BTB Projekti: T-Pot ja Cloudflare

Edellisessä postauksessa BTB Projekti: T-Pot hunajapurkki laitoimme toimintaan T-Pot hunajapurkin ja ensimmäisten 15 min aikana saimme jo napattua talteen paljon dataa hyökkääjistä. Entäpä jos haluaisimme hieman rajatumpaa tietoa siitä, kuka ei ole jo valmiiksi tunnistettu pahantahtoinen IP?

Käytämme seuraavassa Cloudflaren palveluita rajoittamaan skannereita, online-palomuurin tavoin. Asetuksella tavoittelemme seuraavaa:

  1. Teemme caliban.fi domainille alidomainin, johon tuleva liikenne (osa siitä) ohjataan Cloudflaren palveluiden kautta
  2. Cloudflarella asetamme palvelun suodattamaan jo tunnettua haittaliikennetta (1. palomuuri)
  3. Kerromme Google Cloudissa että T-Pot saa ottaa vastaan liikennettä vain Cloudflarelta (2. palomuuri), poislukien hallintapuoli johon voi ottaa yhteyttä vapaammin.
  4. Julkaisemme aliodomainin tiedot, jotta hyökkääjät saavat sen tietoonsa ja voivat kokeilla honeypottia.
  5. Meidän pitäisi nyt vähemmän tietoa, mutta se on hieman arvokkaampaa. Nyt tietoja voi käyttää osana hälytyksiä tai omaa suodatusta.

 

Cloudflare

Cloudflare tarjoaa harrastajille ilmaiseksi maksuttomia palveluita, mm dns-hallintaan ja sivuston suojaukseen. Heille tästä on etua, koska heidän varsinainen liiketoimintansa on CDN-palvelut.

https://www.cloudflare.com/plans/

Teemme aluksi Cloudflaren palveluissa alidomainin webstore.caliban.fi, joka ohjataan honeypotin Google Cloud IP-osoitteeseen, proxytettuna. Tämä tarkoittaa sitä että liikenne kiertää Cloudflaren kautta. Toinen vaihtoehto on pelkkä dns-ohjaus, joka on hyvä esim hallintapaneelin osoitteelle.

Huom! Cloudflare ei välitä eteenpäin kaikkia portteja, joten T-Potin mahdollisista porteista 1-64000, vain tietyt toimivat ilman edelleenohjauksia Google Cloudin puolella (https://cloud.google.com/compute/docs/protocol-forwarding).

https://support.cloudflare.com/hc/en-us/articles/200169156-Identifying-network-ports-compatible-with-Cloudflare-s-proxy

HTTP ports supported by Cloudflare:

  • 80
  • 8080
  • 8880
  • 2052
  • 2082
  • 2086
  • 2095

HTTPS ports supported by Cloudflare:

  • 443
  • 2053
  • 2083
  • 2087
  • 2096
  • 8443

Tässä tapauksessa emme tee porttien uudelleenohjauksia heti alkuun, koska olemme kiinnostuneita porteista 80 ja 443. Nämä osuvat Citrix Honeypotin ja Dionean porttiosoitteisiin. Alla näkyvät kaikki T-Potin käyttämät portit.

Cloudflaren puolella voidaan nyt asettaa rajoituksia koko domainin suojaukseen (Firewall->Rules). Oletuksena meillä on jo ollut päällä tietyn tunnistetun riskitason ylittävien IP-osoitteiden automaattinen blokkaus.

 

Lisäksi palvelussa on päällä automaattisia DDoS suojauksia (Firewall- Managed Rules). Näitä säätämällä voidaan saapuvaa liikennettä kuristaa tarpeen mukaan. Samalla nähdään mikä on sopiva taso, jossa normaalit käyttävät vielä pääsevät sisään.

 

 

Googlen puolella meillä on aikaisemmin sallittu kaikki liikenne kaikista porteista. Nyt rajoitetaan sitä vain portteihin 1-64000 koskien, sallien vain proxytetty Cloudflaren liikenne (VPC Network-> Firewall).

Osoitteet löytyvät seuraavasta osoitteesta:

https://www.cloudflare.com/ips/

Lisäksi meidän tulee sallia T-Potin hallintaan portit 64295-64297. Nämä voi joko asettaa sallituksi omaan osoitteeseen tai kaikkialta. T-Potissa voi asettaa omalle tunnukselleen myös monivaiheisen tunnistautumisen, joka suojaa palvelua.

Huomaa että koska Cloudflare ei proxytettuna välitä näitä portteja eteenpäin, joudumme näille tekemään myös oman dns-ohjauksen ilman proxyä tai käyttämään IP-osoitetta hallintaan. Lisäksi pitää muistaa tällöin ettei näihin portteihin liikenne tule Cloudflaren kautta.

Jos olemme nyt onnistuneet, vastaa osoite https://webstore.caliban.fi hyökkääjille. Sivusto vaihtuu uudelleenkäynnistyksen yhteydessä.

 

 

T-Potin puolella puolestaan näkyy nyt paljon vähemmän tapahtumia, mutta nyt ne on suodatettu vastaamaan todellisempaa tilannetta. Koska kaikki liikenne tulee nyt Cloudflaren kautta, ei IP-tiedoilla ole arvoa, mutta käytetyt tekniikat ja kohteet on helpompi nähdä.

Cloudflare näyttää myös jonkinverran tietoa omista suodatuksistaan.

