mapWOC ist über eine Web-Oberfläche steuerbar, die sich in ein Drei-Spalten-Layout gliedert (siehe Screenshot):
Aus Sicherheitsgründen verzichtet mapWOC vollständig auf JavaScript und andere aktive Inhalte.
In den nachfolgenden Abschnitten wird anhand der einzelnen Hauptmenüpunkte die Bedienung von mapWOC erläutert.
Bei mapWOC konzentriert sich alles auf einzelne Webseiten (URLs). Ein Scan basiert auf einer vorher angelegten URL-Liste. URL-Listen bestehen aus beliebig vielen URLs.
Es gibt in mapWOC zwei Möglichkeiten URL-Listen zu erstellen:
URLs manuell eingeben
Vergeben Sie einen frei wählbaren Namen für die Liste. Der optionale Kommentar hilft beim späteren Zuordnen der Liste.
Wichtig beim Eintragen der URLs ist die richtige Schreibweise, in der Form: http://www.example.com. mapWOC überprüft die Validität aller URLs beim Erstellen. Sollte bei einer URL z.B. ein http:// fehlen, wird diese URL aus der Liste entfernt. Der Nutzer bekommt eine Fehlermeldung. Die Liste wird angelegt - jedoch ohne diese fehlerhafte Adresse.
URL-Liste hochladen
URL-Listen lassen Sie auch aus vorliegenden Textdateien erstellen. Dazu die Datei auswählen und hochladen.
Achtung
Beachten Sie, dass beim Anlegen von sehr großen Listen das Hochladen, die Überprüfung und die Übertragung in die Datenbank einige Minuten dauern kann. Unterbrechen Sie diesen Prozess bitte nicht.
Im unteren Abschnitt der URL-Listen-Seite sind alle verfügbaren URL-Listen mit Anzahl der enthaltenen URLs aufgelistet. Ein Klick auf eine Liste zeigt weitere Details (Erstellungsdatum, URLs, Verknüpfung zu den Ergebnissen).
Ein Scan wird verwendet, um URLs in ausgewählten Browsern anzusurfen und den Netzwerkverkehr zu analysieren.
mapWOC bietet drei Arten von Scans:
zu 1. Standard-Scan
Ein Standard-Scan wird beendet, wenn die ausgewählten URL-Listen abgearbeitet sind.
Zum Anlegen eines Standard-Scans sind folgende Angaben möglich (siehe Screenshot):
- Name vergeben
- Kommentar vergeben (optional)
- URL-Liste(n) auswählen
- Honey-Clients auswählen (Die Anzahl der parallel laufenden HCs ist hier erforderlich. Der Wert ist abhängig von den verfügbaren Hardwareressourcen und Softwarelizenzen.)
- Mehrere Optionen sind auswählbar:
Aktives Zeitfenster: Das ist die Zeit vom Starten bis zum Abbruch des Honey-Clients. Voreingestellt: 40 Sekunden.
Schnell-Modus: Dabei werden gleich mehrere URLs pro Honey-Client aufgerufen (ohne Schnell-Modus wird nur eine URL pro HC verwendet). Der Browser holt sich vom Redirector mehrere URLs und öffnet diese parallel in ebenso vielen Browserfenstern. Auswählbar sind 2 bis 5 URLs pro Honey-Client. Dieser Modus ist voreingestellt deaktiviert.
VNC: Die laufende Scansitzung kann mit einem (externen) VNC-Viewer betrachtet werden. Der zugehörige VNC-Port wird für jeden HC auf der Statusseite während des Scans bereitgestellt. Die VNC-Hostadresse ist die Adresse des entsprechenden mapWOC-Knotens (Node), wo der HC läuft. Bei einem Nicht-Cluster-Betrieb ist diese identisch mit der Adresse von mapwoc-GUI. Dieser VNC-Modus ist voreingestellt deaktiviert.
Tasten-Ereignisse: Nach einer bestimmten Zeit nach Start des virtuellen HCs kann das Ereignis ‘Enter drücken’ (e) oder ‘Gehe zur Startseite/Homepage’ (h) aufgerufen werden.
Ein Beispiel: Die Eingabe von 10e15h drückt automatisch nach 10 Sekunden Enter und nach weiteren 5 Sekunden (15 Sekunden nach Start) den Kurzbefehl für die Startseite (i.d.R. ALT+POS1).
Nach dem Anlegen eines Standard-Scans wird die Konfiguration auf einer Seite zusammengefasst. Zum Starten des Scans klicken Sie unter dem Abschnitt Aktionen auf [Starten].
zu 2. Kurz-Scan
Ein Kurz-Scan wird beendet, nachdem die angegebene (Einzel-)URL angesurft wurde.
Zum Anlegen eines Kurz-Scans sind folgende Angaben erforderlich (siehe Screenshot):
- URL eingeben (in der Form http://example.com)
- Honey-Client auswählen
- Option VNC: Der Kurz-Scan kann mit einem (externen) VNC-Viewer betrachtet werden. Der zugehörige VNC-Port wird für den gewählten HC auf der Statusseite während des Scans bereitgestellt. Die VNC-Hostadresse ist die Adresse des entsprechenden mapWOC-Knotens (Node), wo der HC läuft. Bei einem Nicht-Cluster-Betrieb ist diese identisch mit der Adresse von mapwoc-GUI. Dieser VNC-Modus ist voreingesetllt deaktiviert.
Zum Starten des Scans klicken Sie auf [Kurz-Scan starten].
zu 3. Manueller Scan
Ein Manueller Scan wird beendet, wenn das ausgewählte Zeitfenster abgelaufen ist. Ein Manueller Scan dient nur zur manuellen Steuerung von virtuellen Honey-Clients. Native Honey-Clients können mit Manuellen Scans nicht betrieben werden; stattdessen können Zeit-Scan verwendet werden.
Zum Anlegen eines Manuellen Scans sind folgende Angaben erforderlich (siehe Screenshot):
- optional: URL eingeben oder URL-Listen auswählen
- Zeitfenster festlegen (voreingestellt: 3 Minuten)
- virtuellen Honey-Client auswählen
Zum Starten des Scans klicken Sie auf [Manuellen Scan starten].
zu 4. Zeit-Scan
Ein Zeit-Scan wird beendet, wenn das ausgewählte Zeitfenster abgelaufen ist. Ein Zeit-Scan dient nur zur manuellen Steuerung von nativen Honey-Clients. Virtuelle Honey-Clients können mit Zeit-Scans nicht betrieben werden.
Zum Anlegen eines Zeit-Scans sind folgende Angaben erforderlich (siehe Screenshot):
- optional: URL-Listen auswählen
- nativen Honey-Client auswählen
- Zeitfenster festlegen (voreingestellt: 3 Minuten)
Zum Starten des Scans auf [Scan starten] klicken.
Im unteren Abschnitt der Scan-Übersichtsseite sind alle bisher angelegten Scans gelistet. Dabei werden zu jedem Scan die verwendeten URL-Listen (mit Gesamtsumme aller URLs) sowie die verwendeten Honey-Clients (mit Gesamtsumme aller HCs) angezeigt. Der Kurz-Scan ist voreingestellt und enthält immer genau eine URL.
Ein Klick auf einen Scan zeigt alle Konfigurationsdetails an. Hier kann ein Scan gestartet, gestoppt oder gelöscht werden.
Wichtig
Das Bearbeiten eines Scans ist nicht möglich. Der Grund dafür ist, dass ein angelegter Scan mehrmals (hintereinander) durchgeführt werden kann. Um die Ergebnisse vergleichbar zu halten und eine eindeutige Referenzierung auf die Scankonfiguration zum Zeitpunkt des Scans zu gewährleisten, darf ein Scan nicht verändert werden. Möglich ist aber einen neuen Scan mit geänderter/ähnlicher Konfiguration anzulegen.
Ein Honey-Client (HC) ist ein Browsersystem, das zum Ansurfen von URLs in einem Scan genutzt wird.
Jedes beliebige Betriebssystem wird unterstützt, einzige Voraussetzung ist ein installierter Internetbrowser. mapWOC unterscheidet virtuelle und native Honey-Clients.
Der folgende Screenshot zeigt, wie so eine Liste mit Honey-Clients in mapWOC aussehen kann.
Virtuelle Honey-Clients sind Virtuelle Maschinen (VMn), die mit der Freien Virtualisierungslösung KVM erzeugt werden. Die Virtuellen Maschinen werden installiert, konfiguriert und mit einem gestarteten Browser abgespeichert (Snapshot) oder wahlweise in den Ruhezustand (suspend-to-disk) versetzt. Details zum Anlegen von KVM-Images für den Einsatz in mapWOC finden Sie im nächsten Abschnitt. Weiterführende Informationen zu QEMU/KVM bietet z.B. das deutschsprachige QEMU-Buch.
