SlideShare a Scribd company logo

Honeywall roo 1

Julia Yu-Chin Cheng
Julia Yu-Chin Cheng
1 of 156
Download to read offline
Honeynet  concepts  and  Honeywall   Installa0on   講師 : 鄭毓芹 ( Julia Cheng)
課程內容:   •  課程目標:    課程介紹Honeynet  Project  用於國際部屬的GDH  2  架構,並帶領學員實現學 習如何利用誘捕網路誘捕網路攻擊與惡意程式。     •  課程內容:     –  Hands-­‐on  training  environment   –  Honeypot  and  Honeynet    Technology   –  Hand-­‐On  :  Honeywall    ROO    v.1.4    Introduc0on,    Install  and  Configure     –  Hand-­‐On  :  Low  interac0on  honeypots  (Nepenthes)   –  Hand-­‐  On  :  High  interac0on  honeypots  and  Sebek   –  Incident  analysis   2
Thanks  a  lot  … •  The  training  materials  refer  to  “Hands  On  with   the  Honeywall  and  Virtual  Honeynets”  by   David  Watson    from  FIRST  TC  02/12/2009  in   Kuala  Lumpur.   3
Goals  for  training  course •  Learn  about  honeynet  technologies  in  a  safe   environment   •  Gain  an  apprecia0on  for  how  tools  can  help  in   opera0onal  security  and  incident  response   •  Ask  lots  of  ques0ons:  this  is  a  hands-­‐on   interac0ve  session,  so  please  say  if  stuck   4
Your  Experience? •  Command  line  UNIX  /  Linux?   •  Control  and  operate  in  VMWare  Server?   •  IP  networking?   •  Packet  sniffing  and  network  forensics?   •  Malware  collec0on  and  binary  analysis   •  Using  Honeypots  and  honeynets 5
Training  Plaborm •  Everyone  has  the  same  training  environment   –  WinXP  and    VMWare  Server  1.0.9   –  IP  Address  (140.110.126.x)(eth0)  –  the  desktop  PCs   –  Private  VM  LAN  (vmnet8)  –  your  personal  NATed   VMs   –   Prebuilt  VMs   •  Roo  Honeywall  v1.4   •  Nepenthes  v0.2.2  on  Ubuntu  Desktop  9.10  Honeypot   •  Ubuntu  Server  LAMP  +  Sebek  v3  Honeypot   •  BackTrack  agack  host   •  Windows  XP  Professional  SP3  Honeypot 6
Honeynet  Training  Scenario 7
Honeypot and Honeynet Technology 講師 : 鄭毓芹 ( Julia Cheng)
Honeypot  and  Honeynet   •  A  honeypot  is  an  informa0on  system  resource   whose  value  lies  in  unauthorized  or  illicit  use  of   that  resource   •  Has  no  produc0on  value,  anything  going  to  or   from  a  honeypot  is  likely  a  probe,  agack  or   compromise   •  Primary  value  to  most  organiza0ons  is   informa0on   •  A  honeynet  is  a  network  of  honeypots 9
Honeypot    and  Honeynet  (Cont.) •  Honeypot  General  Purpose  :       –  Designed  opera0on  systems  and  services  around  your   networks  to  be  probed  and    hacked.   –  All  data  collected  is  of  high  value  and  unpolluted   •  What  is  Honeypot  ?  (單點) –  模擬特定服務/系統弱點/特定功能,誘捕駭客攻擊   – 具資料捕捉機制,可收集攻擊資料,提供分 析   – 具安全控管機制,避免被當作跳板。 10
Honeypot    and  Honeynet  (Cont.) •  What  is  a  Honeynet  ?   –  Include  Honeywall  /  Low-­‐Interac0on  /  High-­‐interac0on   honeypot   –  It  is  an  architecture,  not  a  product  or  soiware   –  Populate  with  live  systems   –  Once  compromised,  data  is  collected     to  learn  the  tools,  tac0cs,  and  mo0ves     of  the  blackhat    community.     •  Value  of  Honeynet     –  Research  :  Iden0fy  new  tools  and  new     tac0cs,  Profiling  blackhats   –  Early  warning  and  predic0on     –  Incident  Response  /  Forensics   –  Self-­‐defense   11
Honeypot    and  Honeynet    Type   •  Low-­‐interac0on  (LI)   – Emulates  services,  applica0ons,  and  OS’s   – Low  risk  and  easy  to  deploy/maintain,  but   – capture  limited  informa0on   •  High-­‐interac0on  (HI)   – Real  services,  applica0ons,  and  OS’s   – Capture  extensive  informa0on,  but  higher    risk   and  0me  intensive  to  maintain 12
作業系統 Low-­‐ InteracMonH oneypot   硬碟 本機其他 的資源 高互動式 低互動式 在honeynet中使用防火 牆來紀錄、捕捉攻擊行為 Low-­‐InteracMon   Hpneypot   Honeypot    and  Honeynet    Type  (Con.t)
Honeynet  Project  Tools •  Honeywall  CD  ROM  (高互動式)   •  Honeys0ck   •  Honeytrap  (低互動式) •  HIHAT  (高互動式)   •  Nepenthes  (低互動式)   •  HoneyC   •  Capture-­‐HPC   •  Capture-­‐BAT   •  Honeysnap   •  Tracker   •  Pehunter   •  Sebek   •  PicViz   •  Honeymole   •  HoneyBow   •  Google  Hack   Honeypot   •  Glastopf   14
低互動式誘捕系統 –  Honeyd   (模擬作業系統與Service) 15 Internet Router 192.168.0.1 Linux 192.168.0.2 FreeBSD 192.168.0.3 Windows 192.1683.0.4 NetBSD 192.168.0.0 Honeyd 系統
低互動式誘捕系統–  Nepenthes   (模擬Windows  系統弱點) 16
高互動式誘捕系統—HIHAT   (將php套裝程式轉變為Honeypot) •  HIHAT 為一高互動式的網頁誘捕系統,可偵 測多種網頁應用程式攻擊。 17
高互動式誘捕系統 –Capture-­‐HPC n  定義:  Honeyclient  is  an  ac0ve  security   devices/applica0on  in  search  of  malicious   servers  that  agack  clients.   n  為一主動式之誘捕系統,能夠模擬用戶端應用 程式與Server進行互動,根據互動結果能夠判 斷Server為正常(Benign)或是異常(Malicious)   n  Web  Browser,  FTP,  SSH,  Email,  …     18
互動式誘捕系統 –Capture-­‐HPC     (Cont.) •  Capture-­‐HPC  為一高互動式的Client   Honeypot,探測Malicious  Web  servers  (監控 Client-­‐Side  Agacks) 19
足夠了嗎…..??? •  Honeypot為單一資料收集點,所能收集到的 資料非常有限,如何可以看到全面性且完 整的駭客攻擊資訊?     •  多方面收集最新駭客攻擊手法、使用工具 與目的   •  安全機制的加強   20
What  is  Honeynet  ?   •  誘捕網路為一個完整的真實網路,主要開放給 駭客進行攻擊,並能夠藉由網路學習駭客的攻 擊行為 •  誘捕網路(Honeynet)屬於一種高互動性的 Honeypots,提供真實系統、應用程式及服務給 攻擊者,因此能夠收集到珍貴的攻擊資訊。 •  藉由Honeynet環境建置,能夠對所有進出的流 量加以收集與監控,加強安全機制保護   •  誘捕網路能夠收集全面性的攻擊資料,進行分 析,進而學習駭客所用的工具與手法,甚至於 駭客的攻擊的動機 21  
What  is  Honeynet  ?  (Cont.) •  提供不同的設計當作陷阱,並沒有作任何 引誘的駭客的額外機制,不會對駭客有一 個反制的行為,只是去學習駭客的行為 •  Honeynet其價值在於可以提供確實的risk與 vulnerabilities給相關的安全組織 22
Honeynet 說明示意圖 router Host 1 Host N ... Server 1 Server N Honey Host 1 Honey Host N ... Management Host eth1 eth0 eth2 HoneyWall HoneyNet ... 23  
24   192.168.5.13 Windows 2k 192.168.5.11 RH7.3 管理者 Honeynet Fedora code 1 橋接式防火牆 1 1 192.168.6.110 Data Server 192.168.5.12 XP 0   2   1   IPS    Honeywall放大示意圖 Drop   Replace  
誘捕網路(Honeynet)建構元件 •  防火牆 –  記錄了所有進出的連線並提供安全的保護 •  入侵偵側系統 –  記錄了網路上的流量且尋找攻擊和入侵的線索 •  日誌紀錄 –  所有的遠端連線的指令都能夠被記錄到系統日誌 •  Honeypot     –  設定好的Honeypot可為任何作業系統 25  
Honeynet的架構需求 •  資料捕捉機制 (Data  Capture)   – 偵測並捕獲所有攻擊流量 •  數據控制機制 (Data  Control)   – 降低風險,使的honeypot主機不會變成跳板 去攻擊其餘主機 •  數據分析機制 (Data  Analysis)   – 分析攻擊者到底做了什麼 26  
資料捕捉機制 (Data  Capture) •  對在Honeynet中的入侵者所有行為進行監 測和記錄的工作 •  安全地記錄和儲存相關系統日誌資訊 •  較常使用元件:iptables、Snort、Sebek、 p0f  、tcpdump   27  
數據控制機制 (Data  Control)   •  對入侵者可能得到的權限及攻擊行為進行 限制 •  防止Honeypot被駭客或惡意程式加以利用 攻擊第三方 •  當開放的服務越多時,怎樣針對特定服務 行為設定限制條件,並能夠學習與發現駭 客的攻擊行為操作 •  較常使用元件:Snort_inline、IPtables   28  
數據控制機制 (Data  Control)   (Cont.)   29   No Data Control Data Control
數據分析機制 (Data  Analysis)   •  對所捕獲的所有資料,事後進行分析研究 – Iptables  紀錄資料、Snort  Alert  、Snort  Log、 Sebek鍵擊記錄資料、Snort_inline  紀錄 ….  等 30  
 Honeywall    ROO    v.1.4     Introduc0on,    Install  and  Configure  
Honeynet  Training  Scenario 32
Honeywall  CDROM  ROO   •  Honeynet Project所提供,主要將所有架設 Honeynet所需要的系統、工具軟體與相關 設定檔結合成ㄧ個可開機光碟,幫助使用 者進行Honeynet的架設   •  hgps://projects.honeynet.org/honeywall/   33  
34
Honeywall  overview •  Bootable  CentOS  5.x  CD-­‐ROM   •  U0lizes  exis0ng  Honeynet  data  control  and   data  capture  technologies   •  Iptables  (custom  Honeywall  configura0on  via   rc.firewall)   •  Snort  +  Snort-­‐inline   •   TCP  rate  limi0ng  +  Sebek  client   •  Menu-­‐driven  and  web  based  configura0on   interfaces  for  easy  remote  configura0on   •  Single  configura0on  file  for  interac0ve  or   35
Honeywall  Logical  Components 36 資料捕捉機制: Firewall  Log、Snort、Sebek   數據控制機制:    Snort_inline、IPtables   數據分析機制:  Walleye  (Argus、Hflow2)d  
Data  Control  –    Snort_inline與iptables     INTERNET Honeywall 無設限條件 連線限制 過濾攻擊行為封包 Sendmail Mail Server Oracle DataBase Server DNS Server MS-SQL DataBase Server Apache Web Server Honeynet 37  
Data  Control  –                    Snort_inline與iptables   eth0 Iptables eth1 Snort_inline Honeywall Drop Replace 38   讓駭客能夠進來Honeynet   進行攻擊,但限制其出去 的行為
Honeywall  –Data  Control    ((Snort-­‐ Inline  /  Limits) •  Snort_inline  (NIPS)   – 對流出Honeywall的資料流 (Outbound  Traffic)加 以限制 – 規則:  Drop、Replace   •  IPtables  (Firewall)   – 以Policy配合Snort_inline  對流出的Traffic加以控 制 39
資料捕捉機制 (Data  Capture)   •  資料捕捉是Honeynet的一個重要目的 •  主要捕捉三方面的資料加以記錄: – Firewall  Log:防火牆(  IPtables)的日誌記錄 – Network  Traffic:以Snort  搭配Tcpdump記錄資料 流,並且以pcap格式儲存 – System  Ac0vity:以Sebek  捕捉的系统活動 40  
Data  Capture說明(1/4)   •  網路行為資料 – 網路流資料: Argus – 入侵檢測報警: Snort – 作業系統訊息: p0f •  系統行為資料: – Process、文件、命令、鍵擊記錄:Sebek •  網路原始資料 – 完整的資料流:tcpdump 41  
Data  Capture說明(2/4)   eth0 Iptables eth1 Snort_inline Honeywall Sebek Client Logs Standard Snort Tcpdump log file Sebek Server Honeypot DB 42  
Install  Vmware   •  安裝Vmware-­‐Server-­‐1.0.9  版   •  What  is  Vmware  :   –  VMware實際上也只是一種應用軟體,用於建構出 虛擬機器,虛擬機器具有自己的虛擬化了的CPU、 RAM、硬碟、光碟,甚至還有自己的BIOS。虛擬機 器上可以安裝Windows、Linux等真實的操作系統, 及各種應用程式。   •  Vmware  Networking  Mode  :   •  Bridge  :  虛擬主機與真實網路連接 (VMnet0)   •  NAT:虛擬主機以NAT方式連接真實網路 (VMnet8)   43
Honeywall  Install   44
45
46
47
48 新增另外兩張網卡
49   第⼀一張網卡: 接受外部Internet來的攻擊流量
50   第⼆二張網卡: 傳送攻擊流量進⼊入Honeypot  
51 第三張網卡: 連接Honeywall 管理介⾯面
52 載⼊入安裝印象檔 D:Honeynet_TrainingImage roo-­‐1.4.hw-­‐20090425114542.iso
53
54
55
56
57
58
59  
60
61
62
63
64
65
66 192.168.13.4 192.168.13. 6
67
68
69
70
71
72
73
74
75
76
77 168.95.1.1
78
79
80 honey
81 honey
82
83 140.110.126.x
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106 168.95.1.1
107
108
109
110
111
112
113
114
115
116
117 安裝完成,請先做Snapshot
•  Chkconfig是設定係統在不同runlevel之下所 執行的服務,Chkconfig  Level     – Level  0﹕關機 – Level  1﹕單人模式 – Level  2﹕多人模式﹐沒有網路功能 – Level  3﹕完整多人模式﹐文字界面   – Level  4﹕保留   – Level  5﹕完整多人模式﹐圖形界面   – Level  6﹕重新開機 118
Configure 119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
Don’t    re-­‐configure  your     honeywall   155
Q  &  A