Loppusanat

Rajoittamalla honeypotin liikennettä saadaan hieman siivottua automaattisia skriptejä pois ja tarkennettua honeypotin fokusta. Koska T-Pot on helppo ja nopea asentaa, voi asennuksia tehdä useita ja ajaa samaan aikaan erilaisia konfiguraatioita erilaisia uhkia vastaan. Cloudflaren tapauksessa simuloidaan hyökkäyksiä harrastajan verkkosivustoa kohtaan. Tyypillisesti hyökkääjä näyttää olevan formeja väärinkäyttävä spammeri ja satunnainen oletuskirjautumisten kokeilija.

 

 

 

 

 

 

 

BTB Projekti: T-Pot hunajapurkki

Johdanto

Eikö olisi kiinnostavaa katsella kuinka palveluihin koitetaan murtautua ja mitä haavoittuvuuksia milloinkin koitetaan käyttää hyväksi? Honeypottien, eli hunajapurkkien avulla tämä on mahdollista turvallisesti. Niiden sisältämät palvelut näyttävät oikeilta, mutta eivät päästä hyökkäjää eteenpäin ja antavat samalla puolustautujalle lisätietoa mistä osoitteista ja millä tekniikoilla palveluihin koitetaan päästä käsiksi.

  • Tavoite: Havainnoillistaa palveluihin kohdistuvat hyökkäykset ja antaa tietoa puolustautujalle
  • Vaikeus: Helppo
  • Aika: 30 min
  • Hinta: 0- 1 € / vrk (riippuen käytetäänkö pilviratkaisua vai omia laitteita)

 

T-Pot

T-Pot on itseasiassa kokoelma hunajapurkkeja, jotka simuloivat erilaisia yleisiä palveluita ja portteja. Kokoelma asentuu automaattisesti sisältäen kaikki datan ja lokien keräykseen ja visualisointiin tarvittavat palvelut. Lisäksi se lähettää telemetria-tietoa automaattisesti eteenpäin, tarjoten siten yleishyödyllistä tilannekuvaa tietoturvasta: https://sicherheitstacho.eu/ Lisäksi saadun tiedon voi ohjata omiin lokeihin tai palveluihin näin halutessaan. Projektina sen käyttöönotto on helppo ja palkitseva.

https://github.com/telekom-security/tpotce

Asennus

T-Potin voi asentaa joko pilveen tai omalle laitteelle. On huomattava että hunajapurkille pitää sallia kaikki liikenne kaikkiin portteihin, jotta sitä vastaan saataisiin maksimaalinen hyökkäyskiinnostus. Tällöin oman verkon DMZ on tarpeen.

Julkipilvestä tulee kustannuksia, mutta esim Googlen pilvi-palvelut tarjoavat tällä hetkellä 300 € kokeilurahaa. Siksi se oli luonteva valinta päästä heti käsiksi tietoon turvallisesti.

Asennus kestää noin puolisen tuntia ja Cyber-99 tarjoaa tähän hyvät ohjeet:

T-Pot Honeypot Framework Installation

Näitä seuraamalla T-Pot asentuu Google Cloudiin ja saat näkyvyyden hyökkäyksiin.

Päivitys:
1. Kannattaa ottaa suositellun virtuaalikoneen sijaan seuraava, tehokkaampi malli. Suorituskyky loppuu ja kone kaatuu usein.

2. Asenna monitorointi ohjeiden mukaan: https://cloud.google.com/monitoring/quickstart-lamp (ei Apachea)

3. Laita health check hälyttämään koneen toiminnasta ja harkitse uptimerobot.com hälytystä myös

Tulokset

Sisäänkirjautumisen jälkeen Kibanan kautta saat pääsyn valmiiksi luotuihin visualisointeihin.

Jo viidentoista minuutin aikana näkee miten paljon hyökkäyksiä tehdään tätä julkista osoitetta vastaan.

Voit nähdä läpi erilaisten hunajapurkkien millaisia salasanoja palveluihin koitetaan. Luonnollisesti kannattaa varmistaa ettei näitä missään nimessä käytetä,

Vastaavasti myöskin tietyt käyttäjätunnukset kannattaa poistaa tai laittaa automaattisesti blokkaamaan kirjautujan IP-osoite.

Suricatan tunnisteiden kautta näkee mitkä tekniikat ovat tällä hetkellä hyökkääjien suosiossa.

Myös shell komennot tallennetaan automaattisesti.

Kaikkiaan voi todeta että saadut tiedot tukevat hyvin puolustautujan tiedonsaantia.

Kohdatut ongelmat

Kirjautuminen ei varsinaisesti toimi kuin asennuskuvauksessa, vaikka virtuaalikoneelle tekee oman tilin. Tästä huolimatta tietoihin kuitenkin pääsee käsiksi Kibanan kautta. Lisäksi ilmeisesti hyökkäysvoluumista johtuen saattaa kone kipata nurin, jos jokin innostuu kokeilemaan reippaammin bruteforcea. Tällöin virtuaalikoneen voi resetoida Google cloudin kautta ja muutaman minuutin päästä kaikki toimii taas normaalisti.

Loppusanat

Jo muutaman päivän pikakokeilulla T-Pot osoittaa tarjoavansa hyödyllistä tietoa. Muutamia kehitysajatuksia:

  • Rajoittaa pääsy hyökkääjälle vain tietyn kanavan kautta
  • Automaattisesti siirtää IP, salasana ja käyttäjänimitieto ajastetusti toiselle palvelimelle
  • Ajastaa uudelleenkäynnistys
  • Siirtyä omalle koneelle ja DMZ:lle

Kokeile ihmeessä!