無線蜜罐的技巧Wireless Honeypot Trickery
翻譯者:san
作者:Laurent Oudot
最近幾年�,無線技術迅猛發展��,現在無論在公司還是家庭都在廣泛使用�。人們已經對那些技術產生了很大的依靠性���,以至于無線設備隨處可見,從網絡設備到筆記本電腦、照相機等等�����。
雖然這些設備支持標準的安全選項和協議來對付普通攻擊(加密、驗證等)�,但是由于真實使用的安全等級以及攻擊者把握的技術水平���,所以這些設備還是可能受到攻擊�����。有時����,黑帽子發現公司無線網絡非常脆弱甚至沒有安全性����,他們能夠以此為撕破口�,進一步滲透到內部的機器來竊取信息或者作為跳板攻擊Internet上其它機器以隱藏自己的蹤跡。這些威脅可以穿越外部物理屏障(比如來自停車場���,公司下的街道���、窗口)或者就在你的內部環境,因為攻擊者使用手持PDA或筆記本電腦��,加上無線網卡和掃描軟件就可以發現網絡�。
這篇文章主要介紹無線環境(WiFi相關技術)下蜜罐的建設以及對付黑帽子群體的策略。
1.0 無線密碼的介紹
Internet上有大量關于無線技術�、無線威脅���、無線安全和蜜罐技術的優秀資源�����,本文不再覆蓋相關細節�����,主要關注核心主題:無線蜜罐。我們假設閱讀此文的讀者有無線網絡�、無線安全以及蜜罐方面相關的知識���。
首先我們會介紹一下什么是無線蜜罐,然后將通過兩個簡單的技術樣例來具體介紹它的原理以及如何設計構建�����。在結束前,我們將介紹這種架構的一些局限性�。 2.0 定義
Honeynet項目的領導者Lance Spitzner對蜜罐的定義是這樣的:“蜜罐是一種用來引誘未經驗證或非法訪問的信息系統資源�����?���!盵參考1]
所以無線蜜罐就可以簡單的認為是等待攻擊者或惡意用戶訪問的無線資源��。 3.0 目的
為什么我們要使用無線蜜罐?這取決于你的網絡和對安全的需要。當你使用無線蜜罐后��,你會對它產生的好處感愛好的����。在黑帽子團體里���,有很多人喜歡攻擊無線網絡���,因為對無線網絡的攻擊有如下幾個特點: - 安全:在攻擊的時候無需實際的物理連接��,可以保持較遠的距離,所以被發現的時候可以跑開;
- 簡單:現在到處都有大量開放或者不安全的AP(酒店、機場�、公共區域無線服務點�����,還有SOHO無線網絡等)。這種設備越來越便宜����,而且數量越來越多;
- 技術新:無線網絡的攻擊比較有吸引力和挑戰性����;
- 隱蔽:對于黑客和網絡恐怖分子來說���,無線網絡是一個理想的作案平臺����。隨機使用開放AP連接網絡���,增加了攻擊的隱蔽性���,被捉獲的可能性很小。
但是很多治理員經常認為���,針對無線的攻擊使得攻擊者在位置上必須靠近網絡設備���,所以無線攻擊的危險性要小于Internet的攻擊。而且他們堅信這些攻擊很少發生。但是對許多公司來說�,無線網絡被攻破帶來的后果是非常嚴重的��。
無線蜜罐可以幫助你的網絡得到受攻擊的真實統計數據�����,包括攻擊頻率�、攻擊者的技術水平����、攻擊得手次數以及使用的方法。無線蜜罐同樣可以保護你的網絡��,因為它的迷惑性使得攻擊者花費大量精力對付偽造的目標����,而且不易發現你網絡的真實構架。4.0 理論與實踐
怎樣在無線環境里愚弄那些壞小子呢�?要回答這個問題��,你得思考你需要解決哪些威脅,然后制定實施計劃�。 4.1 無線活動性
首先,攻擊者會試圖掃描或監聽無線網絡��,所以你可以發送偽造的數據包讓攻擊者認為你這兒有一個無線網絡(看后面FakeAP)。配置偽裝的無線資源是一件很有趣的事情�����,非凡是模擬蜜罐的數據傳輸。但是目前可以自動或者輕易使用的這方面公開的工具還很少����,不過我們可以使用以下的腳本來模擬AP和它的客戶端之間的網絡會話,也可以用tcPReplay來發送已經記錄下來的數據包�����。
法國的Honeynet項目有時使用Perl腳本來對一些隨機的會話和命令進行對話����。來自ENSEIRB的學生在對UML和蜜罐進行一些研究后����,在2003年6月的法國SSTIC會議上提出這個想法�。[參考2] 下面的兩個腳本提供了自動進行會話和執行命令的功能,可以用來模擬無線數據傳輸:
#!/usr/bin/perl
# initiated by Micha?l HERVIEUX, Thomas MEURISSE
# example of script to simulate an automatic FTP session
# feel free to modify it and add random activity
# launch it from your clients (use cron, etc)
use Net::FTP;