Der Snapshot/Ruhezustand eines virtuellen Honey-Clients wird von mapWOC geladen. Der Browser surft per Kurzbefehl die Redirector-Startseite an und holt sich eine URL ab. Nach Ablauf des aktiven Zeitfensters beendet mapWOC die VM wieder. Das KVM-Image ist anschließend wieder im Ausgangszustand (Snapshot/Ruhezustand). Änderungen werden nicht gespeichert.
Diese automatische Zurücksetzbarkeit ist der entscheidende Vorteil gegenüber nativen Systemen.
Honey-Clients sind über die Honey-Client-System-ID (hcsid) eindeutig bestimmt.
Virtuellen Honey-Client anlegen
Die folgende Anleitung (am Beispiel von Windows XP) hilft beim Anlegen eines KVM-Images, um es später in mapWOC als neuen virtuellen Honey-Client hinzuzufügen:
KVM-Master-Image erstellen (im qcow2-Format, mit einer 8 GB Festplatte):
kvm-img create -f qcow2 winxp-master.img 8G
Installation des Betriebssystems durchführen:
kvm -cdrom windows-xp.iso -hda winxp-master.img -m 128M -vnc :1
Dabei auf einer anderen Konsole einen VNC-Viewer starten, z.B.:
vncviewer localhost:1
Starten Sie den Browser (hier IE6) und setzen Sie die Homepage auf folgende Adresse (muss mit der Angabe in der hc-Datei übereinstimmen; siehe Schirtt 8):
http://10.0.0.1/winxp_ie6_demo
Aktivieren Sie einen HTTP/HTTPS-Proxy für die Adresse:
10.0.0.2:80
Das vorbereitetes SSL-Zertifikat (mitmproxy) von mapWOC herunterladen und als vertrauenswürdige Stammzertifizierungsstelle im SSL-Zertifiaktsmanager importieren. (mapWOC integriert den mitmproxy als HTTP/HTTPS-Proxy.)
Installieren Sie bei Bedarf weitere erforderliche Software.
Wichtig: Deaktivieren Sie alle automatischen Updateprüfungen von Betriebssystem und installierter Software.
Anschließend fahren Sie das Betriebssystem herunter.
KVM-Overlay-Image erstellen:
kvm-img create -b winxp-master.img -f qcow2 winxp_ie6_demo.ovl
KVM-Overlay-Image starten:
kvm -hda winxp_ie6_demo.ovl -m 128M -vnc :1
Browser starten (hier IE6).
Betriebssystem in den Ruhezustand versetzten.
Bei Windows XP: Start > Beenden > Herunterfahren > Ruhezustand (Umschalttaste drücken)
Das Betriebssystem speichert den Zustand in das Overlay-Image. Damit existiert nun ein Master- und ein Overlay-Image.
Damit mapWOC den neuen Honey-Client kennt, muss noch eine neue Konfigurationsdatei (hc-Datei) im hcsdir-Verzeichnis der Node angelegt werden.
Hier ein Beispiel für eine hc-Datei winxp_ie6_demo.hc:
[hc]
name=WindowsXP Demo Image IE6
description=Lots of other software on it
hcsid=winxp_ie6_demo
max_parallel=-1
controllable=true
active_browser=cpe://a:microsoft:ie6
installed_software=cpe:o:microsoft:etc
[control]
type=kvm
boots=true
image_master=/usr/share/mapwoc/images/winxp-master.img
image_file=/usr/share/mapwoc/images/winxp_ie6_demo.ovl
image_memory=128
[network]
own_ip=10.0.0.4
dns_ip=10.0.0.3
proxy_ip=10.0.0.2
gateway_ip=10.0.0.1
homepage=http://10.0.0.1/winxp_ie6_demo
Zuletzt muss nur noch die Node und der Master von mapWOC neu gestartet werden:
mapwoc-node
mapwoc-master
Der neue virtuelle Honey-Client winxp_ie6_demo erscheint nun in der Liste der Honey-Clients. Beim Klick auf diesen Eintrag lassen sich die Details anschauen (siehe Screenshot):
Native Honey-Clients sind Geräte, die nicht automatisiert von mapWOC gesteuert werden können (z.B. Mobilgeräte, Laptop). Automatisiert steuern kann mapWOC nur Virtuelle Maschinen (s.o.).
Native Honey-Clients bauen per WLAN eine Verbindung zu einem Access-Point auf, welcher am mapWOC-Server angeschlossen und eingerichtet ist.
Nativen Honey-Client hinzufügen
Um nun einen neuen nativen Honey-Client in mapWOC hinzuzufügen, befolgen Sie folgende Schritte:
MAC-Adresse des nativen Geräts über das Administrationsinterface des WLAN-Access-Points hinzufügen.
Eine neue hc-Konfigurationsdatei im hcsdir-Verzeichnis der Node anlegen.
Hier ein Beispiel für ein Nokia N900 mit Maemo und MicroB-Browser in der hc-Datei maemo_microb_n900.hc:
[hc]
name=N900, MicroB
description=Maemo
hcsid=maemo_microb_n900
max_parallel=1
controllable=false
active_browser=mapwoc-cpe:/a:nokia:microb
os=mapwoc-cpe:/o:nokia:maemo
installed_software=mapwoc-cpe:/o:nokia:maemo
[control]
type=native
interface=vlan103
image_memory=10
[network]
client_mac=c0:38:f9:ee:f0:ec
wlan_ssid=mw-103
proxy_ip=10.1.103.1:1066
Abschließend die Node und den Master von mapWOC neu starten:
mapwoc-node
mapwoc-master
Der neue native Honey-Client maemo_microb_n900 erscheint danach in der Liste der Honey-Clients.
Die Ergebnisse aller Scans werden unter dem Menüpunkt Ergebnisse dargestellt.
Sie können diese Ergebnisse filtern:
Alle Filter können auch kombiniert werden.
Der folgende Screenshot zeigt eine Ergebnis-Übersichtsseite mit allen Filtermöglichkeiten:
Bei Auswahl eines “Besuchs” (d.h. ein Einzelergebnis, bei dem ein oder mehrere URLs analysiert worden sind) wird neben Scaninformationen des HC auch ein Bildschirmfoto der besuchten URL dargestellt. Anhand des Bildschirmfotos lässt sich so einfach erkennen ob oberflächlich an der Webseite etwas ungewöhnlich erscheint. Mögliche Funde auf der besuchten URL werden auf dieser Resultatseite in Tabellenform dargestellt – mit Angabe des gefundenen Typs und des jeweiligen Schweregrads. Der höchste Schweregrad dieser URL wird im oberen Bereich zusammengefasst.
mapWOC analysiert den Netzwerkverkehr beim Besuch jeder URL. Dabei werden relevante, in einem Analyseskript festgelegte Dateien aus dem sogenannten pcap-Strom extrahiert und mit einem integrierten Virenscanner (voreingestellt ist ClamAV) untersucht. Jede extrahierte Datei wird als Fund bezeichnet. Jeder Fund wird bewertet, wie sicherheitskritisch diese Datei sein könnte, und in einen Schweregrad von 0 bis 999 eingeteilt: 0 ist ungefährlich, 999 bedeutet sehr kritisch.
Die nachfolgende Auflistung zeigt die verfügbaren Ergebnis-Typen mit ihrem jeweiligen (vorbelegten) Schweregrad - sortiert in absteigender Reihenfolge:
Ändern lassen sich die Schweregrad-Werte in der Konfigurationsdatei /etc/mapwoc/severities.conf. Anschließend muss mapwoc-master neu gestartet werden. Die neue Belegung gilt dann nur für alle zukünftigen Scans; nicht rückwirkend für vergangene Scan.
Der Redirector ist zuständig für die Verteilung der URLs.
In jedem Browsersystem muss die URL des Redirectors als Startseite eingestellt werden:
http://10.0.0.1/<hcsid>
Also z.B.: http://10.0.0.1/winxp_ie6_demo
Durch Aufrufen dieser URL bekommt das Browsersystem vom Redirector die nächste URL aus der Liste geliefert. Wird der Schnell-Modus verwendet, werden vom Redirector gleich n URLs zurückgeliefert, die in n Browserfenstern geöffnet werden. (n ist die Anzahl der Seiten pro Honey-Client).
Die Redirector-Seite bietet während eines Scans eine Übersicht über den Fortschritt der verwendeten URL-Listen. Bei den letzten abgerufenen URLs wird zusätzlich der Honey-Client und der Zeitpunkt angegeben. Die nächsten URLs geben einen Ausblick, welche URLs als nächstes vom Redirector verteilt werden.
mapWOC unterteilt Benutzer entsprechend ihres Aufgabenprofils in drei Rollen:
Gast
Ein Gast darf keine Änderungen vornehmen. Lediglich Informationen ansehen:
Normaler Nutzer
Im Vergleich zum Gast darf der normale Nutzer zusätzlich:
Administrator
Im Vergleich zum normalen Nutzer darf der Administrator zusätzlich:
Für jeden Benutzer lassen sich unterschiedliche E-Mail-Benachrichtigungen konfigurieren:
