Analyse von Angriffen in IPv6-Netzwerken mit Hyhoneydv6 · Sven Schindler, Bettina Schnor, Simon...

Analyse von Angriffen in IPv6-Netzwerken mit Hyhoneydv6

Sven Schindler

Universität PotsdamInstitut für Informatik

Professur Betriebssysteme und Verteilte Systeme

Berlin, den 21. März 2017

Gliederung

1 Einleitung

2 Honeydv6: ein low-interaction IPv6-Honeypot

3 Hyhoneydv6: ein hybrider Honeypot für IPv6 Netzwerke

4 Zusammenfassung

Sven Schindler Hyhoneydv6 Folie 2 von 33

Einleitung

About


Einleitung

Weltweiter Anstieg von IPv6

IPv6-Nutzung stieg mehr als 100 Prozent innerhalb eines Jahres1

Zum Teil bis zu 48 Prozent des landesweiten Netzwerkverkehrs

1http://www.google.com/intl/en/ipv6/statistics.htmlSven Schindler Hyhoneydv6 Folie 4 von 33

Einleitung

Neuerungen von IPv6 gegenüber IPv4

Großer Adressraum (128 Bit IPv6 vs. 32 Bit IPv4)Kleinstes IPv6-Subnetz kann ca. 232 IPv4-Netzwerke aufnehmen

Neues Adressenformat: 2001:0db8:24ab:871a:0000:0000:0000:03ab/64Kurz: 2001:db8:24ab:871a::3ab/64

IPv6 Neighbor Discovery

Stateless Address Autoconfiguration


Einleitung


Großer Adressraum (128 Bit IPv6 vs. 32 Bit IPv4)Kleinstes IPv6-Subnetz kann ca. 232 IPv4-Netzwerke aufnehmenNeues Adressenformat: 2001:0db8:24ab:871a:0000:0000:0000:03ab/64

Kurz: 2001:db8:24ab:871a::3ab/64




Einleitung


Großer Adressraum (128 Bit IPv6 vs. 32 Bit IPv4)Kleinstes IPv6-Subnetz kann ca. 232 IPv4-Netzwerke aufnehmenNeues Adressenformat: 2001:0db8:24ab:871a:0000:0000:0000:03ab/64Kurz: 2001:db8:24ab:871a::3ab/64




Einleitung

IPv6 Header Format [3]


Einleitung

Forschungsfragen

Welche Ansätze verwenden Angreifer bei der Suche nach Maschinen?

Wie kann ein IPv6-Adressraum beobachtet und darin interagiert werden?

Befindet sich das Protokoll im Fokus von Angreifern?


Einleitung

/34 Darknet Experiment

15-monatige Beobachtung eines /34-Addressraums (01/2014 - 03/2015)Existieren Aktivitäten / Angriffe?Neue und intelligente Scan-Ansätze?

Beispiele für intelligente Ansätze [4]:Low-byte-Adressen (2001:db8::3)Eingebettete IPv4-Adressen (2001:db8::93.184.216.34)Adressen mit Worteinbettung 2001:db8::cafe or2a03:2880:2110:df07:face:b00c:0:1Auto-konfigurierte (SLAAC) Adressen (2001:1:1:1:1:11ff:fe11:1/64)

Sven Schindler, Bettina Schnor, and Thomas Scheffler. Hyhoneydv6:A hybrid Honeypot Architecture for IPv6 Networks. International Journal ofIntelligent Computing Research (IJICR),6(2):570–578, 2015, ISSN: 2042-4655.


Einleitung

/34 Darknet Experiment

15-monatige Beobachtung eines /34-Addressraums (01/2014 - 03/2015)Existieren Aktivitäten / Angriffe?Neue und intelligente Scan-Ansätze?Beispiele für intelligente Ansätze [4]:

Low-byte-Adressen (2001:db8::3)Eingebettete IPv4-Adressen (2001:db8::93.184.216.34)Adressen mit Worteinbettung 2001:db8::cafe or2a03:2880:2110:df07:face:b00c:0:1Auto-konfigurierte (SLAAC) Adressen (2001:1:1:1:1:11ff:fe11:1/64)

Sven Schindler, Bettina Schnor, and Thomas Scheffler. Hyhoneydv6:A hybrid Honeypot Architecture for IPv6 Networks. International Journal ofIntelligent Computing Research (IJICR),6(2):570–578, 2015, ISSN: 2042-4655.


Einleitung

Ergebnisse des Darknet Experiments: ICMPv6

Hauptsächlich großräumige Netzwerkscans von Forschungsinstituten

Weitestgehend Low-byte-Adressen

Zwei verschiedene Scan-Ansätze: Linear und anscheinend zufällig


Einleitung

Scan-Ansatz I


Einleitung

Scan-Ansatz II


Honeydv6: ein low-interaction IPv6-Honeypot

Gliederung

1 Einleitung



4 Zusammenfassung



Was ist ein Honeypot?

Honeypot-Definition

Ein virtueller Honeypot ist ein Instrument zum Anlocken von Angreifern, umderen Angriffe analysieren zu können. Dabei kann es sich zum Beispiel um einComputersystem oder ein Mobiltelefon handeln. Das System selbst ist nichtessentiell für den produktiven Betrieb [9].



Honyepots zur Analyse von Angriffen

Honeypot-Arten:Low-interaction: simuliert Netzwerk-ServicesHigh-interaction: authentische Netzwerk-ServicesHybrid: Kombination von Low- und High-interaction-Honeypot

Dionaea ist das einzige größere Low-interaction-Honeypot-Project mitIPv6-Unterstützung, Fokus auf SMB, SIP

Kishimoto et al. stellen die High-interaction-Honeypot-Architektur „AnAdaptive Honeypot System to Capture IPv6 Address Scans“ [7] vor

Keine Lösung für IPv6-Netzwerke > /64 verfügbar



Honeyd

Open-Source Low-interaction-Honeypot von Niels Provos

Implementiert eigenen Netzwerk-Stack

Simulation großer Netzwerke mit tausenden von Maschinen möglich

Stellt Framework für Service-Skripte bereit

Neueste Version v1.5c bietet keine IPv6-Unterstützung

Ziel: Implementation eines IPv6-Netzwerkstacks

Sven Schindler, Bettina Schnor, Simon Kiertscher, Thomas Scheffler, andEldad Zack, HoneydV6: A low-interaction IPv6 honeypot. 10th InternationalConference on Security and Cryptography (SECRYPT), Reykjavik, Iceland, 2013.



Honeydv6-Architektur [8]


Honeydv6: ein low-interaction IPv6-Honeypot ICMPv6 und NDP

Implementation des Neighbor-Discovery-Protocols undICMPv6

Senden und Verarbeiten von Neighbor-Solicitations

Senden von Router-Solicitations

Verarbeitung von Router-Advertisements

Implementation von ICMPv6-Echo-Request/Reply-Nachrichten

Implementation von ICMPv6-Time-Exceeded- undDestination-Unreachable-Nachrichten


Honeydv6: ein low-interaction IPv6-Honeypot Modifikation der Paketverarbeitung

Modifikation der Paketverarbeitung

Neuer IPv6-Dispatcher

Routing-Engine für die Simulation von IPv6-Netzwerken erweitert

Extension-Header-Verarbeitung

IPv6-Fragmentierung

TCP- und UDP-Stack für IPv6-Payload angepasst


Honeydv6: ein low-interaction IPv6-Honeypot Random IPv6 Request Processing

Random Request Processing für große IPv6-Adressräume

Honeydv6 implementiert dynamische Erstellung von virtuellenMaschinen auf AnfrageKonfigurierbare Anzahl und Wahrscheinlichkeit von zu erstellendenMaschinenLogging aller Verbindungsversuche

Sven Schindler, Bettina Schnor, Simon Kiertscher, Thomas Scheffler and EldadZack. IPv6 network attack detection with HoneydV6. In Mohammad S. Obaidatand Joaquim Filipe, editors, E-Business and Telecommunications, volume 456,pages 252–269. Springer Press, 2014. ISBN: 978-3-662-44787-1.


Honeydv6: ein low-interaction IPv6-Honeypot Random IPv6 Request Processing

Configuration of random IPv6 request processing

Configuration

create randomdefault

set randomdefault default tcp action reset

add randomdefault tcp port 21 "scripts/ftp.sh"

add randomdefault tcp port 80 "scripts/web.sh"

set randomdefault ethernet "aa:00:04:78:98:78"

randomipv6 0.5 randomdefault 256

randomexclude 2001:db8::1




Honeydv6: ein low-interaction IPv6-Honeypot Nmap OS Fingerprinting

Honeydv6 evaluiert das NMap-Fingerprinting-Model

Unterstützung von OS-Fingerprinting

Nmap verwendet logistische Regression zur Erkennung vonBetriebssystemen in IPv6-Netzwerken

Aus 18 Proben werden mehr als 600 Features abgeleitet

Features beinhalten TCP-Optionen, IPv6 Traffic Classes etc.

FPModel.cc beinhaltet das gesamte Model sowie mittlere Werte

Skript konvertiert FPModel.cc automatisch zu personality6.c

Personality-Engine erkennt NMap-Proben und generiert die erwartetenAntworten


Honeydv6: ein low-interaction IPv6-Honeypot Nmap OS Fingerprinting

Honeydv6 evaluiert das NMap-Fingerprinting-Model

Personality Configuration

# Linux 2.6.38 - 3.2

create os

set os personality6 "Linux 2.6.38 - 3.2"

add os tcp port 80 "scripts/fake -web.sh"

set os ethernet "00:00:24:aa:bb:01"

bind 2001:db8:1::3 os


Hyhoneydv6: ein hybrider Honeypot für IPv6 Netzwerke

Gliederung

1 Einleitung



4 Zusammenfassung



Anforderungen an IPv6-Honeypots zur Analyse komplexerund proprietärer Netzwerk-Services

