Balküpü saldırganın ilgisini çekmek yoluyla dikkati üzerine çeker ve kötü çocukları tuzağa düşürür.
Balküpleri ( honeypot ) dediğimiz bu projede sisteminizde ki servislerin benzetimini istediğiniz şekilde yapan ve istediğiniz sanal ağları oluşturup istediğiniz işletim sistemleri, MAC adresleri, ip, port , yönlendirici ekleyebilen ve bunların hangisine nasıl bir saldırı olduğunu tutan bir uygulama var. Balküpleri ikiye kategoriye ayrılırlar ve iki şekilde oluştulurlar.(Balküpleri)
Düşük Etkileşimli Sanal Balküplerinden "Honeyd" "Niels Provos" tarafından o zamanlar unix sistemler için yazılmış açık kaynak kodlu bir yazılımdır. Saldırılardan koruma amacı içermez istatistik veriler toplamanıza yardımcı olarak saldırgandan önce nereye, nasıl saldırılacağını bulmanıza yardım eder. Honeyd' nin bazı genel özelliklerine bakacak olursak;
- Gerekli TCP servislerini ve bazı UDP servislerini destekler.
- Çoklu ip adresi ataması yapar.
- Farklı işletim sistemleri özelliklerini uyumluluğu sağlar.
- Tamamiyle sanal bir ağı yönetebilir.
- Ağ trafiğini kesintiye uğratmaz...
Honeyd Sanal Honeypotlar ve Diğer Bilgisayarların Olduğu Bir Ağ
Bir ağda kurban arayan bir saldırgan ağda işine yarayacak açıkları olan bilgisayarı bulmaya çalışır. "Honeyd Computer" tarafından olşturulan "Virtual Honeypot" ların herbirinin ipsi 192.168.2.10x gibi devam etsin. Bu IP ler dışında bilgisayarlar ilgisini çekmeyince sanal balküplerinde çalışıyormuş gibi görünen Windows XP SP2 deki Açık Telnetten girmeye çalıştığında. karşısına istediğimiz bir yönlendirme yaparak (mesela kendi telneti yönlendirmek gibi...) ya da kendi oluşturduğumuz bir betikle istediğimiz herşeyi yapabiliriz, boyle bi saldırgandan yeterince bilgi toplamak için o açık olan servisi mümkün olduğu kadar gerçeğine benzer olması lazım. Bu arada "Honeyd Computer" ise bu olan bitenleri ayrıntısına kadar sizin için günlükler.
Bir Yapılandırma Dosyasına istediğiniz bir sanal ağı yaratırsınız bu sanal ağda yönlendirici markalarını, her IP e karşılık gelen işletim sistemlerin parmak izlerini, MAC adreslerini, istediğiniz portları açma ve bu portlara gelen isteklere nasıl cevap verilebileceğini ya da cevap vermeyeceğinizi ayarlarsınız. Resimde bulunan sanal honeypotlar için yapılandırma dosyasının bir kısmı yukarıdadır. Bu yapılandırma dosyası rahat okunabilir özellikte olmakla beraber her bir sistem CREATE ile oluşturulur ve değerler SET ve ADD ile eklenir.
'windows' adı ile oluşturduğumuz sistemin saldırgan tarafından ağın tarandığında işletim sistemi adı "Windows XP Professional SP2" , çalışma zamanın 102022 saniye olduğunu, telnetine giriş yapıldığında saldırganın kendi telnetine yönlendirildiğini ve diğer TCP portlarının hepsinin RESET olarak atandığını ve sadece telnetin açık olduğunu anlatır.'solaris' olarak tanımlanan sanal honeypotta da SSH servisine bağlanıldığında daha önce yazılmış perl betiğinin çalıştırılacağını gösteriyor. Son olarakta bu honeypotlara birer IP atanmaktadır.