Recommended

20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)Julia Yu-Chin Cheng
 
Malware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptMalware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptJulia Yu-Chin Cheng
 
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)HITCON GIRLS
 
Splunk資安智慧分析平台
Splunk資安智慧分析平台Splunk資安智慧分析平台
Splunk資安智慧分析平台Ching-Lin Tao
 
New immune system of information security from CHINA by WooYun - CODE BLUE 2015
New immune system of information security from CHINA by WooYun - CODE BLUE 2015New immune system of information security from CHINA by WooYun - CODE BLUE 2015
New immune system of information security from CHINA by WooYun - CODE BLUE 2015CODE BLUE
 
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)HITCON GIRLS
 
近期apt攻擊案例分享
近期apt攻擊案例分享近期apt攻擊案例分享
近期apt攻擊案例分享Nicolas su
 
Malware classification and traceability
Malware classification and traceabilityMalware classification and traceability
Malware classification and traceabilityCanaan Kao
 

Recommended

20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)
20100826-證交所-誘捕系統與殭屍網路(Botnet and honeypot)Julia Yu-Chin Cheng
 
Malware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptMalware Analysis - Basic and Concept
Malware Analysis - Basic and ConceptJulia Yu-Chin Cheng
 
HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)HITCON GIRLS 成大講座 基礎知識(蜘子珣)
HITCON GIRLS 成大講座 基礎知識(蜘子珣)HITCON GIRLS
 
Splunk資安智慧分析平台
Splunk資安智慧分析平台Splunk資安智慧分析平台
Splunk資安智慧分析平台Ching-Lin Tao
 
New immune system of information security from CHINA by WooYun - CODE BLUE 2015
New immune system of information security from CHINA by WooYun - CODE BLUE 2015New immune system of information security from CHINA by WooYun - CODE BLUE 2015
New immune system of information security from CHINA by WooYun - CODE BLUE 2015CODE BLUE
 
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)
HITCON GIRLS: Android 滲透測試介紹 (Elven Liu)HITCON GIRLS
 
近期apt攻擊案例分享
近期apt攻擊案例分享近期apt攻擊案例分享
近期apt攻擊案例分享Nicolas su
 
Malware classification and traceability
Malware classification and traceabilityMalware classification and traceability
Malware classification and traceabilityCanaan Kao
 
【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain AttackHacks in Taiwan (HITCON)
 
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎HITCON GIRLS
 
APT行為偵測術
APT行為偵測術APT行為偵測術
APT行為偵測術Ching-Lin Tao
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤jack51706
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路Tzu-Ting(Fei) Lin
 
第一次使用Shodan.io就上手
第一次使用Shodan.io就上手第一次使用Shodan.io就上手
第一次使用Shodan.io就上手Ting-En Lin
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28Shang Wei Li
 
Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-nckujack51706
 
2013 the current methodologies for apt malware traffic detection
2013 the current methodologies for apt malware traffic detection2013 the current methodologies for apt malware traffic detection
2013 the current methodologies for apt malware traffic detectionCanaan Kao
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢T客邦
 
Some things before network attack
Some things before network attackSome things before network attack
Some things before network attackCanaan Kao
 
Become A Security Master
Become A Security MasterBecome A Security Master
Become A Security MasterChong-Kuan Chen
 
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...Jason Trost
 
Server Check.in case study - Drupal and Node.js
Server Check.in case study - Drupal and Node.jsServer Check.in case study - Drupal and Node.js
Server Check.in case study - Drupal and Node.jsJeff Geerling
 
Fosdem17 honeypot your database server
Fosdem17 honeypot your database serverFosdem17 honeypot your database server
Fosdem17 honeypot your database serverGeorgi Kodinov
 
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...Jason Trost
 
All about Honeypots & Honeynets
All about Honeypots & HoneynetsAll about Honeypots & Honeynets
All about Honeypots & HoneynetsMehdi Poustchi Amin
 
Honeypot ppt1
Honeypot ppt1Honeypot ppt1
Honeypot ppt1samrat saurabh
 
Honeypots
HoneypotsHoneypots
HoneypotsJ. Scott Christianson
 
Honeypots
HoneypotsHoneypots
HoneypotsJayant Gandhi
 
SDN ryu 專題安裝
SDN ryu 專題安裝SDN ryu 專題安裝
SDN ryu 專題安裝承樺 董
 

More Related Content

What's hot

HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎HITCON GIRLS
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤jack51706
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門Tyler Chen
 
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路Tzu-Ting(Fei) Lin
 
第一次使用Shodan.io就上手
第一次使用Shodan.io就上手第一次使用Shodan.io就上手
第一次使用Shodan.io就上手Ting-En Lin
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28Shang Wei Li
 
Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-nckujack51706
 
2013 the current methodologies for apt malware traffic detection
2013 the current methodologies for apt malware traffic detection2013 the current methodologies for apt malware traffic detection
2013 the current methodologies for apt malware traffic detectionCanaan Kao
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢T客邦
 
Some things before network attack
Some things before network attackSome things before network attack
Some things before network attackCanaan Kao
 
Become A Security Master
Become A Security MasterBecome A Security Master
Become A Security MasterChong-Kuan Chen
 

What's hot (13)

【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack【HITCON FreeTalk】Supply Chain Attack
【HITCON FreeTalk】Supply Chain Attack
 
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
 
APT行為偵測術
APT行為偵測術APT行為偵測術
APT行為偵測術
 
台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤台科大網路鑑識課程 封包分析及中繼站追蹤
台科大網路鑑識課程 封包分析及中繼站追蹤
 
資訊安全入門
資訊安全入門資訊安全入門
資訊安全入門
 
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
 
第一次使用Shodan.io就上手
第一次使用Shodan.io就上手第一次使用Shodan.io就上手
第一次使用Shodan.io就上手
 
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
HITCON GIRLS_惡意程式分析介紹_in 成功大學_by Turkey_2016.04.28
 
Tdohconf 2017-ncku
Tdohconf 2017-nckuTdohconf 2017-ncku
Tdohconf 2017-ncku
 
2013 the current methodologies for apt malware traffic detection
2013 the current methodologies for apt malware traffic detection2013 the current methodologies for apt malware traffic detection
2013 the current methodologies for apt malware traffic detection
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
 
Some things before network attack
Some things before network attackSome things before network attack
Some things before network attack
 
Become A Security Master
Become A Security MasterBecome A Security Master
Become A Security Master
 

Viewers also liked

Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...Jason Trost
 
Server Check.in case study - Drupal and Node.js
Server Check.in case study - Drupal and Node.jsServer Check.in case study - Drupal and Node.js
Server Check.in case study - Drupal and Node.jsJeff Geerling
 
Fosdem17 honeypot your database server
Fosdem17 honeypot your database serverFosdem17 honeypot your database server
Fosdem17 honeypot your database serverGeorgi Kodinov
 
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...Jason Trost
 

Viewers also liked (8)

Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
Deploying, Managing, and Leveraging Honeypots in the Enterprise using Open So...
 
Server Check.in case study - Drupal and Node.js
Server Check.in case study - Drupal and Node.jsServer Check.in case study - Drupal and Node.js
Server Check.in case study - Drupal and Node.js
 
Fosdem17 honeypot your database server
Fosdem17 honeypot your database serverFosdem17 honeypot your database server
Fosdem17 honeypot your database server
 
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
Lessons Learned from Building and Running MHN, the World's Largest Crowdsourc...
 
All about Honeypots & Honeynets
All about Honeypots & HoneynetsAll about Honeypots & Honeynets
All about Honeypots & Honeynets
 
Honeypot ppt1
Honeypot ppt1Honeypot ppt1
Honeypot ppt1
 
Honeypots
HoneypotsHoneypots
Honeypots
 
Honeypots
HoneypotsHoneypots
Honeypots
 

Similar to Honeywall roo 1

SDN ryu 專題安裝
SDN ryu 專題安裝SDN ryu 專題安裝
SDN ryu 專題安裝承樺 董
 
开源软件营销策略
开源软件营销策略开源软件营销策略
开源软件营销策略linhaicaoyuan
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...Wales Chen
 
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ NisraOrange Tsai
 
ElasticSearch Training#2 (advanced concepts)-ESCC#1
ElasticSearch Training#2 (advanced concepts)-ESCC#1ElasticSearch Training#2 (advanced concepts)-ESCC#1
ElasticSearch Training#2 (advanced concepts)-ESCC#1medcl
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰Scourgen Hong
 
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking Systemlog0
 
線上埋碼資料收集實作
線上埋碼資料收集實作線上埋碼資料收集實作
線上埋碼資料收集實作FEG
 
Linux Network Monitoring
Linux Network MonitoringLinux Network Monitoring
Linux Network MonitoringKenny (netman)
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中T客邦
 
自动化运维管理
自动化运维管理自动化运维管理
自动化运维管理frankwsj
 
Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Sc0tt
 
Full Stack Monitoring with Prometheus and Grafana (Updated)
Full Stack Monitoring with Prometheus and Grafana (Updated)Full Stack Monitoring with Prometheus and Grafana (Updated)
Full Stack Monitoring with Prometheus and Grafana (Updated)Jazz Yao-Tsung Wang
 
埋点平台发布-初版.pptx
埋点平台发布-初版.pptx埋点平台发布-初版.pptx
埋点平台发布-初版.pptxlongfeima3
 
Zh tw introduction_to_cloud_computing
Zh tw introduction_to_cloud_computingZh tw introduction_to_cloud_computing
Zh tw introduction_to_cloud_computingTrendProgContest13
 
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 SaacChao Zhu
 
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践Wensong Zhang
 

Similar to Honeywall roo 1 (20)

SDN ryu 專題安裝
SDN ryu 專題安裝SDN ryu 專題安裝
SDN ryu 專題安裝
 
Hadoop ecosystem
Hadoop ecosystemHadoop ecosystem
Hadoop ecosystem
 
开源软件营销策略
开源软件营销策略开源软件营销策略
开源软件营销策略
 
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
 
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
 
ElasticSearch Training#2 (advanced concepts)-ESCC#1
ElasticSearch Training#2 (advanced concepts)-ESCC#1ElasticSearch Training#2 (advanced concepts)-ESCC#1
ElasticSearch Training#2 (advanced concepts)-ESCC#1
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
 
Snort分析评估
Snort分析评估Snort分析评估
Snort分析评估
 
A DIY Botnet Tracking System
A DIY Botnet Tracking SystemA DIY Botnet Tracking System
A DIY Botnet Tracking System
 
線上埋碼資料收集實作
線上埋碼資料收集實作線上埋碼資料收集實作
線上埋碼資料收集實作
 
Linux Network Monitoring
Linux Network MonitoringLinux Network Monitoring
Linux Network Monitoring
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
 
自动化运维管理
自动化运维管理自动化运维管理
自动化运维管理
 
Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott Shadow_Hunter Rootkit windows7 xcon2011 Scott
Shadow_Hunter Rootkit windows7 xcon2011 Scott
 
Full Stack Monitoring with Prometheus and Grafana (Updated)
Full Stack Monitoring with Prometheus and Grafana (Updated)Full Stack Monitoring with Prometheus and Grafana (Updated)
Full Stack Monitoring with Prometheus and Grafana (Updated)
 
埋点平台发布-初版.pptx
埋点平台发布-初版.pptx埋点平台发布-初版.pptx
埋点平台发布-初版.pptx
 
Zh tw introduction_to_cloud_computing
Zh tw introduction_to_cloud_computingZh tw introduction_to_cloud_computing
Zh tw introduction_to_cloud_computing
 
中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac中大型规模的网站架构运维 Saac
中大型规模的网站架构运维 Saac
 
开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践开源+自主开发 - 淘宝软件基础设施构建实践
开源+自主开发 - 淘宝软件基础设施构建实践
 

More from Julia Yu-Chin Cheng

2022年_程式教育迎向未來新視野v2.pptx
2022年_程式教育迎向未來新視野v2.pptx2022年_程式教育迎向未來新視野v2.pptx
2022年_程式教育迎向未來新視野v2.pptxJulia Yu-Chin Cheng
 
Honeycon2016-honeypot updates for public
Honeycon2016-honeypot updates for publicHoneycon2016-honeypot updates for public
Honeycon2016-honeypot updates for publicJulia Yu-Chin Cheng
 
Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...
Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...
Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...Julia Yu-Chin Cheng
 
The Honeynet Project Introduction
The Honeynet Project IntroductionThe Honeynet Project Introduction
The Honeynet Project IntroductionJulia Yu-Chin Cheng
 
Clientside attack using HoneyClient Technology
Clientside attack using HoneyClient TechnologyClientside attack using HoneyClient Technology
Clientside attack using HoneyClient TechnologyJulia Yu-Chin Cheng
 
網路攻擊與封包分析- Wireshark
網路攻擊與封包分析- Wireshark網路攻擊與封包分析- Wireshark
網路攻擊與封包分析- WiresharkJulia Yu-Chin Cheng
 
Shellcode Analysis - Basic and Concept
Shellcode Analysis - Basic and ConceptShellcode Analysis - Basic and Concept
Shellcode Analysis - Basic and ConceptJulia Yu-Chin Cheng
 

More from Julia Yu-Chin Cheng (9)

2022年_程式教育迎向未來新視野v2.pptx
2022年_程式教育迎向未來新視野v2.pptx2022年_程式教育迎向未來新視野v2.pptx
2022年_程式教育迎向未來新視野v2.pptx
 
Honeycon2016-honeypot updates for public
Honeycon2016-honeypot updates for publicHoneycon2016-honeypot updates for public
Honeycon2016-honeypot updates for public
 
Honeywall roo 2
Honeywall roo 2Honeywall roo 2
Honeywall roo 2
 
Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...
Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...
Evolving Threat Landscapes Web-Based Botnet Through Exploit Kits and Scripts ...
 
The Honeynet Project Introduction
The Honeynet Project IntroductionThe Honeynet Project Introduction
The Honeynet Project Introduction
 
Clientside attack using HoneyClient Technology
Clientside attack using HoneyClient TechnologyClientside attack using HoneyClient Technology
Clientside attack using HoneyClient Technology
 
Malware Analysis - Example
Malware Analysis - ExampleMalware Analysis - Example
Malware Analysis - Example
 
網路攻擊與封包分析- Wireshark
網路攻擊與封包分析- Wireshark網路攻擊與封包分析- Wireshark
網路攻擊與封包分析- Wireshark
 
Shellcode Analysis - Basic and Concept
Shellcode Analysis - Basic and ConceptShellcode Analysis - Basic and Concept
Shellcode Analysis - Basic and Concept
 

Honeywall roo 1

  • 1. Honeynet  concepts  and  Honeywall   Installa0on   講師 : 鄭毓芹 ( Julia Cheng)
  • 2. 課程內容:   •  課程目標:    課程介紹Honeynet  Project  用於國際部屬的GDH  2  架構,並帶領學員實現學 習如何利用誘捕網路誘捕網路攻擊與惡意程式。     •  課程內容:     –  Hands-­‐on  training  environment   –  Honeypot  and  Honeynet    Technology   –  Hand-­‐On  :  Honeywall    ROO    v.1.4    Introduc0on,    Install  and  Configure     –  Hand-­‐On  :  Low  interac0on  honeypots  (Nepenthes)   –  Hand-­‐  On  :  High  interac0on  honeypots  and  Sebek   –  Incident  analysis   2
  • 3. Thanks  a  lot  … •  The  training  materials  refer  to  “Hands  On  with   the  Honeywall  and  Virtual  Honeynets”  by   David  Watson    from  FIRST  TC  02/12/2009  in   Kuala  Lumpur.   3
  • 4. Goals  for  training  course •  Learn  about  honeynet  technologies  in  a  safe   environment   •  Gain  an  apprecia0on  for  how  tools  can  help  in   opera0onal  security  and  incident  response   •  Ask  lots  of  ques0ons:  this  is  a  hands-­‐on   interac0ve  session,  so  please  say  if  stuck   4
  • 5. Your  Experience? •  Command  line  UNIX  /  Linux?   •  Control  and  operate  in  VMWare  Server?   •  IP  networking?   •  Packet  sniffing  and  network  forensics?   •  Malware  collec0on  and  binary  analysis   •  Using  Honeypots  and  honeynets 5
  • 6. Training  Plaborm •  Everyone  has  the  same  training  environment   –  WinXP  and    VMWare  Server  1.0.9   –  IP  Address  (140.110.126.x)(eth0)  –  the  desktop  PCs   –  Private  VM  LAN  (vmnet8)  –  your  personal  NATed   VMs   –   Prebuilt  VMs   •  Roo  Honeywall  v1.4   •  Nepenthes  v0.2.2  on  Ubuntu  Desktop  9.10  Honeypot   •  Ubuntu  Server  LAMP  +  Sebek  v3  Honeypot   •  BackTrack  agack  host   •  Windows  XP  Professional  SP3  Honeypot 6
  • 8. Honeypot and Honeynet Technology 講師 : 鄭毓芹 ( Julia Cheng)
  • 9. Honeypot  and  Honeynet   •  A  honeypot  is  an  informa0on  system  resource   whose  value  lies  in  unauthorized  or  illicit  use  of   that  resource   •  Has  no  produc0on  value,  anything  going  to  or   from  a  honeypot  is  likely  a  probe,  agack  or   compromise   •  Primary  value  to  most  organiza0ons  is   informa0on   •  A  honeynet  is  a  network  of  honeypots 9
  • 10. Honeypot    and  Honeynet  (Cont.) •  Honeypot  General  Purpose  :       –  Designed  opera0on  systems  and  services  around  your   networks  to  be  probed  and    hacked.   –  All  data  collected  is  of  high  value  and  unpolluted   •  What  is  Honeypot  ?  (單點) –  模擬特定服務/系統弱點/特定功能,誘捕駭客攻擊   – 具資料捕捉機制,可收集攻擊資料,提供分 析   – 具安全控管機制,避免被當作跳板。 10
  • 11. Honeypot    and  Honeynet  (Cont.) •  What  is  a  Honeynet  ?   –  Include  Honeywall  /  Low-­‐Interac0on  /  High-­‐interac0on   honeypot   –  It  is  an  architecture,  not  a  product  or  soiware   –  Populate  with  live  systems   –  Once  compromised,  data  is  collected     to  learn  the  tools,  tac0cs,  and  mo0ves     of  the  blackhat    community.     •  Value  of  Honeynet     –  Research  :  Iden0fy  new  tools  and  new     tac0cs,  Profiling  blackhats   –  Early  warning  and  predic0on     –  Incident  Response  /  Forensics   –  Self-­‐defense   11
  • 12. Honeypot    and  Honeynet    Type   •  Low-­‐interac0on  (LI)   – Emulates  services,  applica0ons,  and  OS’s   – Low  risk  and  easy  to  deploy/maintain,  but   – capture  limited  informa0on   •  High-­‐interac0on  (HI)   – Real  services,  applica0ons,  and  OS’s   – Capture  extensive  informa0on,  but  higher    risk   and  0me  intensive  to  maintain 12
  • 14. Honeynet  Project  Tools •  Honeywall  CD  ROM  (高互動式)   •  Honeys0ck   •  Honeytrap  (低互動式) •  HIHAT  (高互動式)   •  Nepenthes  (低互動式)   •  HoneyC   •  Capture-­‐HPC   •  Capture-­‐BAT   •  Honeysnap   •  Tracker   •  Pehunter   •  Sebek   •  PicViz   •  Honeymole   •  HoneyBow   •  Google  Hack   Honeypot   •  Glastopf   14
  • 15. 低互動式誘捕系統 –  Honeyd   (模擬作業系統與Service) 15 Internet Router 192.168.0.1 Linux 192.168.0.2 FreeBSD 192.168.0.3 Windows 192.1683.0.4 NetBSD 192.168.0.0 Honeyd 系統
  • 17. 高互動式誘捕系統—HIHAT   (將php套裝程式轉變為Honeypot) •  HIHAT 為一高互動式的網頁誘捕系統,可偵 測多種網頁應用程式攻擊。 17
  • 18. 高互動式誘捕系統 –Capture-­‐HPC n  定義:  Honeyclient  is  an  ac0ve  security   devices/applica0on  in  search  of  malicious   servers  that  agack  clients.   n  為一主動式之誘捕系統,能夠模擬用戶端應用 程式與Server進行互動,根據互動結果能夠判 斷Server為正常(Benign)或是異常(Malicious)   n  Web  Browser,  FTP,  SSH,  Email,  …     18
  • 19. 互動式誘捕系統 –Capture-­‐HPC     (Cont.) •  Capture-­‐HPC  為一高互動式的Client   Honeypot,探測Malicious  Web  servers  (監控 Client-­‐Side  Agacks) 19
  • 20. 足夠了嗎…..??? •  Honeypot為單一資料收集點,所能收集到的 資料非常有限,如何可以看到全面性且完 整的駭客攻擊資訊?     •  多方面收集最新駭客攻擊手法、使用工具 與目的   •  安全機制的加強   20
  • 21. What  is  Honeynet  ?   •  誘捕網路為一個完整的真實網路,主要開放給 駭客進行攻擊,並能夠藉由網路學習駭客的攻 擊行為 •  誘捕網路(Honeynet)屬於一種高互動性的 Honeypots,提供真實系統、應用程式及服務給 攻擊者,因此能夠收集到珍貴的攻擊資訊。 •  藉由Honeynet環境建置,能夠對所有進出的流 量加以收集與監控,加強安全機制保護   •  誘捕網路能夠收集全面性的攻擊資料,進行分 析,進而學習駭客所用的工具與手法,甚至於 駭客的攻擊的動機 21  
  • 22. What  is  Honeynet  ?  (Cont.) •  提供不同的設計當作陷阱,並沒有作任何 引誘的駭客的額外機制,不會對駭客有一 個反制的行為,只是去學習駭客的行為 •  Honeynet其價值在於可以提供確實的risk與 vulnerabilities給相關的安全組織 22
  • 23. Honeynet 說明示意圖 router Host 1 Host N ... Server 1 Server N Honey Host 1 Honey Host N ... Management Host eth1 eth0 eth2 HoneyWall HoneyNet ... 23  
  • 24. 24   192.168.5.13 Windows 2k 192.168.5.11 RH7.3 管理者 Honeynet Fedora code 1 橋接式防火牆 1 1 192.168.6.110 Data Server 192.168.5.12 XP 0   2   1   IPS    Honeywall放大示意圖 Drop   Replace  
  • 25. 誘捕網路(Honeynet)建構元件 •  防火牆 –  記錄了所有進出的連線並提供安全的保護 •  入侵偵側系統 –  記錄了網路上的流量且尋找攻擊和入侵的線索 •  日誌紀錄 –  所有的遠端連線的指令都能夠被記錄到系統日誌 •  Honeypot     –  設定好的Honeypot可為任何作業系統 25  
  • 26. Honeynet的架構需求 •  資料捕捉機制 (Data  Capture)   – 偵測並捕獲所有攻擊流量 •  數據控制機制 (Data  Control)   – 降低風險,使的honeypot主機不會變成跳板 去攻擊其餘主機 •  數據分析機制 (Data  Analysis)   – 分析攻擊者到底做了什麼 26  
  • 27. 資料捕捉機制 (Data  Capture) •  對在Honeynet中的入侵者所有行為進行監 測和記錄的工作 •  安全地記錄和儲存相關系統日誌資訊 •  較常使用元件:iptables、Snort、Sebek、 p0f  、tcpdump   27  
  • 28. 數據控制機制 (Data  Control)   •  對入侵者可能得到的權限及攻擊行為進行 限制 •  防止Honeypot被駭客或惡意程式加以利用 攻擊第三方 •  當開放的服務越多時,怎樣針對特定服務 行為設定限制條件,並能夠學習與發現駭 客的攻擊行為操作 •  較常使用元件:Snort_inline、IPtables   28  
  • 29. 數據控制機制 (Data  Control)   (Cont.)   29   No Data Control Data Control
  • 30. 數據分析機制 (Data  Analysis)   •  對所捕獲的所有資料,事後進行分析研究 – Iptables  紀錄資料、Snort  Alert  、Snort  Log、 Sebek鍵擊記錄資料、Snort_inline  紀錄 ….  等 30  
  • 31.  Honeywall    ROO    v.1.4     Introduc0on,    Install  and  Configure  