Bereitstellung authentischer Netzwerk-ServicesKeine Service-SimulationEinfache Unterstützung von Protokollen mit Verschlüsselungsmechanismen

Abdeckung großer IPv6-AdressräumeBrute-Force-Suche in IPv6-Netzwerken nicht realistisch [2]Dynamische Instanziierung von Honeypots ähnlich zu Honeydv6

Kosten/PerformanzGeringe Anzahl von benötigten MaschinenKeine Abhängigkeiten zu Cloud-Anbietern



Hyhoneydv6-Architektur

Sven Schindler, Thomas Scheffler, and Bettina Schnor. Taming the IPv6 AddressSpace with Hyhoneydv6. In Proceedings of the World Congress on InternetSecurity (WorldCIS), Dublin, Ireland, 2015, received Best Paper Award.



Dynamische Erstellung von high-interaction Honeypots

Neuer High-interaction-Honeypot-Manager startet bei Bedarf neueHoneypot-Instanzen

Libvirt zur Verwaltung von QEMU-basierten VMs [6, 1]

Automatische Generierung der Libvirt-Konfigurationen

Implementiert Server/Client zur VM-Adresskonfiguration



Transparenter TCP-Proxy

Transparente Übergabe von Verbindungen an High-interaction Honeypots

Neuer Proxy-Mechanismus überträgt Netzwerkverkehr zwischenAngreifer und High-interaction Honeypot

High-interaction Honeypots sind durch Netzwerkbrücke isoliert

Proxy nimmt Anpassungen von Adressen, Ports und Hop-limits vor



Beispiel TCP-Verbindung


Zusammenfassung

Gliederung

1 Einleitung



4 Zusammenfassung


Zusammenfassung

Zusammenfassung

Honeydv6...

Bereitstellung von tausenden IPv6-Adressen auf einer einzelnenMaschine

Simuliert ganze Netzwerktopologien und verschiedene Betriebssysteme

Einfache Integration in große Darknets durch dynamische Instanziierungvon Maschinen

Hyhoneydv6...

Erste hybride Honeypot-Architektur für IPv6-Netzwerke

Dynamische Honeypot-Instanziierung und transparenter Proxy

Bereitstellung komplexer und proprietären Services möglich

Lauffähig auf Standardhardware


Zusammenfassung

https://github.com/SvenSchindler/honeyd-ipv6


Zusammenfassung

Vielen Dank


Zusammenfassung

Quellen

[1] Fabrice Bellard.Qemu, a fast and portable dynamic translator.In Proceedings of the Annual Conference on USENIX Annual Technical Conference, ATEC ’05, pages 41–41, Berkeley, CA, USA, 2005. USENIX Association.

[2] T. Chown.IPv6 Implications for Network Scanning.RFC 5157 (Informational), March 2008.

[3] S. Deering and R. Hinden.Internet Protocol, Version 6 (IPv6) Specification.RFC 2460 (Draft Standard), December 1998.Updated by RFCs 5095, 5722, 5871, 6437, 6564, 6935, 6946, 7045, 7112.

[4] F. Gont and T. Chown.Network Reconnaissance in IPv6 Networks - draft-ietf-opsec-ipv6-host-scanning-04, June 2014.

[5] Johanna Ullrich and Katharina Krombholz and Heidelinde Hobel and Adrian Dabrowski and Edgar Weippl.Ipv6 security: Attacks and countermeasures in a nutshell.In 8th USENIX Workshop on Offensive Technologies (WOOT 14), San Diego, CA, 2014. USENIX Association.

[6] M Tim Jones.Anatomy of the libvirt virtualization library.IBM developer Works, pages 97–108, 2010.

[7] K. Kishimoto, K. Ohira, Y. Yamaguchi, H. Yamaki, and H. Takakura.An Adaptive Honeypot System to Capture IPv6 Address Scans.In Cyber Security (CyberSecurity), 2012 International Conference on, pages 165–172, Dec 2012.

[8] Niels Provos and Thorsten Holz.Virtual Honeypots - From Botnet Tracking to Intrusion Detection.Addison-Wesley, 2008.

[9] Christian Seifert, Ian Welch, and Peter Komisarczuk.Taxonomy of honeypots.Technical report, Victoria University of Wellington, Wellington, 2006.


EinleitungHoneydv6: ein low-interaction IPv6-HoneypotICMPv6 und NDPModifikation der PaketverarbeitungRandom IPv6 Request ProcessingNmap OS Fingerprinting

Hyhoneydv6: ein hybrider Honeypot für IPv6 NetzwerkeZusammenfassung

Analyse von Angriffen in IPv6-Netzwerken mit Hyhoneydv6 · Sven Schindler, Bettina Schnor, Simon...

Documents

Transcript of Analyse von Angriffen in IPv6-Netzwerken mit Hyhoneydv6 · Sven Schindler, Bettina Schnor, Simon...