Sqall Blog

Ich hatte hier und hier geschrieben, dass ich ein System bauen moechte, welches den Traffic dynamisch umroutet.

Ich habe jetzt ein Skript fuer ossec geschrieben, welches den ankommenden Traffic zurueck zum Sender zurueck schickt. Nehmen wir einmal ein Beispiel:
Wir haben snort oder sonstige Dinge so konfiguriert, dass sie Angriffe bemerken. Es wird nun ein Eintrag in eine Log geschrieben. Ossec reagiert und hat als active-responste Skript mein "mirroring-traffic.sh" Skript konfiguriert. Nun blockiert ossec alle bestehenden Verbindungen und die neu aufgebauten werden zurueck geroutet. Nehmen wir nun einmal an, ein Angreifer hat unseren Webserver im Visier. Er betreibt aber auch von dem Server, von dem aus er angreift einen Webserver. Nun werden wir auf Port 80 angegriffen. Ossec reagiert und routet den Traffic so um, dass die Angriffe den Angreifer selber treffen. Er greift dem entsprechend seinen eigenen Webserver an.

Wie das erreicht wird? Ganz einfach, iptables blockiert alle bestehenden Verbindungen. Im PREROUTING werden alle Pakete von dem Angreifer so ueberschrieben, dass sie als Ziel den Angreifer haben. Nun wird das Paket wieder zum Angreifer geleitet. Im POSTROUTING werden die Pakete maskiert, so das unser Server die Quelladresse ist. Also zusammengefasst:

Das urspruengliche Paket wird von
Source: Angreifer-IP
Destination: unserServer-IP

zu
Source: unserServer-IP
Destination: Angreifer-IP
umgeaendert.

Damit das Skript funktioniert, muss auf dem Server IP-forwarding aktiviert sein. Wenn die Firewall vernuenftig konfiguriert ist, sollte es mit Zweckentfremdung anderer kein Problem darstellen.

Das Skript koennt ihr euch hier herunterladen.

Ich habe gerade diesen Artikel von einem Kumpel in identi.ca gefunden. Er ist echt genial und es stimmt so. Der aktuelle Verlauf des Apple Marketings zeigt es. Ich kann jedem nur empfehlen es zu lesen.

Ich habe gerade gelesen, dass nach der Demonstration in Essen die Piratenpartei ihre Forderung zu einer Identifikationsnummer fuer Polizisten wiederholt hat. Ich kann diese Forderung nur unterstuetzen. Denn das letzte mal, als ich auf einer Demo war (gegen Vorratsdatenspeicherung) ist die Polizei nicht gerade zimperlich mit friedlichen Demonstranten umgegangen. Ich moechte jetzt nicht behaupten, dass alle Demonstranten friedlich waren, aber die Dinge die ich mitbekommen habe, sprachen nicht fuer die Polizei, denn die Demonstranten hatten nichts gemacht. Zusaetzlich hatte die Polizei vorne den Weg versperrt, dass es nicht mehr weiter ging und von hinten mit ihren Dienstwagen die Demonstranten weiter getrieben. Das musste zwangslaeufig in eiem Tumult enden.

Naja, aber es gibt auch genug Internetvideos die genau dieses zeigen.

Zusammengefasst, ich bin fuer diese Identifikationsnummer. Sie ist wichtig!

Ich habe ja vor kurzem geschrieben, dass ich durch geschicktes Routing und Skripte einen dynamischen Honeypot Einsatz testen moechte. Ich habe heute nun das Routing getestet und es funktioniert so wie ich es mir vorgestellt habe.

Ich habe drei Rechner bei mir zu Hause stehen, meinen Laptop der als Client diente mit der IP 192.168.0.12, einen Fileserver der als eigentlicher Host diente mit der IP 192.168.0.3 und ein anderen Rechner der spaeter der Honeypot sein wird IP 192.168.0.4.

Ich habe nun eine SSH Verbindung zum Fileserver aufgebaut und konnte mich einwandfrei verbinden. Dann habe ich folgende Kommandos auf der bash des Fileservers ausgefuehrt:

1. echo 1 > /proc/sys/net/ipv4/ip_forward
2. iptables -A POSTROUTING -t nat -j MASQUERADE -s 192.168.0.12/32
3. iptables -A PREROUTING -t nat -s 192.168.0.12/32 -j DNAT --to-destination 192.168.0.4

Das erste Kommando, schaltet das IP forwarding im Kernel ein. Zeile 2 maskiert ausgehende Pakete mit der Source-IP 192.168.0.12 und das letzte Kommando aendert die Ziel-Adresse von allen Paketen von 192.168.0.12 in 192.168.0.4 um.

Als ich mich nun mit dem Fileserver verbinden wollte, kam ein neuer Fingerprint, was mich schon innerlich freute. Als ich mich eingeloggt habe (aber diesmal mit den Nutzerdaten des Honeypots) war ich nicht auf dem Fileserver, sondern ich war eingeloggt auf dem Honeypot allerdings ueber die IP des Fileservers (zumindest dachte mein Laptop das). Ich hab mir den Verkehr auf allen Rechnern mit tcpdump angeschaut, es ist soweit alles korrekt, der Laptop bekommt nichts mit von der Umstellung (na gut, er bekommt es bei SSH mit weil er einen neuen Fingerprint feststellt, aber das war ja klar. Mein Ziel ist ja der http port 80 Verkehr, bei diesem wuerde es der Client nicht mitbekommen).

Die naechsten Schritte waeren ein ossec active-response Skript zu schreiben und dann Regeln dafuer zu verfassen. Oh ich bin wirklich gespannt wie gut es laufen wird. Leider habe ich meinen neuen Laptop noch nicht zurueck, weshalb mir die Ressourcen fehlen eine Testumgebung aufzubauen. Aber das wird sich auch bald aendern

Das Team, welches auch erfolgreich beim Bundesverfassungsgericht gegen die Vorratsdatenspeicherung geklagt hatte, geht nun auch gegen ELENA vor. Dem elektronischen Entgeldnachweis. Bei diesem werden die Daten der Arbeitnehmer in einer zentralen Datenbank gespeichert. Urlaubstage, Krankheitstage, Lohn usw. Diese werden natuerlich auch auf Vorrat gehalten und schneiden den Buerger in seiner informationellen Selbstbestimmung ein.

Also werdet aktiv und unterstuetzt die Klage:

https://petition.foebud.org/ELENA

Wie ihr das machen koennt? Schickt eine Vollmacht an die angegeben Adresse bis zum 25ten Maerz.