  • 33. Honeywall  CDROM  ROO   •  Honeynet Project所提供,主要將所有架設 Honeynet所需要的系統、工具軟體與相關 設定檔結合成ㄧ個可開機光碟,幫助使用 者進行Honeynet的架設   •  hgps://projects.honeynet.org/honeywall/   33  
  • 34. 34
  • 35. Honeywall  overview •  Bootable  CentOS  5.x  CD-­‐ROM   •  U0lizes  exis0ng  Honeynet  data  control  and   data  capture  technologies   •  Iptables  (custom  Honeywall  configura0on  via   rc.firewall)   •  Snort  +  Snort-­‐inline   •   TCP  rate  limi0ng  +  Sebek  client   •  Menu-­‐driven  and  web  based  configura0on   interfaces  for  easy  remote  configura0on   •  Single  configura0on  file  for  interac0ve  or   35
  • 36. Honeywall  Logical  Components 36 資料捕捉機制: Firewall  Log、Snort、Sebek   數據控制機制:    Snort_inline、IPtables   數據分析機制:  Walleye  (Argus、Hflow2)d  
  • 37. Data  Control  –    Snort_inline與iptables     INTERNET Honeywall 無設限條件 連線限制 過濾攻擊行為封包 Sendmail Mail Server Oracle DataBase Server DNS Server MS-SQL DataBase Server Apache Web Server Honeynet 37  
  • 38. Data  Control  –                    Snort_inline與iptables   eth0 Iptables eth1 Snort_inline Honeywall Drop Replace 38   讓駭客能夠進來Honeynet   進行攻擊,但限制其出去 的行為
  • 39. Honeywall  –Data  Control    ((Snort-­‐ Inline  /  Limits) •  Snort_inline  (NIPS)   – 對流出Honeywall的資料流 (Outbound  Traffic)加 以限制 – 規則:  Drop、Replace   •  IPtables  (Firewall)   – 以Policy配合Snort_inline  對流出的Traffic加以控 制 39
  • 40. 資料捕捉機制 (Data  Capture)   •  資料捕捉是Honeynet的一個重要目的 •  主要捕捉三方面的資料加以記錄: – Firewall  Log:防火牆(  IPtables)的日誌記錄 – Network  Traffic:以Snort  搭配Tcpdump記錄資料 流,並且以pcap格式儲存 – System  Ac0vity:以Sebek  捕捉的系统活動 40  
  • 41. Data  Capture說明(1/4)   •  網路行為資料 – 網路流資料: Argus – 入侵檢測報警: Snort – 作業系統訊息: p0f •  系統行為資料: – Process、文件、命令、鍵擊記錄:Sebek •  網路原始資料 – 完整的資料流:tcpdump 41  
  • 42. Data  Capture說明(2/4)   eth0 Iptables eth1 Snort_inline Honeywall Sebek Client Logs Standard Snort Tcpdump log file Sebek Server Honeypot DB 42  
  • 43. Install  Vmware   •  安裝Vmware-­‐Server-­‐1.0.9  版   •  What  is  Vmware  :   –  VMware實際上也只是一種應用軟體,用於建構出 虛擬機器,虛擬機器具有自己的虛擬化了的CPU、 RAM、硬碟、光碟,甚至還有自己的BIOS。虛擬機 器上可以安裝Windows、Linux等真實的操作系統, 及各種應用程式。   •  Vmware  Networking  Mode  :   •  Bridge  :  虛擬主機與真實網路連接 (VMnet0)   •  NAT:虛擬主機以NAT方式連接真實網路 (VMnet8)   43
  • 45. 45
  • 46. 46
  • 47. 47
  • 53. 53
  • 54. 54
  • 55. 55
  • 56. 56
  • 57. 57
  • 58. 58
  • 59. 59  
  • 60. 60
  • 61. 61
  • 62. 62
  • 63. 63
  • 64. 64
  • 65. 65
  • 67. 67
  • 68. 68
  • 69. 69
  • 70. 70
  • 71. 71
  • 72. 72
  • 73. 73
  • 74. 74
  • 75. 75
  • 76. 76
  • 78. 78
  • 79. 79
  • 82. 82
  • 84. 84
  • 85. 85
  • 86. 86
  • 87. 87
  • 88. 88
  • 89. 89
  • 90. 90
  • 91. 91
  • 92. 92
  • 93. 93
  • 94. 94
  • 95. 95
  • 96. 96
  • 97. 97
  • 98. 98
  • 99. 99
  • 100. 100
  • 101. 101
  • 102. 102
  • 103. 103
  • 104. 104
  • 105. 105
  • 107. 107
  • 108. 108
  • 109. 109
  • 110. 110
  • 111. 111
  • 112. 112
  • 113. 113
  • 114. 114
  • 115. 115
  • 116. 116
  • 118. •  Chkconfig是設定係統在不同runlevel之下所 執行的服務,Chkconfig  Level     – Level  0﹕關機 – Level  1﹕單人模式 – Level  2﹕多人模式﹐沒有網路功能 – Level  3﹕完整多人模式﹐文字界面   – Level  4﹕保留   – Level  5﹕完整多人模式﹐圖形界面   – Level  6﹕重新開機 118
  • 120. 120
  • 121. 121
  • 122. 122
  • 123. 123
  • 124. 124
  • 125. 125
  • 126. 126
  • 127. 127
  • 128. 128
  • 129. 129
  • 130. 130
  • 131. 131
  • 132. 132
  • 133. 133
  • 134. 134
  • 135. 135
  • 136. 136
  • 137. 137
  • 138. 138
  • 139. 139
  • 140. 140
  • 141. 141
  • 142. 142
  • 143. 143
  • 144. 144
  • 145. 145
  • 146. 146
  • 147. 147
  • 148. 148
  • 149. 149
  • 150. 150
  • 151. 151
  • 152. 152
  • 153. 153
  • 154. 154
  • 155. Don’t    re-­‐configure  your     honeywall   155