$ftp = Net::FTP->new("192.168.16.98");
if ($ftp == NULL)
{
print "Could not connect to server./n";
exit(9);
}
if ($ftp->login("barbu1", "StEugede"))
{
$ftp->cwd("/home/rpm/");
$ftp->get("Readme.1st");
$ftp->quit();
}
else
{
print "Could not login./n";
exit(7);
}
#!/usr/bin/perl
# initiated by Micha?l HERVIEUX, Thomas MEURISSE
# example of script to simulate an automatic SSH session
# feel free to modify it and add random activity
# launch it from your clients (use cron, etc)
use Net::SSH::Perl;
my $ssh = Net::SSH::Perl->new("192.168.16.98",protocol => 2);
$ssh->login("misc","m4gRul3Z");
$ssh->cmd("who");
$ssh->cmd("uname -a");
# ?相比有線網絡,對于保持蜜罐活動性來說無線網絡模擬數據傳輸非常重要����,因為攻擊者往往需要看到有數據傳輸才可以實施他們的攻擊。繞過802.1X����,繞過MAC地址過濾�����,破解WEP密鑰��,看見信標�����,看見了客戶端連接數據楨里的SSID�����,而這一切必須有數據傳輸才能進行分析����。
4.2 無線構架
首先���,你起碼有一個設備來提供無線接入。假如你選擇真實的AP���,那么把它安全的接入一個有線網絡(至少有一臺電腦)�����,這個偽造的網絡必須有一些可見的資源來吸引攻擊者,還有一些不可見的資源來記錄數據和檢測入侵(捕捉數據)���。為了監視2層無線的攻擊,必須有一個不可見的處于Monitor模式的無線客戶端來捕捉數據�,Kismet軟件可以實現這個目的。下面的圖1展示了一個架構的樣例:
圖1:WiFi蜜罐架構樣例
假如你想給蜜罐網絡提供Internet接入����,那么需要增強你網絡的真實性和可交互性�����,而且必須要非常小心并且使用一些入侵防范系統(IPS)過濾對外的網絡傳輸以防止對外的攻擊�。Honeynet項目的snort-inline就是一個不錯的工具�����。一般情況����,大家還是不愿意給無線蜜罐提供有效的Internet連接�,因為這樣實在有些危險��。然而接入Internet使得我們對黑帽子的行為有更多的了解:他們在哪兒試圖進入Internet?他們是怎樣試圖進入Internet的�����? 舉個例子�,比如你配置的網絡只答應DNS可以自由傳輸����,而其它服務都是需要驗證的�����,那么你可能捕捉到攻擊者試圖通過DNS數據封裝訪問到Internet的技巧和工具���。這些工具會暴露他們通過無需驗證的隧道會話自由訪問Internet而使用的服務器(比如Nstxd服務器)的遠程IP,這最終會成為我們控告他們的證據��。假如黑帽子擔心這些風險,那么他們在實施非法行動的時候會有所顧忌�����,從而使得無線犯罪攻擊有所減少��。在這種構架上�,無線客戶端的布置是另外一個重要的選項。通常���,大家配置的蜜罐都傾向于服務器����,但是客戶端可以更真實或監視某種特定的攻擊�����。比如在無線環境里���,客戶端不但能夠模擬無線數據傳還可以監視和探測二層攻擊。實際上��,一些攻擊者通過監聽無線網絡數據傳輸來識別存在的客戶端����,有時這些客戶端由于沒有很好的配置并且保護的很糟糕(比如家庭和公司里使用的筆記本電腦)�����,它們就是攻擊者垂涎的目標�����。比如�����,攻擊者使用自己惡意AP發送比其無線環境里正常使用AP更強的無線信號�����,那么這個客戶端可能會自動的連接到攻擊者的惡意AP,攻擊者就可以對它下黑手了:比如中間人攻擊�����、拒絕服務�����、散播新蠕蟲等等��。
有一個簡單的解決方案,把無線網卡設置成Master模式就可以模擬AP����,這樣只用一臺機器就可以把蜜罐系統搭建起來�,這種方式便宜而且輕易治理。假如它沒有連接到你的實際網絡����,那么即使蜜罐被攻破也不會有什么危險。而且蜜罐的交互性非常輕易調整����。如下圖,有無線網卡的電腦使用Honeyd就可以方便的配置成一個蜜罐�。
圖2:簡單的使用Master模式和Honeyd的無線客戶端
另外一種可能的方法是直接修改無線AP��,把它改造成一個蜜罐�����。這是一件非常有趣而且稍有難度的事情�,Linksys的WRT54G非常便宜��,而且它的源碼以GPL協議公開��,這樣你可以修改并重建固件�����,使得AP達到自己的要求�����。對于Honeyd只需做少量的修改�,并且編譯成MIPS二進制使得可以在AP(運行linux 2.4.5)上運行���,這樣就建立了一個非常古怪內置無線的蜜罐。也許不久就會出現類似的商業無線蜜罐�����。
圖3:修改過固件和內置Honeyd的AP
有利即有弊�����,這種方式的AP也有可能被壞蛋利用�����,經過定制后被動的等待那些無線驗證的無線客戶端,并且反擊它們����。假如你對惡意蜜罐感愛好,你可以參加由Dragos Ruiu組織的下屆CanSecWest會議��。5.0 應用實例
下面將介紹兩種簡單的無線蜜罐構建例子�����。
5.1 Honeyd
模擬一個有無線接入的網絡
假如你關注過聞名工具Honeyd作者Niels Provos的一些工作���,你將會找到一個用于無線蜜罐構架下偽裝Internet路由拓撲的配置樣例[參考4]。這個簡單的配置展示了在無線環境下如何方便的模擬一個大型網絡�����。這種構架在一個叫做Libre Software Meeting 2003的會議上被使用過。這種構架會讓外面的攻擊者認為他發現了一個大型網絡�����,當他意識到什么也不是的時候會浪費數小時����。
模擬無線AP
Honeyd另外一個非常有趣的功能是可以非常簡單創建偽造服務并且可以偽造TCP/IP協議棧,從而愚弄nmap或XProbe等遠程指紋識別工具����。比如�����,使用精心挑選的治理AP的web頁面來模擬AP�,這樣就可以監視攻擊者試圖訪問治理接口而使用的一些口令�����,或者可能發現攻擊者在試圖連接其它開放的服務(比如SNMP�、DNS���、DHCP���、TFTP等)來進行攻擊。 下面的例子是一個無線網卡設置成Master模式并且運行Honeyd的筆記本電腦的測試方法�����。假設你想模擬成有Web服務器進行治理的Linksys WRT54 AP�����,要讓Honeyd模擬這個棧和Web服務器����,只需運行下面的腳本:
create linksys
set linksys personality " Linux Kernel 2.4.0 - 2.5.20"
add linksys tcp port 80 "/bin/sh scripts/fakelinksys.sh"
add linksys udp open 53 open
add linksys udp open 67 open
add linksys udp open 69 open
set linksys tcp action reset
bind 192.168.1.1 linksys遠程攻擊者使用工具nmap(-O檢查系統指紋)將會看到如下的信息:
Remote Operating system guess: Linux Kernel 2.4.0 - 2.5.20
為了模擬Linksys的Web治理接口,Honeyd需要使用fakelinksys.sh腳本來處理Web請求��。fakelinksys.sh腳本如下:
#!/bin/sh
DATE=`date`
echo "== Httpd break-in attempt [$DATE] ==" >> /tmp/linksys.log
while read request
do
LINE=`echo "$request" egrep -i "[a-z:]"`
if [ -z "$LINE" ]
then
break
fi
echo "$request" >> /tmp/linksys.log
done
echo "==" >> /tmp/linksys.log
cat << _eof_
HTTP/1.0 401 Unauthorized
Server: httpd
Date: $DATE
WWW-Authenticate: Basic realm="WRT54G"
Content-Type: text/Html
Connection: close
<HTML><HEAD><TITLE>401 Unauthorized</TITLE></HEAD>
<BODY BGCOLOR="#cc9999"><H4>401 Unauthorized</H4>
Authorization required.
