Passwortwahl

Honeywall, das Honeynet der neuesten Generation

Praxis & Tipps | Praxis

Seite 2: Passwortwahl

Walleye zeigt, wer mit welchen Mitteln auf den Honeypot-Rechner zugreift.

Bevor man Roo in Betrieb nimmt,sollte der Administrator jedoch einige kleinere Änderungen manuell durchführen. Beispielsweise lassen sich die korrekte Zeitzone sowie das Tastaturlayout nicht durch das Konfigurationsmenü, sondern nur durch Standard-Unix-Kommandos anpassen. Erst anschließend sollte man die vorinstallierten Passwörter der beiden Benutzer "roo" und "root" von "honey" auf einen vernünftigen Wert setzen. Hat man die Passwörter nämlich vor dem Wechsel des Tastaturlayouts bereits geändert, läuft man Gefahr, auf bestimmte Sonderzeichen nur noch schwer zugreifen zu können.

Ferner sollte der Verantwortliche auch bei der Honeywall vor dem Rollout aktualisierte Pakete und Security-Patches installieren. Das komplette System ist RPM-basiert, als Update-Mechanismus steht yum ("yellowdog updater modified") zur Verfügung.Das Kommando yum update führt dabei alle notwendigen Updates GnuPG-gesichert automatisch aus, sofern die Honeywall über eine Internet-Anbindung verfügt.

Es empfiehlt sich, in jedem Fall dieses Update einzuspielen, da auf diesem Wege nicht nur überarbeitete Honeywall-, sondern insbesondere gepatchte Fedora-Pakete installiert werden (hier hat es in jüngster Zeit einige CERTAdvisories gegeben).Schließlich kann man in der crontab des root-Benutzers die folgende Zeile auskommentieren:

  • 0 1 * * * /usr/local/bin/summary.sh

Dieses Skript sendet einmal täglich eine äußerst nützliche Zusammenfassung aller verdächtigen Verbindungen und IP-Adressen an eine frei konfigurierbare E-Mail-Adresse. Offenbar waren die Entwickler bislang nicht selbstbewusst genug, es regelmäßig starten zu lassen – in der Praxis läuft es jedoch sehr stabil.

Das Kernelmodul Sebek erfasst die Tastatureingaben eines Angreifers

Eine der zahlreichen Stärken der neuen Honeywall ist die nahtlose Integration mit dem Tool Sebek. Bei Sebek handelt es sich um ein verstecktes Kernelmodul, das bestimmte Aktivitäten auf dem betreffenden Host aufzeichnen und an einen anderen Host weiterleiten kann. Sebek schreibt vor allem die Systemkommandos open, fork und socket mit und ist damit in der Lage, die Tastatureingaben eines Angreifers mitzuschneiden. Da Sebek tief im Betriebssystem operiert, funktioniert das selbst dann, wenn ein Angreifer beispielsweise von einem kompromittierten Honeypot eine SSL-geschützte Verbindung zu einem externen Host aufbauen will.

Sebek existiert aktuell in verschiedenen Linux- und BSD-Varianten, in einer älteren Version gibt es auch eine Windows-Portierung. Die Installation erfordert in jedem Fall eine (allerdings nicht sonderlich aufwendige) Neuübersetzung des Kernels: Schließlich soll das Werkzeug auch in den Fällen unerkannt bleiben, in denen ein Angreifer einen Honeypot erfolgreich angreifen und einen Netzwerk-Sniffer wie Ethereal darauf installieren konnte. Sebek ist so konzipiert, dass selbst ein Sniffer es nicht bemerkt. Andernfalls würde ein Angreifer ziemlich schnell seine virtuellen Finger von dem System lassen.

Roo ist nun seinerseits in der Lage, die Sebek-Daten beispielsweise über eine UDP-Schnittstelle zu erfassen, ebenfalls in die MySQL-Datenbank zu schreiben und mit den anderen protokollierten Daten in Verbindung zu bringen.

Anzeige