IDS

Intrusion Detection Systems

This page houses all the information of the IDS subject.

Documents and files

• Week 1: week1.txt,  opdr1.txt,  grab1.txt, grab2.txt, grab3.txt
• Week 2: Together with Remco Hobo and Harm-Jan Blok we created this page.
• Week 3: Together with Bart Dorlandt i made the assigments which can be viewed here
• Week 4: Together with Jelmer Barhorst and Ruben Valke i made the assignments for week 4 which can be found here:

1) Zoek een duidelijke honeyd tutorial/manpage en lees deze door.
       Welke URL heb je hiervoor gekozen ?


http://www.paladion.net/papers/simulating_networks_with_honeyd.pdf
homepage honeyd http://www.citi.umich.edu/u/provos/honeyd/

2) Kies een platform op honeyd op te draaien bij voorkeur geen MAC of Windows
       Beschrijf hoe je welke versie van honeyd geinstalleerd hebt
       Hoe veilig is dit ?1
       Welke methode heb je gekozen om verkeer naar je honeypot te krijgen
       Hoe heb je gezorgd dat anderen op hetzelfde fysiek net een honeyd kunnen draaien

We hebben gekozen voor een clean debian 3.1 (sarge) met linux 2.6 kernel. Hierbij is farpd, honeyd en iisemulator geinstalled, waarbij farpd een /29 gebruikt. Qua veiligheid zit het in orde, want we hebben gebruik gemaakt van de standaard versie die bij debian zit. Deze versie wordt gemaintaind en zal geen last hebben van lekken waar patches voor zijn.


3) Start Honeyd met een responsescript voor smtp
       Gebruik een mailclient en test dit responsescript. Beschrijf je aanpak
http://www.honeyd.org/contrib/mael/smtp.sh

Na het aanmaken van de dir /tmp/mailstore en de installatie van de benodigde modules Mail::Sendmail en Net::DNS kan het script gestart worden. Mailclient was Thunderbird en was in staat om een mail te sturen. De mails worden opgeslagen in /tmp/mailstore in een subdir per octet van het IP.

4) Hoe zou je kunnen herkennen dat dit geen echte smtpserver is

Door niet veel gebruikte commando's uit te voeren en daar de respone op te analyseren. Dat de server altijd mail accepteerd kan duiden op een open relay, wat alleen maar interessant is voor spammers.

5) Verbeter het smtp script op minimaal 1 punt
--- smtp.pl-old 2005-06-03 14:23:18.742216920 +0200
+++ smtp.pl     2005-06-03 14:23:18.743216768 +0200
@@ -331,8 +331,8 @@
 );
 
 %helos = (
-       "sendmail" => '"250-".$hostname." Hello ".$srcname." [".$srcipaddress."], pleased to meet you"',
-       "postfix" => '"250-".$hostname'
+       "sendmail" => '"250 ".$hostname." Hello ".$srcname." [".$srcipaddress."], pleased to meet you"',
+       "postfix" => '"250 ".$hostname'
 );
 
 %heloerror = (


6) Boots een Apache en een IIS webserver na. Zorg dat je met 1 commando kan switchen tussen een IIS en Apache server kies daarbij een geloofwaardig passend recent gepatched OS.
We hebben gebruik gemaakt van de standaard bijgeleverde honeyd.conf bestanden. te weten:

IIS:
create default
set default personality "Microsoft Windows 2000 Server SP3"
add default tcp port 80 "/usr/share/honeyd/scripts/win32/win2k/iis.sh"
bind 172.16.32.1 default

Apache:
create default
set default personality "Linux 2.4.20"
add default tcp port 80 "/usr/share/honeyd/scripts/unix/linux/suse7.0/apache.sh"
bind 172.16.32.1 default

7) Test met xprobe of de nagebootste OSen werken
Omdat het niet lukte om xprobe een door honeyd geemuleerde host te scannen, hebben we een fysieke linux host gescanned (webserver van Wouter Borremans).

Xprobe2 v.0.2.2 Copyright (c) 2002-2005 fyodor@o0o.nu, ofir@sys-security.com, meder@o0o.nu

[+] Target is 194.109.184.80
[+] Loading modules.
[+] Following modules are loaded:
[x] [1] ping:icmp_ping  -  ICMP echo discovery module
[x] [2] ping:tcp_ping  -  TCP-based ping discovery module
[x] [3] ping:udp_ping  -  UDP-based ping discovery module
[x] [4] infogather:ttl_calc  -  TCP and UDP based TTL distance calculation
[x] [5] infogather:portscan  -  TCP and UDP PortScanner
[x] [6] fingerprint:icmp_echo  -  ICMP Echo request fingerprinting module
[x] [7] fingerprint:icmp_tstamp  -  ICMP Timestamp request fingerprinting module
[x] [8] fingerprint:icmp_amask  -  ICMP Address mask request fingerprinting module
[x] [9] fingerprint:icmp_port_unreach  -  ICMP port unreachable fingerprinting module
[x] [10] fingerprint:tcp_hshake  -  TCP Handshake fingerprinting module
[x] [11] fingerprint:tcp_rst  -  TCP RST fingerprinting module
[+] 11 modules registered
[+] Initializing scan engine
[+] Running scan engine
[-] ping:tcp_ping module: no closed/open TCP ports known on 194.109.184.80. Module test failed
[-] ping:udp_ping module: no closed/open UDP ports known on 194.109.184.80. Module test failed
[-] No distance calculation. 194.109.184.80 appears to be dead or no ports known
[+] Host: 194.109.184.80 is up (Guess probability: 25%)
[+] Target: 194.109.184.80 is alive. Round-Trip Time: 0.00146 sec
[+] Selected safe Round-Trip Time value is: 0.00293 sec
[-] fingerprint:tcp_hshake Module execution aborted (no open TCP ports known)
[+] Primary guess:
[+] Host 194.109.184.80 Running OS: "Foundry Networks IronWare Version 03.0.01eTc1" (Guess probability: 43%)
[+] Other guesses:
[+] Host 194.109.184.80 Running OS: "Linux Kernel 2.6.6" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "Linux Kernel 2.6.7" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "Linux Kernel 2.6.8" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "Linux Kernel 2.6.9" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "Linux Kernel 2.6.10" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "HP JetDirect ROM H.07.15 EEPROM H.08.20" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "HP JetDirect ROM G.08.21 EEPROM G.08.21" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "HP JetDirect ROM G.08.08 EEPROM G.08.04" (Guess probability: 41%)
[+] Host 194.109.184.80 Running OS: "HP JetDirect ROM G.07.19 EEPROM G.08.04" (Guess probability: 41%)
[+] Cleaning up scan engine
[+] Modules deinitialized
[+] Execution completed.


8) Schrijf zelf een responsescript voor een simpel protocol
while true; do nc -l -p 9 > /dev/null; done 


9) Zorg dat je van een bekende worm/virus/hackertool een executable te
pakken krijgt.
http://www.os3.nl/~jelmer/files/mydoom.ex_dit_is_een_virus

10) Omschrijf in niet meer dan 100 woorden wat je de sterke en zwakke punten van honeyd en arpd vindt.

De beperking van honeyd zit hem niet zo zeer in het programma zelf maar meer in de geschreven scripts. De scripts zijn 
vaak gemakkelijk op 'niet echtheid' te verifieren door simpelweg een aantal bekende commando's uit te proberen.
Het opvallende aan arpd is dat het klakkeloos meerdere ip-adressen op 1 macadres bind.

• Project presentation: SPATTI: Securing Public Access to the Internet
• Project report: SPATTI: Securing Public Access to the Internet

Copyright © 2005, Wouter Borremans Last Modified 06/14/2005, 09:43:32