|
1.0 Vor dem Start
- Was ist der Sinn dieser CD-ROM?
- Auf welchem Betriebssystem basiert die CD-ROM?
- Enthält die CD-ROM die Honeypots?
- Ist Roo GenII oder GenIII Technologie?
2.0 Fragen zur Konfiguration
- Wie stelle ich fest, auf welchen physikalischen Ports eth0, eth1, usw. liegen?
- Wie starte ich das Menü nach der Konfiguration und dem Neustart?
3.0 Fragen zur Datenanalyse
4.0 Probleme und Fehler
- Ich habe versucht yum(1) zum Updaten meiner Honeywall zu benutzen,
habe aber nur einen Fehler bekommen, das der RPM-GPG Schlüssel für ein bestimmtes Repository fehlt.
- Ich habe mich selbst aus dem Standard roo Benutzerkonto ausgesperrt und
kann mich nicht mehr anmelden. Wie kann ich das Passwort zurücksetzen?
- Ich habe mich selbst aus dem Walleye-Interface ausgesperrt. Wie kann ich das Passwort zurücksetzen?
5.0 Fragen zu VMWare
- Kann die Honeywall in VMware laufen, um virtuelle Honeynets aufzusetzen?
1.1 Was ist der Sinn dieser CD-ROM?
Honeynets aufzusetzen und zu installieren ist zeitraubend. Eines der schwierigsten Teile dabei
ist das Honeywall-Gateway, die Maschine die der Datenkontrolle und –sammlung dient.
Üblicherweise wurde sie durch die Kombination einer Vielzahl von Tools von Hand
zusammengesetzt (mehr Infos hier,
deutsche Übersetzung hier).
Die Honeywall CD-ROM versucht,
diesen Prozeß zu vereinfachen, indem sie alle Tools und Konfigurationsdateien einsatzbereit auf
einer CD zusammenfasst. Außerdem erlaubt es die CD-ROM Organisationen, ihre
Installationen zu standardisieren und so die Administration zu vereinfachen und die Datensammlung
und –analyse zu zentralisieren.
1.2 Auf welchem Betriebssystem basiert die CD-ROM?
Die CD-ROM basiert auf Fedora Core 3.
1.3 Enthält die CD-ROM die Honeypots?
Nein. Die CD-ROM bootet nur in ein Layer 2 (oder drei, wenn gewünscht) Gateway zur
Datensammlung und –kontrolle. Honigtöpfe müssen hinter einem Honeywall-Gateway platziert
werden.
1.4 Ist Roo GenII oder GenIII Technologie?
Dies ist eigentlich mehr eine Marketingfrage. Dennoch stufen wir Roo als GenIII-Technologie
(3. Generation) ein. Bei GenI handelte es sich um die allerersten Honeypots,
die im Wesentlichen Klartext-Pakete aufzeichnen und abgehende Verbindungen
zählen konnten. Sie basierten auf Routing Gateways (Schicht 3). Die
GenII Technologie erweiterte
dies um viele neue Funktionalitäten, inkl. Sebek, Bridging Gateways (Schicht 2)
und Intrusion Prevention Mechanismen (dies ist alles auf der alten Honeywall
Eeyore vorhanden). Die
GenIII Technologie fügt hierzu noch einmal eine Reihe von neuen Funktionalitäten
hinzu: zu den grössten Vorteilen zählen automatische Updates, Datenanalyse,
Administrationsoberflächen (GUI) sowie erheblich verbesserte Hardware-Unterstützung
und internationaler Support. Daher denken wir, Roo ist GenIII.
2.1 Wie stelle ich fest, auf welchen physikalischen Ports eth0, eth1, usw. liegen?
Beachten sie, das die Honeywall CD-ROM von folgenden Voraussetzungen ausgeht (sie
können diese über das Menü ändern, aber dies sind die Standardeinstellungen)
- eth0 ist die "Internet" oder äußere Schnittstelle
- eth1 ist die LAN Schnittstelle (auf der Honigtopf-Seite)
- eth2 ist die Managementschnittstelle
- br0 ist die virtuelle Bridge-Schnittstelle (eth0+eth1)
Wenn sie nun die Rückseite ihres Computers betrachten stellt sich die Frage: welche
Schnittstelle ist nun eth0, eth1 und eth2? Keine einfache Frage. Wir empfehlen folgende
Vorgehensweise:
- Fahren sie alle Schnittstellen außer eth0 herunter.
- Überfluten sie eth0 mit Datenverkehr (ping, Nmap o.ä.).
- Beobachten sie, welches Lämpchen an der Rückseite hektisch flackert: das ist eth0.
- Wiederholen sie die Prozedur für die anderen Schnittstellen.
2.2 Wie starte ich das
Menü nach der Konfiguration und dem Neustart?
Nachdem sie ihre Honeywall konfiguriert und neu gestartet haben werden sie feststellen, das
nicht mehr automatisch das Menü gestartet wird. Das soll der Honeywall ein Minimum an
physikalischer Sicherheit geben. Um das Menü zu starten, melden sie sich als root an und
geben sie an der Kommandozeile menu ein.
4.1 Ich habe versucht yum(1) zum Updaten meiner Honeywall zu benutzen,
habe aber nur einen Fehler bekommen, das der RPM-GPG Schlüssel für ein bestimmtes Repository fehlt.
Wenn das passiert, identifizieren Sie den betreffenden Schlüssel und den Ort,
wo er sein sollte (beides sollte in der Fehlermeldung stehen). Sagt die Meldung
nichts über den Ort aus, können sie diesen auch in der /etc/yum.repods.d finden.
Führen Sie danach einen manuellen Schlüsselimport mit folgendem Befehl durch:
rpm --import http://atrpms.net/RPM-GPG-KEY.atrpms
4.2 Ich habe mich selbst aus dem Standard roo Benutzerkonto ausgesperrt und
kann mich nicht mehr anmelden. Wie kann ich das Passwort zurücksetzen?
Die Vorgehensweise hierzu finden sie in dem Dokument
Rücksetzen des roo-Passwortes.
4.3 Ich habe mich selbst aus dem Walleye-Interface ausgesperrt. Wie kann ich das Passwort zurücksetzen?
Wir werden in Kürze eine Möglichkeit anbieten, dies über ein Menü zu tun.
Bis dahin nutzen Sie bitte folgende Prozedur (führen sie diese Befehle auf der
Kommandozeile als roo oder root aus):
1. mysql walleye_users_0_3 -p
Das Datenbankpasswort sollte 'honey' sein (es gibt keinen Fernzugriff und es steht in allen Skripten...).
2. insert into user (firstname, lastname, login_name, password, role)
values('kanga', 'roo', 'bailout', 'honey', 'admin');
Dieser Befehl gehört in eine Zeile. Damit wird ein Walleye-Adminkonto namens "bailout"
und dem Passwort "honey" erstellt. Wenn Sie sich damit anmelden, sollten Sie in der
Lage sein, zu tun, was sie tun müssen.
5.1 Kann die Honeywall in VMware laufen, um virtuelle Honeynets aufzusetzen?
Ja. Sie konfigurieren alle Gastbetriebssysteme mit einem einzigen host-only Netzwerkadapter
und die Honeywall mit einem bridged und einem host-only Netzwerkadapter. Mehr
Informationen zu diesem Thema findet sich hier.
<-Back Home Next->
|
