Een zogenaamde honeypot is een goedkoop en simpel systeem voor vroegtijdige waarschuwingen tegen spammers, hackers en aanvallen op uw bedrijfsnetwerk. Wij testten HoneyBOT, KFSensor Enterprise Edition en Project Honeypot.
Professionele beveiligingssystemen voor bedrijfsnetwerken zoals unified threat management-appliances (utm’s) bevatten meestal ook mogelijkheden om inbraakpogingen te detecteren en/of automatisch te blokkeren. Die intrusion prevention systemen (ips) en meer geavanceerde intrusion detection systemen (ids) zijn vaak bij te betalen opties. Grotere bedrijven kunnen er hun voordeel mee doen, maar voor kleinere bedrijven zijn die opties vaak te ingewikkeld en te duur. Dat geldt ook voor loganalysetools zoals we die testten in Data News van 10 juni vorig jaar (abonnees vinden die test terug in ons online archief). Trouwens, bij het analyseren van logs worden eventuele verdachte activiteiten vaak pas gevonden wanneer het te laat is. Nochtans is niemand veilig voor cyberaanvallen. Ook voor een kleinere organisatie is het nuttig om tijdig gewaarschuwd te worden voor netwerkinbraakpogingen. Zogenaamde honeypots kunnen daarbij helpen.
Cybervliegenval
Een honeypot is een soort virtueel lokaas dat alle netwerkverkeer analyseert en waarschuwt bij verdachte activiteiten. Het is dus voor alle duidelijkheid geen vervanger voor een volwaardig ids, maar iets wat ernaast en samen mee gebruikt kan worden. Zie het als een eenvoudig en betaalbaar ‘early warning system’. Een dergelijke cybervliegenval wordt het best opgesteld in een onbewaakt, maar afgescheiden stukje van het bedrijfsnetwerk (de zogenaamde demilitarized zone of dmz), hoewel ze ook intern gebruikt kan worden om aanvallen van binnenuit te detecteren.
Een honeypot kan zo eenvoudig of ingewikkeld zijn als men zelf wilt. Een en ander hangt af van de omvang, de gevoeligheid, de omvang en de belangrijkheid van het te bewaken netwerk. Het kan een softwaredienst op een individuele pc, maar net zo goed een zelfstandige server of zelfs een compleet subnet zijn dat ogenschijnlijk tegen niets beschermd is en een inbreker vrij spel lijkt te geven.
Valse positieven
Als de honeypot goed geconfigureerd wordt om zoveel mogelijk valse positieve waarnemingen uit te sluiten, is elke waargenomen activiteit verdacht. Een goed geconfigureerde honeypot werkt dan als vroegtijdig waarschuwingssysteem, ook in grotere netwerken die al een ids hebben draaien en/of waarvan de netwerklogs bewaakt worden. De aanvaller kan via het lokaas sowieso niet aan de rest van het netwerk. De honeypot laat u enerzijds toe om heel gemakkelijk te verifiëren dat er een hacker aan het werk is. Anderzijds mag u verwachten dat hackers beter beveiligde systemen met rust laten zolang ze denken dat er een gemakkelijkere weg naar binnen is. De honeypot kan dus ook als bliksemafleider voor hackers dienen. Hoe beter de honeypot een ‘echte’ computer kan nabootsen, hoe groter de kans dat hackers tijd verliezen door er proberen op in te breken. Ondertussen kan de netwerkverantwoordelijke de nodige tegenmaatregelen nemen. In grote en belangrijke netwerken kan het trouwens lonen om meerdere honeypots tegelijk te gebruiken om alle gevoelige plaatsen van het netwerk te bewaken
Verdacht verkeer
Een belangrijk verschil met ids’en is dat honeypots vrij bereikbaar zijn voor inbrekers. In principe is alle verkeer verdacht dat een correct geconfigureerde honeypot bereikt. Uiteraard is die correcte configuratie van belang om loze alarmen zoveel mogelijk te vermijden. Dit zou immers tot veel tijdverlies leiden. Eén ping hoeft niet noodzakelijk problematisch te zijn, maar het kan wel verdacht zijn dat bijvoorbeeld meerdere ip-adressen in eenzelfde subnet door dezelfde host gepingd worden. Ook een dos-aanval (denial of service attack) is altijd verdacht en moet dus door een honeypot gedetecteerd kunnen worden. Honeypots zoeken in echte tijd naar verdachte patronen in de datastromen die uw netwerk bereiken. Die patronen kunnen te maken hebben met de frequentie en afkomst van bepaalde acties (zoals een ping of poortenscan), maar ook met patronen in de data: misvormde http-strings, data die niet conform is aan de bijbehorende protocolstandaard of patronen van bekende trojans. Geavanceerde honeypots worden meestal geleverd met vooraf gedefinieerde regels en scenario’s die de configuratie vereenvoudigen. Bij goedkopere honeypots moet de beheerder dat allemaal meestal zelf definiëren, wat flexibeler werkt, maar ook meer tijd kost. Geavanceerde honeypots gebruiken soms ook een database van verdachte aanvalspatronen, die liefst regelmatig bijgewerkt wordt. Maar dat is eigenlijk iets wat traditioneel tot het takenpakket van een ids behoort. Hebt u al een ids draaien dan is die meestal bij te betalen signatuuroptie eigenlijk overbodig. Een honeypot moet op de eerste plaats als virtuele vliegenval dienen, zodat u tijdig gewaarschuwd wordt als hackers het op uw netwerk hebben gemunt. Andere beveiligingstools dienen om de aanval af te wenden.
Testmethode
We installeerden de honeypots op een 64-bits Windows 7 Enterprise pc, die aangesloten was op de dmz-poort van de router in een ip-testnetwerk met vast internetadres. De Windows-firewall werd uitgeschakeld voor binnenkomend, maar ingeschakeld voor buitengaand verkeer. Eventuele hackers konden onze honeypot-pc dus wel vrij binnenkomen (iets wat bij elke test trouwens binnen de vijf minuten gebeurde), maar raakten via die weg niet verder in de rest van het netwerk. We configureerden elke honeypot volgens de instructies van de leverancier. Vervolgens testten we met behulp van DameWare NT Utilities en de openbron poortscanner Nmap of en hoe de honeypot reageerde op pings, poortscans, pogingen tot toegang vanop afstand etc. We lieten elke honeypot een week lang zijn gang gaan in ons testnetwerk en observeerden al die tijd de werking aan de hand van echte data. De spam-honeypot Project Honey Pot installeerden we volgens de instructies van de makers op onze eigen DiskIdee- en WijnIdee-websites en op een vrij mx-record van ons niet-gebruikte testdomein 1302.be.
HONEYBOT
HoneyBOT is een Windows-gebaseerd honeypot-programma van het Australische bedrijf Atomic Software Solutions. Het bestaat al sinds 2001 en ontstond uit een tool die ontworpen werd om aanvallen met de toen wijd verspreide Code Red- en Nimda-wormen te detecteren. HoneyBOT is minder uitgebreid dan het hierna besproken KFSensor, maar biedt de basisfunctionaliteit van een honeypot voor een onklopbare prijs: het is immers gratis. U kunt het programma op een gewone Windows-pc of in een virtuele machine installeren. De hardwarevereisten zijn beperkt, dus een oude pc is perfect geschikt zolang die maar minstens Windows 2000 draait en minimaal 128 MB ram aan boord heeft. Niet-vereiste Windows-services worden best uitgeschakeld want HoneyBOT kan net zoals gelijk welke honeypot uitsluitend niet-gebruikte poorten bewaken. Afhankelijk van hoe de honeypot in het netwerk hangt, kan het ook nodig zijn alle Windows-bestandsdiensten uit te schakelen (smb, nbt). HoneyBOT zal de niet actieve diensten en services simuleren, zodat het voor de buitenwereld lijkt alsof die gewoon toegankelijk zijn.
HoneyBOT simuleert populaire systeem- en netwerkdiensten in de applicatielaag van het osi-model (IIS, ftp, radmin, (r)dns, smtp, netbios, irc en andere: teveel om hier op te noemen). Van buitenaf lijkt het alsof die diensten effectief draaien op de honeypot. De gebruiker kan zelf diensten bewerken, toevoegen of wissen. Er zit ook een anti-dosfunctie in. Aanvalsignaturen worden evenwel niet ondersteund, al is die functionaliteit wel gepland voor een toekomstige versie.