Neredeyse her ülkede güvenlik için honeypot ekipleri oluşmuş. Türkiye' de ise ULAK-CSIRT( ULUSAL AKADEMİK AĞ ve BİLGİ MERKEZİ – Computer Security Incident Response Team ) bu konu hakkında topladığı ekiple istatistikler topluyor ve geliştirmeler yapıyor.(bknz)
Kaynaklar;
http://www.ulakbim.gov.tr/dokumanlar/gokova/honeyd.pdf
seridarus.blogspot.com honeypot sunumu
http://www.citi.umich.edu/u/provos/papers/honeyd/mgp00001.html
www.tracking-hackers.com
www.honeyd.org
www.honeypot.net
honeyd.pdf
6 yorum :
Merhabalar, ben bilgisayar mühendisliği öğrencisiyim.Yazınızı okudum. Güvenlikle alakalı bir dersimizde honeypot uygulaması geliştirmek için ödev verildi. Bu uygulama nasıl geliştirilir hangi platformda çalışılır biraz daha ayrıntılı bilgi verebilirseniz çok memnun olurum. iyi çalışmalar...
Blog için pek zaman ayıramıyorum, daha ayrıntılı bilgi olarak neler istiyorsan ne sormak istiyorsan twitter hesabından ya da mail adresini yoruma bırakırsan sana yardımcı olabilirim.
Çok teşekkürler. İlkkez böyle bir uygulama üzerinde çalışacağım. Hemen hemen hiç bişey bilmiyorum denebilir. En azından nereden nasıl başlamalıyım yardımcı olursanız çok sevinirim.
Biz serdar arkadaşımla beraber başlamıştık kendisi şu an Ulakbim de çalışıyor ve Ulakbim de kendi honeypot yazılımını geliştiriyordu diye biliyorum. Ondanda yardım alabilirsin ben kendisiyle konuştum.
Biz bu işe Linux dağıtımı olan Pardus üzerinde başladık bir honeypot yazılımı olan honeyd kullanmıştık daha sonra öğrendikki honeyd, diğer honeypot yazılımlarına göre daha zormuş. Bizim kaynaklarımız honeyd üzerine yazılmış kısıtlı şeylerdi bunlarda verdiğim bağlantılar.
Honeyd 'c' kodu ile yazılmış bir uygulama olduğundan kod okumasına ihtiyacın olacak ama bu konuda çoğu metodun ne işe yaradığını yazdığımız belgeleri bulabilirsem işine yarayacak olursa sana iletirim.Eğer sen bir honeypot yazılımına ek uygulama eklenti ya da script yazacaksan sadece kurup işleyişini öğrensen yeter.
Bunun dışında yeni bir honeypot uygulaması yapacak olucaksan (bu en azından bitirme projesi olması gerek) basit düzeyde de olsa yeniden yazılacak bir honeypot için daha ayrıntılı şeyler öğrenmen gerek (ip,tcp,udp ... protokol paket yapıları,socket bağlantı yapısı ile gönderimi alma, ethernet kartını dinleme...)
bunlarla ilgili çalıştığımız dosyalar,belgeler ve kodlar senin neyin ne olduğunu kavramanda işini hızlandırabilir bunları toplayabilirsem işine yarayabilir.
Bu proje ile ilgili çok heyecanlı bir şekilde çalıştığımız ve kaynak yetersizliğinden dolayı çok sıkıntı çektiğimizden dolayı her konuda elimden geldiğince yardım ederiz.
Kolay Gelsin...
İlgilendiğiniz için çok teşekkürler. Uzun zamandır bakamıyordum. Ben bir tane örnek indirdim ama çalışma mantığını hiç anlamadım. İsmi 'valhala honeypot' idi. Çalışırken napıyor, ekrana getirdiği bilgiler ne anlama geliyor açıkçası anlayamadım. Şimdlik çalışma mantığını anlamaya çalışsam daha iyi olacak galiba ama bunu nasıl anlayacağımı bilemiyorum. İyi çalışmalar...
Valhala Honeypot'u kullanmamıştım. ama izlediğim şu vidyo ile
http://www.youtube.com/watch?v=pDWRHIEJwo4
gördüğüm kadarıyla yazıların çıktığı o ekranda dışardan bağlantıların yapıldığı logları gösteriyor.
Onun dışında bütün honeypotların mantığı zaten aynı kendi bilgisayarın üzerinden sanal sistemler oluşturmak. Valhala üzerinde istediğin ethernet adresi, istediğin ip ve istediğin işletim sistemi özelliğiyle sanal sistemler oluşturabilirsin dökümanı baya iyi galiba kolay gelsin.
Yorum Gönder