</BODY></HTML>
_eof_
這種構架你可能可以看到攻擊者會不斷嘗試默認口令(linksys/admin)��,他們還以為自己在攻擊一個真實的設備呢����。5.2 FakeAP
在無線的世界里�����,大家對于無線掃描和無線監聽稱之為戰爭駕駛(wardriving)或者戰爭漫步(warwalking)�。戰爭駕駛一般是試圖發現開發的網絡。迷惑這種潛在的攻擊者最好的方法是模擬許多偽造網絡���,它們將會浪費攻擊者的時間甚至失去耐心。對付一個網絡相對輕易�����,但是對付一堆迷惑的目標可能就不是那么輕易了����。
在Defcon X會議上�����,Black Alchemy以GPL協議發布了一個免費工具叫FakeAP[參考5]�����,這個工具可以實現我們上述目的����。它可以發送指定的無線網絡數據以愚弄那些菜鳥攻擊者����。當有人在進行戰爭駕駛的時候,FakeAP可以發送大量的802.11b信標數據幀����,并且在BSSID(MAC)、ESSID����、分配的信道等字段做手腳,這時遠程攻擊者被動監聽數據包將會發現成千上萬的偽造AP�����。這種方法使用工具也可以輕易實現���,比如在Linux下可以用:iwconfig eth1 ESSID RandomSSID channel N...來手工實現�����。不過現在有些新工具能夠監測到這些不正常的AP����,因為這些被發現的網絡沒有數據傳輸��。圖4顯示了NetStumbler掃描到一個蜜罐的情況:
圖4:NetStumbler掃描到一個FakeAP的蜜罐 6.0 局限性
假如你想布置蜜罐以愚弄攻擊者��,你必須模擬的更真實�。有些黑帽子認為蜜罐沒有什么可以害怕的��,因為他們覺得自己比蜜罐的建造者技術更高����,甚至發布了如何識別蜜罐的文章[參考7���、8]。在這種公開的游戲里��,道高一尺魔高一丈的較量,使得蜜罐技術也不斷發展��,它的隱蔽性也不斷增強。
無線蜜罐和傳統蜜罐一樣存在隱蔽性的問題�,另外無線環境還會帶來其相關的問題����。不過有個簡單的游戲規則要記住,有經驗的攻擊者對“漏洞百出”的網絡也是心存顧忌的:- 你模擬的越真實�����,留下可攻擊的漏洞越少��,那么你越可能捉住有經驗的攻擊者(但是這種情況入侵發生的幾率會很少)
- 你的隱蔽性做的越差��,留下的破綻越多�,你看到成功的攻擊就越多(但是大部分會是沒有經驗的攻擊者)
因此�����,你可以根據自己實際要求來確定是否使用下面選項建立無線蜜罐:
- 信標傳播;
- WEP(用40位密鑰或128位密鑰�,實際是104位。這樣使得攻擊者破解難度不同)�;
- MAC過濾;
- 802.1X驗證���;
- 客戶端和AP之間的無線傳輸�����;
- 無線客戶端自動連接模式打開�����;
- 使用各種已知標準的無線網絡(802.11b、802.11g�、802.11a?)����。
7.0 結論
我們沒法在一個文檔里對無線攻擊的經驗和技術介紹的面面俱到,這個文檔只是幫助你如何建立自己的無線蜜罐�。這種新的安全資源可以方便的對無線入侵進行有效監視,并且可以知道黑帽子是如何攻擊得手的以及他們使用的相關工具����。不管他們是公司的攻擊者、帶寬的偷竊者或者是網絡恐怖分子���,他們都將被發現。
結束前�����,我們將介紹一個聞名的無線蜜罐布置真實案例:科學應用國際公司(SAIC)在華盛頓地區建立了第一個大型的無線蜜罐用來捕捉WiFi黑客[參考6]�����,下面圖5顯示了布置地圖:
(圖片較大�,請拉動滾動條觀看)
圖5:SAIC在華盛頓地區布置的無線蜜罐
參考資料
- [Lance Spitzner's web site : http://www.trackinghackers.com ]
- [Hervieux and Meurisse, Symposium Sécurité des Technologies de l'Information et des Communications, SSTIC 2003, Rennes, France, UML as a Honeypot, http://www.sstic.org/SSTIC03/resumes03.shtml#UML and http://www.sstic.org/SSTIC03/presentations/Honeypots_UML___M._Hervieux_T._Meurisse/ ]
- [CanSecWest 2004, Towards Evil Honeypots, when they bite back http://www.cansecwest.com ]
- [Honeyd project, by Niels Provos : wireless honeypots examples at http://honeyd.org/config/wireless and at http://honeyd.org/configuration.php ]
- [FakeAP tool, by BlackAlchemy : http://www.blackalchemy.to/project/fakeap/ ]
- [Wi-Fi Honeypots a New Hacker Trap, by Kevin Poulsen, http://www.securityfocus.com/news/552 ]
- [Local Honeypot Identification, by Joseph Corey, http://www.phrack.org/fakes/p62/p62-0x07.txt ]
- [Advanced Honey Pot Identification, by Joseph Corey, http://www.phrack.org/fakes/p63/p63-0x09.txt ]
