Blogger Notes

Balküpü saldırganın ilgisini çekmek yoluyla dikkati üzerine çeker ve kötü çocukları tuzağa düşürür.

Balküpleri ( honeypot ) dediğimiz bu projede sisteminizde ki servislerin benzetimini istediğiniz şekilde yapan ve istediğiniz sanal ağları oluşturup istediğiniz işletim sistemleri, MAC adresleri, ip, port , yönlendirici ekleyebilen ve bunların hangisine nasıl bir saldırı olduğunu tutan bir uygulama var. Balküpleri ikiye kategoriye ayrılırlar ve iki şekilde oluştulurlar.(Balküpleri)

Düşük Etkileşimli Sanal Balküplerinden "Honeyd" "Niels Provos" tarafından o zamanlar unix sistemler için yazılmış açık kaynak kodlu bir yazılımdır. Saldırılardan koruma amacı içermez istatistik veriler toplamanıza yardımcı olarak saldırgandan önce nereye, nasıl saldırılacağını bulmanıza yardım eder. Honeyd' nin bazı genel özelliklerine bakacak olursak;

• Gerekli TCP servislerini ve bazı UDP servislerini destekler.
• Çoklu ip adresi ataması yapar.
• Farklı işletim sistemleri özelliklerini uyumluluğu sağlar.
• Tamamiyle sanal bir ağı yönetebilir.
• Ağ trafiğini kesintiye uğratmaz...

Honeyd Sanal Honeypotlar ve Diğer Bilgisayarların Olduğu Bir Ağ

Bir ağda kurban arayan bir saldırgan ağda işine yarayacak açıkları olan bilgisayarı bulmaya çalışır. "Honeyd Computer" tarafından olşturulan "Virtual Honeypot" ların herbirinin ipsi 192.168.2.10x gibi devam etsin. Bu IP ler dışında bilgisayarlar ilgisini çekmeyince sanal balküplerinde çalışıyormuş gibi görünen Windows XP SP2 deki Açık Telnetten girmeye çalıştığında. karşısına istediğimiz bir yönlendirme yaparak (mesela kendi telneti yönlendirmek gibi...) ya da kendi oluşturduğumuz bir betikle istediğimiz herşeyi yapabiliriz, boyle bi saldırgandan yeterince bilgi toplamak için o açık olan servisi mümkün olduğu kadar gerçeğine benzer olması lazım. Bu arada "Honeyd Computer" ise bu olan bitenleri ayrıntısına kadar sizin için günlükler.

CREATE windows SET windows PERSONALITY "Windows XP Professional SP2" SET windows UPTIME 102022 ADD windows TCP PORT 23 PROXY $ipsrc:23 SET windows DEFAULT TCP ACTION RESET CREATE solaris SET solaris PERSONALITY "Solaris " ADD solaris TCP PORT 22 "scripts/ssh.pl" SET 192.168.2.102 PERSONALITY "Windows XP Professional SP2" SET 192.168.2.101 PERSONALITY "Solaris"

Bir Yapılandırma Dosyasına istediğiniz bir sanal ağı yaratırsınız bu sanal ağda yönlendirici markalarını, her IP e karşılık gelen işletim sistemlerin parmak izlerini, MAC adreslerini, istediğiniz portları açma ve bu portlara gelen isteklere nasıl cevap verilebileceğini ya da cevap vermeyeceğinizi ayarlarsınız. Resimde bulunan sanal honeypotlar için yapılandırma dosyasının bir kısmı yukarıdadır. Bu yapılandırma dosyası rahat okunabilir özellikte olmakla beraber her bir sistem CREATE ile oluşturulur ve değerler SET ve ADD ile eklenir.

'windows' adı ile oluşturduğumuz sistemin saldırgan tarafından ağın tarandığında işletim sistemi adı "Windows XP Professional SP2" , çalışma zamanın 102022 saniye olduğunu, telnetine giriş yapıldığında saldırganın kendi telnetine yönlendirildiğini ve diğer TCP portlarının hepsinin RESET olarak atandığını ve sadece telnetin açık olduğunu anlatır.'solaris' olarak tanımlanan sanal honeypotta da SSH servisine bağlanıldığında daha önce yazılmış perl betiğinin çalıştırılacağını gösteriyor. Son olarakta bu honeypotlara birer IP atanmaktadır.

( ULUSAL AKADEMİK AĞ ve BİLGİ MERKEZİ – Computer Security Incident Response Team ) bu konu hakkında topladığı ekiple istatistikler topluyor ve geliştirmeler yapıyor.(bknz)

Kaynaklar;

http://www.ulakbim.gov.tr/dokumanlar/gokova/honeyd.pdf

seridarus.blogspot.com honeypot sunumu

http://www.citi.umich.edu/u/provos/papers/honeyd/mgp00001.html

www.tracking-hackers.com
www.honeyd.org
www.honeypot.net
honeyd.pdf