more from http://it-slideshares.blogspot.com and japanese-zen-garden.blogspot.com

1. HONEYPOTS GVHD: TS. PhạmVănTính ThựcHiện: HuỳnhCôngTân NguyễnHữuTình TrầnNgọcSơn Lê Minh Vương

2. Nội Dung BáoCáo TổngquanHoneypots Honeypottươngtácthấp(honeyd) Honeypottươngtáccao(honeynet) Ưu nhượcđiểmHoneypots

3. 1. TổngquanHoneypots 1.1 Honeypotslàgì? 1.2 VắntắtlịchsửHoneypots 1.3 Phânloại

4. 1.1 Honeypotslàgì? Honeypotslàmộthệthốngtàinguyênthông tin đượcxâydựngvớimụcđíchgiảdạngđánhlừanhữngkẻsửdụngvàxâmnhậpkhônghợppháp, thuhútsựchú ý củachúng, ngănchặntiếpxúcvớihệthốngthật. Honeypotcóthểgiảdạngbấtcứloạimáychủtàinguyênnàonhư : Mail Server, DNS, Web server, …. Honeypotlàmộthệthốngtàinguyênkhôngcógiátrị. Đượcsửdụngđểgiámsát, pháthiệnvàphântíchcáccuộctấncông

6. 1997 - Deception Toolkit

7. 1998 - CyberCop Sting

8. 1998 - NetFacade (and Snort)

9. 1998 - BackOfficer Friendly

10. 1999 - Honeynet Project

11. 2001 - Gen II Honeynets

12. 2002 - Honeynet Research Alliance

13. 2003 - Snort-inline Sebek

14. 2004 - HoneywallRoo

16. High

17. Low

18. Middle?

19. Hiệnthực

20. Virtual

21. Physical

22. Mụcđích

23. Production

25. 1.3.1 Level of Interaction Low Fake Daemon Operating system Medium Disk High Other local resource

27. Physical

28. Máythật

29. IP

30. Thườngtươngtáccao

31. Virtual

32. Giảlậpmộtmáykhác:

35. Giữchânkẻxấu

36. Pháthiện

37. Pháthiệnkẻtấncông

39. Phântíchvàpháttriểnnhữngkỹthuật

41. Keystrokes

42. Syslog

43. Network based:

44. Firewall

46. Phảnứng

47. Phântíchdữliệu

49. KF Sensor

50. Patriot Box

51. Specter

53. BackOfficer Friendly BackOrifice: Là một loại Trojan khi được cài đặt vào máy nạn nhân (chỉ trên những hệ thống Window 95 hoặc Window 98) và nằm ẩn bên trong hệ thống và cho phép các Attacker có thể thực hiện hành vi tấn công của mình như: theo dõi tất cả hành động của nạn nhân trên hệ thống của mình mà các nạn nhân không hề biết. Chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP… BackOfficer Friendly Nhiệm vụ chính của BOF là khả năng phát hiện và cảnh báo những tấn công từ bên ngoài đe dọa trên hệ thống nạn nhân nào đó

55. Nếu xuất hiện một tấn công nào với port khác với bảy port trên thì BOF không thể phát huy khả năng của mình

57. Nó chứa nhiều các tính năng riêng biệt như có khả năng quản lý từ xa, các mẫu signature tương thích với Snort, mô phỏng được hầu hết các dịch vụ mạng của Window.

59. Hạn chế của honeypot KFSensor: Giống như các honeypot tương tác thấp khác, KFSensor không cung cấp một hệ điểu hành thật để cho kẻ tấn công có thể tương tác, vì thế sẽ hạn chế lượng thông tin thu được từ những cuộc tấn công và chính vì điểm yếu đó sẽ làm cho Honeypot sẽ dễ dàng bị phát hiện. KFSensor chỉ mô phỏng được những dịch vụ chưa chạy trên hệ thống .

60. Specter Là một loại HoneyPot dùng trong mục đích thương mại và được phát triển bởi NetSec hoạt động tương tự như BackOffice Friendly, nhưng Specter rộng hơn về số lượng dịch vụ quan sát và khả năng mô phỏng dịch vụ

61. Specter Specter định ra bảy loại traps trong tổng số 14 dịch vụ mô phỏng, chủ yếu là định ra danh sách port lắng nghe trên từng loại dịch vụ, trong đó có 1 trap có thể tùy biến port lắng nghe. Hạn chế : Specter không có khả năng theo dõi trên bất cứ loại dịch vụ nào đang chạy trên hệ điều hành thật

