Uživatelské nástroje

Nástroje pro tento web


Minipot - falešné servery

Turris umí emulovat některé často zneužívané služby. Cílem je nachytat útočníky, kteří si myslí, že útočí na službu opravdovou. Taková past poté umožní zjistit, jak se útočníci chovají a kdo vlastně jsou.

Falešné servery jsou naprosto dobrovolnou součástí Turris OS. Je pouze na vás, zda a do jaké míry je budete provozovat. Data z nich jsou ale pro výzkum velice přínosná.

Emulované služby

Aktuálně router Turris nabízí dva druhy emulovaných serverů, které se liší způsobem chování. Prvním z nich je tzv. honeypot pro protokol SSH. Více se o něm dočtete na stránce SSH Honeypot.

Druhým je skupina serverů, která emuluje pouze přihlašovací mechanismus protokolu a na všechny pokusy o přihlášení odpovídá „špatné heslo“.

Jedná se o tyto protokoly:

  • Telnet (porty 23 a 2323)
  • HTTP server (port 80)
  • HTTP proxy (porty 3128, 8080 a 8123)

Možnosti nastavení

Sběr dat lze nastavit v záložce Sběr dat v rozhraní Foris.

Ve výchozím nastavení jsou sbírány pouze IP adresy útočníků, časy jejich aktivity a k čemu se snaží přistoupit. Toto při analýze umožňuje najít globálně aktivní útočníky. Navíc je možné povolit možnost Ukládat jména a hesla. Při povolení této možnosti jsou navíc ukládány i přihlašovací údaje, které útočník zkouší. To umožní další analýzu, například zjistit, že někteří útočníci používají stejný seznam přihlašovacích údajů a tudíž jsou pravděpodobně pod kontrolou jednoho subjektu (viz např. první výsledky z testovacího nasazení).

Jednotlivé služby je také možné zcela vypnout.

Interakce s reálnými službami

Pokud v systému již daný server provozujete, emulovaná služba toto automaticky detekuje a nespustí se. Podobně je tomu v případě, že je port přesměrován na jiný počítač. Emulovaná služba bude aktivní jen v případě, že by jinak bylo spojení odmítnuto.

Protože je část systému, která toto obstarává, celkem komplikovaná, budeme rádi, pokud nám dáte vědět v případě, že narazíte na situaci, kdy automatická detekce nefunguje podle očekávání.

Bezpečnostní hlediska

Z principu fungování je vyloučené, aby útočník uhodl správné heslo a byl vpuštěn dovnitř. Žádné správné heslo neexistuje a program ani nemá žádné „uvnitř“, kam by šel útočník vpustit.

Na druhou stranu, další služba, která je vystavená do internetu, může teoreticky obsahovat chybu, kterou by mohlo jít zneužít.

Taktéž, pokud povolíte ukládání hesel a nedopatřením se připojíte na Turris místo reálné služby, vaše heslo se uloží do databáze. Na druhou stranu, při použití nešifrovaných služeb bezpečnost hesla nelze garantovat.

Trocha technických detailů

Tato sekce je pravděpodobně zajímavá jen pro technicky zdatné uživatele.

Ona volba, jestli spojení skončí u emulované služby, nebo v opravdovém cíli, se provádí ve firewallu. K tomu jsou třeba dvě věci. Jednak, každá běžící služba obsadí navíc jeden port. Ve výchozím nastavení je to port o 1369 vyšší, než je základní port služby. Dále jsou použity 2 bity ze značky na paketech (modul mark v iptables). Jsou to bity vybrané maskou 0xC0000. V případě kolizí lze tyto hodnoty změnit v /etc/config/ucollect.

Další detaily o nastavení lze nalézt v https://gitlab.labs.nic.cz/turris/ucollect/blob/master/src/plugins/fake/fake.txt, dokumentace fungování firewallu je na https://gitlab.labs.nic.cz/turris/ucollect/blob/master/src/plugins/fake/fake_firewall.txt.