Uniek aan HoneyBOT is de mogelijkheid om loggegevens anoniem door te sturen naar een centrale logserver. Op de website van Atomic Software Solutions is er een pagina waar statistieken worden getoond met vaakst aangevallen poorten. Volgens die statistieken vinden de meeste aanvallen overigens plaats op de tcp-poorten 1080 (socks), 8001 (gebruikt door audiostreamingdiensten zoals ShoutCast), 110 (pop3), 139 (netbios), 3306 (mysql), 22 (ssh), 3389 (rdp) en 143 (imap) en de udp-poorten 137 (netbios) en 68 (bootp). De optie om logs anoniem te uploaden, is standaard overigens uitgeschakeld. Logs worden standaard alleen lokaal bijgehouden. Er is geen ondersteuning voor logserver. Logs worden dagelijks geroteerd. Het is wel mogelijk ze te exporteren in csv-formaat en zo te verwerken met een andere tool.
Praktijk
Het hoofdscherm toont links de poorten of de ip-adressen van potentiële hackers en rechts de details van hun activiteiten. Bij elke activiteit kan men verdere details opvragen door er rechts op te klikken. Een audiosignaal weerklinkt bij elke gedetecteerde activiteit. Dit kan men niet aanpassen, noch uitschakelen. Via het View-menu kan de systeembeheerder manueel een whitelist opstellen van toegestane poorten en/of ip-adressen en de lijst met gesimuleerde services bewerken. In het menu Reports kunt u vier soorten samenvattende rapporten opvragen: top poorten, protocoltrends, poorttrends en pakketvolumes. Ten slotte kunt u via File logs bewaren en exporteren.
PRODUCT: HONEYBOT 0.1.8 (R. 14)
PRODUCENT: Atomic Software Solutions, www.atomicsoftwaresolutions.com
ADVIESPRIJS: gratis.
SYSTEEMVEREISTEN: Windows 2000 of hoger. Minstens 128 MB RAM.
KFSENSOR ENTERPRISE EDITION
KFSensor is een Windows-gebaseerde honeypot van het Britse bedrijf KeyFocus Ltd. Deze honeypot is verkrijgbaar in drie uitvoeringen: Standard, Professional en Enterprise. De professionele en enterprise-edities zijn functioneel gelijk voor wat betreft de detectiemogelijkheden. De enterprise-uitvoering kan echter meerdere keren worden geïnstalleerd, waarbij u elke honeypot centraal vanop afstand kunt beheren en bewaken. De standaardeditie heeft verschillende beperkingen inzake bewaakbare poorten, integratie met externe logbewakingstools en scriptingmogelijkheden. Die uitvoering lijkt ons minder interessant voor bedrijfsmatig gebruik. Wij bekeken de Enterprise Edition van KFSensor.
KFSensor wordt zoals elke honeypot in principe geïnstalleerd in het dmz-gedeelte van uw netwerk, waar zich normaal ook de web- en mailservers bevinden. De software draait als Windows-systeemdienst en stelt weinig hardwarevereisten. KFSensor kan dus ook draaien op een oudere Windows-computer die niet meer voor productiedoeleinden wordt gebruikt. De installatie duurt vijf minuten. Vooraf moet overigens de gratis Windows netwerkprotocol-analyzer WinPCap worden geïnstalleerd. Een wizard helpt bij de configuratie en stelt enkele voorgedefinieerde regels in die achteraf allemaal kunnen worden gewijzigd. Dat kan allemaal via het programma zelf; het is niet nodig allerlei ingewikkelde configuratiebestanden te editeren.