63. Honeyd là một chương trình nền nhỏ có rất nhiều tính năng nổi trội.

64. Honeyd giả lập các máy ảo trong một mạng máy tính.

66. Hỗ trợ nhiều loại dịch vụ khác nhau;

67. Mô phỏng nhiều mô hình mạng khác nhau;

71. Create special routes;

72. Proxy ARP;

76. Một số honeypot có thể cấu hình như là router

77. Cấu hình các thông số của mạng như độ trễ, tỉ lệ thất thoát và băng thông

79. Simulation Results of Anti-Worm

80. 3. Honeypottươngtáccao(Honeynet)

81. What is a Honeynet Honeypot tương tácmứccaothiếtkếđể : Thu thậpthông tin ở mứcsâu. Họcnguờimàsửdụnghệthốngcủabạnvớikhôngcóquyềncủabạn. Nólà 1 kiếntrúc, khônglàmộtsảnphẩm hay phầnmềm. Phổbiếnvớicáchệthốngthực. Vậy : Honeynetlàmộtmạngcáchoneypot tương tácmứccaogiốngnhưmộtmạngthựcsựtrongthựctếvàđược cấuhìnhsaochotấtcảcáchoạtđộng được giámsátvàghinhận.

82. What is a Honeynet Mộtkhiđãbịtấncông, dữliệuthuthậpđược từhoneynetsửdụngđểhọcnhữngcôngcụ, chiến lược vàđộng cơcủacộngđồngblackhat. Thông tin thuthậpcónhữnggiátrịkhácnhauđốivớinhữngtổchứckhácnhau. Họcnhữnglỗimàcóthểtấncônghệthống. Triểnkhaikếhoạchphảnhồi. Honeynetđược ápdụngtheo 2 hướng. Mụcđíchnghiêncứu. Bảovệhệthốngthật.

83. What’s The Difference? Honeypotssửdụngnhữnglỗiđãbiếtđểthuhúttấncông. Cấuhìnhmộthệthốngriêngvớinhữngphầnmềmđặc biệt hay nhữngphầnmềmgiảlậphệthống. Muốnchủđộng tìmkiếmngườimàtấncônghệthống. Honeynetslànhữngmạngmởđểtấncông. Thôngthườngsửdụngtiếntrìnhcàiđặt mặcđịnhcủaphầnmềmhệthống. Ở Đằngsau tường lửa.

84. How it works Mộtmạngđược giámsátvớimứcđộkhácao. Mỗigói tin đivào hay rờihệthốngđềuđược giámsát, thuthậpvàphântích. Bấtkì traffic đivào hay rahệthốnghoneynetđều nằmtrongphạm vi nghingờ.

85. Diagram of Honeynet

86. Diagram of Honeynet

87. Data Control

89. Dựatrên 2 cơchế :

90. Giớihạnsố lượng kếtnốirabênngoài.

91. Lọcgói tin độchại

92. Loạibỏgói tin

94. Data Capture Yêucầuđốivới module thunhậndữliệu Thu nhậncàngnhiềudữliệucàngtốt. Đảmbảotínhsẵnsàng. Chedấuđốivới hacker. Dựatrênyêucầutrên cơchếthunhậndữliệutronghoneynetbaogồm 3 tầng. Thu nhậntừ tường lửa Thu nhậntừluồngmạng. Thu nhậndữliệutừhoạtđộnghoneypottronghệthống.

95. Data Analysis Hỗtrợphântíchdữliệuthunhậnđược nhằmđưa ra : kỹthuật , côngcụvàmụcđíchcủakẻtấncông. Từđóđưa rachonguờiquảntrịđưa racácbiệnphápphòngchống.

96. Honeynet – Gen I

97. Honeynet – Gen II

98. Honeynet – Gen III Honeynetthếhệcảitiếnbằngtriểnkhaivàquảnlý. Mộtthayđổi cơbảntrongkiếntrúclàsửdụngmộtthiêtbịđơn lẽđiềukhiểnviệckiểmsoátdữliệuvàthunhậndữliệuđược gọilàhoneywall . Sựthayđổitronghoneywallchủyếu ở module kiểmsoátdữliệu . Nhữngsựthayđổiđókhiếnhoneynetthếhệ 2 và 3 trởnênkhóbịkẻtấncôngpháthiện hay in dấuchân.

101. Lượng tài nguyên phân tích thấp.

102. Khái niệm đơn giản, có nhiều cách thức hiện thực.

103. Tính hiệu quả cao.

105. Để lại dấu vết ( footprinting).

106. Gây ra rủi ro lớn khi:

107. Bị phát hiện.

109. Honeypot nào cũng có khả năng tự phát hiện.

110. Sữa đổi những giải pháp không an toàn

111. Khắc phục footprinting.

113. Honeypot chỉ là một công cụ linh hoạt tăng cường tính bảo mật của hệ thống.

114. Ý nghĩa chính của nó là nhận dạng và thu nhập thông tin của các cuộc tân công.

115. Honeypot chỉ đang ở những bước đầu.