Versprochen ist versprochen! Im Dezember hatte ich bereits das Decoys Projekt von Marco Escobar kurz vorgestellt (Recap #5 | …Decoys Project), allerdings hatte ich damals selbst noch keine Erfahrung damit sammeln können.
Es handelt sich hierbei um ein Honeypot System, welches die gängigen Veeam Services im Netzwerk simuliert. Somit trägt es zum Schutz des eigentlichen produktiven Veeam Systems im Netzwerk bei, um Angreifer auf eine falsche Fährte zu locken.
Mittlerweile durfte ich im Januar die für mich erste Installation in einer produktiven Infrastruktur bereitstellen, die zweite Bereitstellung folgte nur wenige Tage später.
Ich hatte mich bei diesen Kunden für die OVA Deployment Variante entschieden. Die Binaries und Systemvoraussetzungen sind unter VeeamHub/veeam-decoy zu finden.
Jeder der schon mal OVAs in vSphere deployed hat, sollten diese initialen Schritte bekannt sein. Daher gehe ich hier nicht weiter darauf ein (bei Fragen, einfach melden, oder am Manual der Decoys OVA orientieren: Decoy_Manual_EN.pdf). Ihr seht im folgenden Screenshot die Zusammenfassung, dieses Deployments.
Konfiguration
Nach erfolgtem Deployment der VM und anschließendem Start, verbinden wir via SSH auf Port 41325 um die Konfiguration der Decoys Appliance vorzunehmen.
Innerhalb der TUI können die gewünschten Services entsprechend konfiguriert werden. Im Menüpunkt Config Files unter [Edit] /etc/hnp/config befindet sich die Decoy Config File.
Wie man dem Screenshot aus dem Hauptmenü entnehmen kann, habe ich in diesem Setup weitere Netzwerkkarten hinzugefügt. Innerhalb vSphere terminieren diese in unterschiedlichen Portgruppen und stellen Ihre Dienste in entsprechenden VLANs bereit.
Innerhalb der Decoy Config File ist es daher wichtig, die aktivierten Services die im Honeypot bereitgestellt werden sollen, den jeweiligen Interfaces zuzufügen. In dieser Konfiguration nutzen wir für jeden Service die Interfaces ens33 und ens34.
Zu beachten ist allerdings, dass der Service VWR (Veeam Windows Repository) und VHR (Veeam Hardened Repository) jeweils die gleichen Ports nach außen publiziert.
Daher kann ein Interface hier jeweils auch nur für einen Service verwendet werden, hier in der Konfiguration VWR auf Interface ens34 und VHR auf Interface ens33.
zusätzliche Netzwerke / VLANs
Werden weitere Netzwerke / VLANs / Portgruppen benötigt, in denen ebenfalls ein Honeypot abgebildet werden soll? Fahrt das System herunter, fügt entsprechend weitere Netzwerkkarten der VM hinzu (Typ VMXnet3 ist unterstützt) und startet die VM wieder. Zurück im TUI kann im Bereich Network Interfaces unter [Config Network] das jeweilige Interface angepasst werden.
Die neu hinzugefügten NICs müssen dann noch entsprechend für die zu verwendeten Services hinterlegt werden, siehe oben unter [Edit] /etc/hnp/config.
Benachrichtigungen via E-Mail
Decoys bietet aktuell die Benachrichtigung via Syslog und/oder E-Mail an. In dieser Umgebung hat der Kunde aktuell nur E-Mail als Option. Und obwohl die SMTP-Server offensichtlich korrekt in der Decoy Config File unter [Edit] /etc/hnp/config eingetragen waren, hatten wir keine Mails erhalten.
Decoys schickt allerdings nur alle 5 Minuten neue Benachrichtigungen, somit musste nach jedem Port-Scan, Funktions-Test oder Check im Log, weitere 5 Minuten gewartet werden, ob die Anpassung erfolgreich war.
Glücklicherweise hat Marco Escobar, den ich über das Community Forum kontaktiert habe, mir sehr schnell weiterhelfen können und kurzerhand eine Test E-Mail funktioniert integriert.
Diese kann unter veeam-decoy/TUI/hnp_tui.py heruntergeladen werden. In die Console gelangt man in der TUI mit der Taste [C]. Den Inhalt oder die Datei selbst mit der File in /opt/TUI/hnp.tui.py überschreiben.
Nach anschließendem Reboot (via [R]), steht in der TUI dann die Test Email Funktion zur Verfügung und man muss nicht zwingend 5 Minuten warten.
Das Log könnte auf der Console mit dem Befehl cat /var/log/hnp/hnp_tui.log |grep mail nach Meldungen mit dem Text mail durchsucht werden.
Port-Scan / Funktions-Test
Mit dem Tool Zenmap (Zenmap – Official cross-platform Nmap Security Scanner GUI) steht eine grafische Oberfläche für das Tool Nmap, einem Tool unter anderem für Netzwerk- und Portscans, zur Verfügung.
Via Befehl nmap -sS -p 1-65535 -T4 -A -v -iL „C:\Location-Zenmap_hosts-File\Zenmap_hosts.txt“ starte ich nun den Portscan.
Die gesamte Range Port 1-65535 wird hierbei durchsucht, allerdings nur auf die drei hinterlegten Hosts, die vorab im DNS registriert wurden. In diesem Beispiel bilden diese drei DNS Records, jeweils die Services in unterschiedlichen VLANs ab.
Die ersten Treffer werden schnell in Zenmap gelistet.
Auch innerhalb der TUI in der Decoys Appliance sind die Portscans (welche im realen Szenario auch Anmeldeversuche sein könnten) zu sehen.
Und das E-Mail-Postfach freut sich ebenfalls über den Eingang neuer Informationen.
Fazit
Mir gefällt die Möglichkeit mit einfachen Mitteln, einen Honeypot bereitzustellen, der explizit Veeam-relevante Services abbildet. Koppelt man das ganze nun noch mit entsprechender SIEM-Lösung, wird eine weiterer Schritt in Richtung Sicherheit im Netzwerk bzw. Absicherung der Infrastruktur platziert.
Je nach Infrastruktur ist die Umsetzung in wenigen Stunden möglich. Ein großes Dankeschön an Marco Escobar, der dieses Tool der Veeam Community zur Verfügung stellt und noch dazu, mir sehr schnell zum Eingrenzen der Fehler (mit der Mail-Benachrichtigung) geholfen hat.