Ein Honeypot mit roo


Durch einen Artikel in iX 01/06 animiert habe ich mir die Weiterentwicklung der Honeywall mit dem Namen roo von
http://project.honeynet.org/tools/cdrom/
heruntergeladen. Ich wollte sie auf auf meinem Rechner samt Honeypot unter VMware installieren. Dass dies ein recht mühsames Unterfangen werden würde, war recht schnell klar. Mein Rechner verfügt über 196MB RAM. Auf der Doku-Seite
heißt es lapidar
256MB (absolutes Minimum), empfohlen werden 512MB. Nun gut. Ich wollte schon immer das Unmögliche schaffen.
Die Installation ging sehr langsam von statten auf dem alten Rechner
mit dem knappen Speicher. Also schuf ich auf meinem Notebook eine
weitere virtuelle Maschine unter VMware 5. Allerdings wählte ich den
sogenannten Legacy-Modus,
damit ich einfach diese virtuelle Maschine kopieren konnte und sie auch
unter VMware 4.5 läuft. Die Installation ging schneller voran als das
Kopieren über mein altersschwache 10MBit Netz….
Auf den Zielrechner habe ich grafischen Zugriff entweder per VNC oder per freeNX. Wie ich bereits früher schrieb, habe mit beiden so meine Probleme, vorallem beim Zugriff auf VMware-Sitzungen. Dies trifft hier besonders hart, da bei roo standardmäßig ein englisches Tastaturlayout eingestellt ist. Glücklichereweise lässt sich aber alles so konfigurieren, dass man per ssh zugreifen kann.
Zum anderen verbrauchen die VMware Instanzen soviel Speicher, dass ich alles übrige wie cacti, smokeping und meinen apache abschalten musste. Selbst der KDE musste dem twm weichen: Back to the roots.
Das Setup ist bis auf die drei Netzwerkkarten (eine im Bridging-Mode, eine custom-Mode und eine Host-only) standard.
Die ersten beiden Netzwerkkarten verbindet roo als Bridge, die dritte dient als Konfigurationszugang.
Aud die Schnelle habe ich dann noch dahinter unter VMware den eigentlichen Honeypot gesetzt.
Dann kam der große Augenblick (genau genommen dauerte er etwas länger ;-): In meiner eigentlichen Firewall wurde das Routing auf den Honeypot über die roo eingerichtet, auf dem Rechner selbst wollte auch noch das IP-Forwarding eingestellt werden, und zu guter Letzt kam noch das Portforwarding jeglichen Verkehrs, der auf dem externen Interface der Firewall anlag, auf den Honeypot. Siehe da, es verging keine Minute bis der Honeypot durch Sasser infiziert werden sollte. Im Webinterface der roo tauchte dieses IDS-Event auch sofort auf. Ein Klick zur Analyse brachte dann eine Fehlermeldung zutage, dass 12 kein valider Monat sei (oder so ähnlich).
Ach ja, stimmt ja. Ich wollte ja noch die Updates per yum update nachziehen. Dummerweise war das Management-Interface von roo nicht so konfiguriert, dass es nach draußen darf. Okay, also auch hier ein paar Firewall Regeln und Masquerading eingerichtet. Es ging trotzdem nicht. Das Masquerading kam zwar bei den iptables-Regeln an; es gingen aber trotzdem Pakete mit der privaten IP nach draußen. Also habe ich einige Patches per Up2date bei der Astaro nachgespielt. Dabei musste diese auch mal booten. Vielleicht brachten die Patches, vielleicht auch das Durchstarten die Lösung….
Auf jeden Fall konnte ich nun die roo aktualisieren, was aber ewig dauerte. Also wieder auf dem Laptop die Aktualisierung druchgeführt und das VMware-Image kopiert. Nun fehlten die Grafiken im Webinterface. Die Lösung fand sich auf dem Bugzilla Server des Projektes.
Leider wurde von nun an im Webinterface zwar die Grafiken wieder dargestellt, seit dem Update wurden aber keine Incidents mehr angezeigt.
Aus diesem Grund richte ich gerade nochmal die originale roo ein, um dort das Datum auf "nicht Dezember" zu stellen und zu sehen, ob’s damit dann geht ….
Fazit der letzen Woche: Es handelt sich um ein faszinierendes Projekt, das mit einem potenten Rechner nochmal soviel Spaß machen würde, aber nichts mit "Plug and play" zu tun hat. Man muss alles mögliche sich zusammen suchen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *