficiènciesde seguretat.
• Les deficiències detectades per les aranyes són fetes servir per comprometreles màquines afectades.
• L’objectiu dels atacs han sigut entorns Linux i Windows, però per cada atac aLinux Windows rep 5.