Simulaties
Zoals het een goede honeypot betaamt, simuleert KFSensor allerlei systeemdiensten in de hoogste laag van het OSI-model, de applicatielaag. KFSensor gaat daar erg ver in. Zo kan het een Windows IIS webserver simuleren, waarbij ook onvolledige http-aanvragen (zogenaamde http range requests) en http-caching aan de cliëntzijde worden nageaapt. Dat zijn twee http/1.1-voorzieningen (RC 2616) die hackers vaak misbruiken om in te breken op een webserver. KFSensor simuleert verder een open relay smtp-mailserver, alle Microsoft netbios en smb/cifs-diensten, alle Socks 4/4A/5 protocollen, ms sql- en mysql-servers, de Windows command shell (DOS-box) die door sommige wormen gebruikt wordt om tcp-poorten af te luisteren en bekende services zoals ftp, pop3, telnet, MS Terminal Server, vnc en relay servers. Geavanceerde gebruikers kunnen hun eigen simulaties toevoegen via scripts geschreven voor Honeyd (een populaire open source honeypot op Linux-systemen) of via Perl- of C-programmacode. Een aanvaller denkt dat hij met een echte server te doen heeft. In werkelijkheid vangt KFSensor verdacht verkeer op en alarmeert de systeembeheerder. Die kan het verdachte verkeer dan analyseren en indien nodig tegenmaatregelen nemen. Een voorbeeld van een tegenmaatregel zou kunnen zijn de firewallregels te verfijnen of een nieuwe signatuur te configureren voor de ids. Elke byte van een aanval wordt in logs opgeslagen. Daarbij worden de bytes van één aanval zoveel mogelijk samengevoegd in één event. Dit vereenvoudigt de analyse van de gebeurtenis. De logs kunnen worden doorgestuurd naar een SysLog-server. Er is ook specifieke ondersteuning voor het HP ArcSight Enterprise Threat and Risk Management platform (etrm) en andere platformen die het openbron logformaat Common Event Format (cef) ondersteunen. Optioneel kan men deze informatie ook via odbc in een sql-database opslaan. Logs kan men exporteren in xml, html en csv.
Praktijk
Het interactieve gedeelte van KFSensor draait standaard als pictogram in het systeemvak van Windows. Het pictogram verandert van kleur afhankelijk van wat de honeypot detecteert: groen voor geen problemen, geel voor alarmen van laag of middelmatig niveau en rood voor dringende alarmen. Deze kleuren kan men wijzigen en het is ook mogelijk meer dan drie niveaus te voorzien. Daarnaast kan de systeembeheerder e-mailalarmen configureren. KFSensor geeft ook een auditief alarm, maar dit kan men uitschakelen of wijzigen van de standaard sirene in iets anders.
Een simpele klik op het systeemvakpictogram opent het administratiescherm waarin alle informatie wordt getoond, naar keuze gesorteerd op tcp/udp-poort of op ip-adres (‘visitor’). Ook hier wordt de kleurcodering groen-geel-rood gebruikt. Verder worden acht pictogrammen gebruikt om verschillende types gebeurtenissen visueel te onderscheiden. Een hacker-gezichtje duidt bijvoorbeeld op een aanval die typisch is voor een trojan of een rootkit, terwijl een pinguin betekent dat een Linux-service wordt aangevallen. Om het overzicht te bewaren, kan de systeembeheerder alle gebeurtenissen van een bepaald niveau verbergen. Ook kunnen oudere gebeurtenissen uit het overzicht worden geweerd. Poorten zonder gebeurtenissen kan men eveneens verbergen. Van elke gebeurtenis kan men de details opvragen. Dit is dezelfde informatie die ook in de logs wordt weggeschreven. Voor elke gebeurtenis of bezoeker kan de systeembeheerder een regel opstellen, bijvoorbeeld om ze te negeren, te blokkeren of het alarmniveau ervan te wijzigen. In de Enterprise Edition kunnen die individuele regels ook in één keer uitgerold worden naar alle honeypots in het netwerk. Exporteren van de individuele gegevens is eveneens mogelijk.
In het menu Settings regelt men zaken zoals de detectie-instellingen voor dos-aanvallen, de alarminstellingen, de loginstellingen, en voor wat betreft de Enterprise Edition de connectie tussen meerdere KFSensor-installaties. KFSensor wordt standaard geleverd met een beperkte signatuurdatabase die de systeembeheerder via het menu Signatures kan bekijken, wijzigen, aanvullen en importeren uit een xml-bestand. Signaturen kan men automatisch bijwerken via het apart te installeren programma KFSensor Signature Update Automation. In het menu Scenario ten slotte kan de systeembeheerder de verschillende serversimulaties bekijken, bewerken of aanvullen.
