Honeywall „roo“ – das unbekannte Wesen

Okay, die angekümdigte Neuinstallation brachte auch nicht das ehemalige Verhalten wieder… Irgendetwas scheine ich damals wohl anders gemacht zu haben. Nun gut, ich werde also etwas tiefer in die Materie einsteigen müssen. Das ist auf der altersschwachen Hardware vermutlich sehr nervenaufreibend. Schaun mer mal, was draus wird.

Ein Honeypot mit roo


Durch einen Artikel in iX 01/06 animiert habe ich mir die Weiterentwicklung der Honeywall mit dem Namen roo von
http://project.honeynet.org/tools/cdrom/
heruntergeladen. Ich wollte sie auf auf meinem Rechner samt Honeypot unter VMware installieren. Dass dies ein recht mühsames Unterfangen werden würde, war recht schnell klar. Mein Rechner verfügt über 196MB RAM. Auf der Doku-Seite
heißt es lapidar
256MB (absolutes Minimum), empfohlen werden 512MB. Nun gut. Ich wollte schon immer das Unmögliche schaffen.
Die Installation ging sehr langsam von statten auf dem alten Rechner
mit dem knappen Speicher. Also schuf ich auf meinem Notebook eine
weitere virtuelle Maschine unter VMware 5. Allerdings wählte ich den
sogenannten Legacy-Modus,
damit ich einfach diese virtuelle Maschine kopieren konnte und sie auch
unter VMware 4.5 läuft. Die Installation ging schneller voran als das
Kopieren über mein altersschwache 10MBit Netz….
Auf den Zielrechner habe ich grafischen Zugriff entweder per VNC oder per freeNX. Wie ich bereits früher schrieb, habe mit beiden so meine Probleme, vorallem beim Zugriff auf VMware-Sitzungen. Dies trifft hier besonders hart, da bei roo standardmäßig ein englisches Tastaturlayout eingestellt ist. Glücklichereweise lässt sich aber alles so konfigurieren, dass man per ssh zugreifen kann.
Zum anderen verbrauchen die VMware Instanzen soviel Speicher, dass ich alles übrige wie cacti, smokeping und meinen apache abschalten musste. Selbst der KDE musste dem twm weichen: Back to the roots.
Das Setup ist bis auf die drei Netzwerkkarten (eine im Bridging-Mode, eine custom-Mode und eine Host-only) standard.
Die ersten beiden Netzwerkkarten verbindet roo als Bridge, die dritte dient als Konfigurationszugang.
Aud die Schnelle habe ich dann noch dahinter unter VMware den eigentlichen Honeypot gesetzt.
Dann kam der große Augenblick (genau genommen dauerte er etwas länger ;-): In meiner eigentlichen Firewall wurde das Routing auf den Honeypot über die roo eingerichtet, auf dem Rechner selbst wollte auch noch das IP-Forwarding eingestellt werden, und zu guter Letzt kam noch das Portforwarding jeglichen Verkehrs, der auf dem externen Interface der Firewall anlag, auf den Honeypot. Siehe da, es verging keine Minute bis der Honeypot durch Sasser infiziert werden sollte. Im Webinterface der roo tauchte dieses IDS-Event auch sofort auf. Ein Klick zur Analyse brachte dann eine Fehlermeldung zutage, dass 12 kein valider Monat sei (oder so ähnlich).
Ach ja, stimmt ja. Ich wollte ja noch die Updates per yum update nachziehen. Dummerweise war das Management-Interface von roo nicht so konfiguriert, dass es nach draußen darf. Okay, also auch hier ein paar Firewall Regeln und Masquerading eingerichtet. Es ging trotzdem nicht. Das Masquerading kam zwar bei den iptables-Regeln an; es gingen aber trotzdem Pakete mit der privaten IP nach draußen. Also habe ich einige Patches per Up2date bei der Astaro nachgespielt. Dabei musste diese auch mal booten. Vielleicht brachten die Patches, vielleicht auch das Durchstarten die Lösung….
Auf jeden Fall konnte ich nun die roo aktualisieren, was aber ewig dauerte. Also wieder auf dem Laptop die Aktualisierung druchgeführt und das VMware-Image kopiert. Nun fehlten die Grafiken im Webinterface. Die Lösung fand sich auf dem Bugzilla Server des Projektes.
Leider wurde von nun an im Webinterface zwar die Grafiken wieder dargestellt, seit dem Update wurden aber keine Incidents mehr angezeigt.
Aus diesem Grund richte ich gerade nochmal die originale roo ein, um dort das Datum auf "nicht Dezember" zu stellen und zu sehen, ob’s damit dann geht ….
Fazit der letzen Woche: Es handelt sich um ein faszinierendes Projekt, das mit einem potenten Rechner nochmal soviel Spaß machen würde, aber nichts mit "Plug and play" zu tun hat. Man muss alles mögliche sich zusammen suchen.

NORAD spürt den Weihnachtsmann auf

High-Tech macht’s möglich. NORAD, das man nicht zu letzt aus dem Film War Games als vor Computern strotzendes Zentrum der Kriegs- bzw. Verteidigungsführung kennt, hat auch seine zivilen Seiten. NORAD hilft auch in diesem Jahr den Kindern weltweit auf der Suche nach dem Weihnachtsmann. Unter der URL http://www.noradsanta.org
wird ab 9:00 Uhr weltweit der Weihnachtsmann verfolgt werden —
ich habe seinerzeit Wir warten aufs Christkind im Fernsehen geschaut 😉

PS2: Splinter Cell 3: „Anmeldung an Datenbank nicht möglich“

Dass man mit unsinnigen Fehlermeldungen den Nutzer so richtig verwirren kann, ist in der Computerei schon lange bekannt. Eigentlich waren die Spielekonsolen ja angetreten, die Leistung und Fähigkeiten eines PCs zu haben, dem Nutzer aber durch idiotensichere Bedienung die Probleme, die man mit PCs haben kann zu verbergen. Es geht aber auch anders 🙁
So versuchte ich über Tage hinweg, mit meiner PlayStation 2 mit dem Spiel "Splinter Cell 3: Chaos Theory" bei ubi.com online zu spielen. Ich legte also wie geheißen einen neuen Nutzer an. Daraufhin erhielt ich die Meldung "Anmeldung an Datenbank nicht möglich". "Okay", dachte ich, "der Server ist zur Zeit nicht erreichbar. Vielleicht liegt’s an meiner Firewall." Ich habe daraufhin den Paketfilter und die Portforwarding-Regeln überprüft. Alles war so wie bei "Splinter Cell 2: Pandora Tomorrow", bei dem ja früher alles funktionierte….

Also mit ethereal in den Netzwerkverkehr geschaut. Es erfolgt tatsächlich eine Kommunikation. Sie scheint verschlüsselt zu sein, aber es fließen Daten hin und her.
Darauf musste Google herhalten. Darüber bin ich auf das Forum von ubi.com gestoßen. Aha, ich bin also nicht alleine. Nachdem es mehrere Tage nicht klappte, dachte ich, ich müsse nun mal mit ubi.com Kontakt aufnehmen. Das geht aber nur nach der Registrierung. Als ich mich dort mit meinem Nick registrieren wollte, hieß es, mein Nick sei schon vergeben. Nanu …. sollte dies auch das Problem bei der Anmeldung der PS2 lösen?
Ich habe daraufhin einen anderen Nick versucht und siehe da, schon geht’s. Ich kann mich nun von jedermann über den Haufen schießen lassen 😉
Eine Fehlermeldung der Art "Ihr Nickname wird schon benutzt" wäre viel hilfreicher gewesen…..

NETDEV WATCHDOG eth0: transmit timed out: Jetzt ist’s schlimmer

Nun habe ich also wie von Dell und Novell/SuSE empfohlen auf den neuesten Kernel aktualisiert. Leider tritt das Problem nun häufiger auf als früher … 🙁
Wenn ich tippen müsste, was ich nun tun soll, so würde ich sagen, dass ich nun das BIOS aktualisieren muss. Dies dürfte sicherlich nochmal ein Kapitel heikler sein.
Vielleicht sollte ich die internen Karten vergessen und eine gewöhnliche Feld- Wald- und Wiesennetzwerkkarte einbauen.

 

Google Analytics: Nicht nur mir ging’s so

Man freut sich ja immer, wenn irgendwelche Probleme, über die man stolpert, nicht von einem selbst "erfunden" wurden. So ist es mir eben auch ergangen, als ich ein wenig auf hirnrinde.de
stöberte und über den Artikel über Google Analytics stolperte. Dort werden sämtliche Probleme beschrieben, die auch ich erfahren musste. Puh, dann bin ich doch nicht zu blöd dafür gewesen 😉