PRODUCT: KFSENSOR 4.8.0
PRODUCENT: KeyFocus Ltd., www.keyfocus.net
ADVIESPRIJS: Standard Edition: $199; Professional Edition: $599; Enterprise Edition: prijs op aanvraag
SYSTEEMVEREISTEN: Windows XP of hoger, minimal 1,5 GHz processor, minimal 256 MB ram (2 GB aanbevolen).
PROJECT HONEY POT
Project Honey Pot is een speciaal geval: het is een webgebaseerde gedistribueerde honeypot voor het opsporen van spammers en spambots. Het Amerikaanse antispambedrijf Unspam Technologies Inc. is de initiatiefnemer achter het project, dat financieel wordt gesponsord door een zevental bedrijven. Iedere webmaster kan deelnemen; de verzamelde informatie is publiek beschikbaar. Spammers verzamelen e-mailadressen van websites met “harvesters”, letterlijk e-mailoogstprogramma’s. Project Honey Pot identificeert de ip-nummers van die harvesters, waarna de informatie kan worden gebruikt om ze te blokkeren of te vervolgen, want dergelijke activiteiten zijn in de meeste landen onwettelijk. De verzamelde informatie is ook nuttig om antispamdatabases te onderhouden. Die kunnen worden gebruikt om bekende spammers met behulp van antispamsoftware bij de bron te blokkeren. Unspam Technologies zelf onderhoudt zelf een dergelijke lijst. Die RedListing wordt gebruikt door Amerikaanse overheidsbedrijven in de staten Michigan en Utah.
Praktijk
Als u een website hebt, kunt u gratis deelnemen aan het project door een klein stukje onzichtbare code te plaatsen op alle pagina’s van uw website. In een content management systeem (cms) is dat een werkje van enkele seconden. Indien u geen cms gebruikt, kunt u manuele ‘quicklinks’ plaatsen op uw sites om spammers te helpen vangen. Particulieren kunnen die quicklinks trouwens ook bijvoorbeeld op hun persoonlijke Facebook of blog-pagina plaatsen. Daarnaast is het ook mogelijk om een ongebruikt mx-record te doneren aan het project, dat vervolgens gebruikt wordt als honeypot. Deelname aan het project zorgt er in elk geval niet voor dat u meer spam ontvangt. Integendeel, want op uw persoonlijke dashboard krijgt u een overzicht van alle kwaadaardige ip-adressen die uw site(s) of mailserver(s) bezoeken. Die kunt u vervolgens eenvoudig blokkeren in uw firewall of andere veiligheidsvoorziening. De gebruikte code heeft ook geen invloed op de prestaties van uw website. Op uw persoonlijke dashboard ziet u alle verdachte activiteiten. Optioneel kunt u het systeem e-mailwaarschuwingen laten verzenden bij verdacht bezoek. Tijdens de bijna twee maanden dat wij deze honeypot gebruikten, bezochten 300 harvesters onze twee testsites, werden 1.028 spams opgevangen, ontvingen we 151 spammails en 107 spamcommentaren. We identificeerden overigens twee nog niet gekende Belgische harvesters tijdens deze test. Via het dashboard kunt u meer informatie over de verzamelde ip-adressen opvragen. De twee Belgische harvesters draaiden op een Skynet-abonnement. Vermoedelijk gaat het om thuisgebruikers waarvan de computer besmet is met malware en die nietsvermoedend misbruikt worden om spam te verzenden. In het ene geval bevond de achterliggende spamserver zich in Cyprus. In het andere geval zat er een Amerikaanse spamserver achter.
PRODUCT: PROJECT HONEY POT 1.0.3 PUBLIC BÈTA
PRODUCENT: Unspam Technologies, Inc., www.projecthoneypot.org
ADVIESPRIJS: gratis.
SYSTEEMVEREISTEN: eigen publieke webserver, gelijk welk platform; optioneel: eigen dns met ongebruikt mx-record.
CONCLUSIE
HoneyBOT is gratis en interessant als kennismaking met honeypots, maar voor het echte detectiewerk moet u bij KFSensor zijn. Project Honey Pot ten slotte is interessant voor bedrijven die hun website, internetforum en/of e-mailserver willen beschermen tegen spammers.
Jozef Schildermans
Fout opgemerkt of meer nieuws? Meld het hier