Honeypot:Honeypot:eenganando e conhecendo o nganando e conhecendo o

inimigoinimigoCarlos Manoel de Oliveira Junior

Felipe Soares de DecoSimone da Silva Antonio

AmeaçasAmeaças x Segurança x Segurança

• Atacantes

• Ataques

• Alvos escolhidos

• Motivação

Componentes de SegurançaComponentes de Segurança

• IDS

• Firewall

• Honeypot

HoneypotHoneypot

• Ferramenta utilizada para a monitoração

de ataques, colecionando informações importantes sobre tendências e permitindo aprimorar a metodologia utilizada para a segurança de uma empresa

HistóricoHistórico

• 1986 – “The Cucko’s Egg” – Cliford Stool

• 1991 – Início ao Honeypot

• 1997 – DTK – Fred Cohen

• 1998 – Sting – Cybercop

• 1999 – Honeynet Project – Lance

Spitzner - Honeyd

TiposTipos

• Produção

• Ferramenta de defesa

• Destrair o atacante

TiposTipos

• Pesquisa

• Registrar informações do ataque• Conhecer o inimigo

Níveis de InteraçãoNíveis de Interação

• Facilidade de instalação e configuração

• Baixa

• Menor risco

• Captura menor quantidade de dados

• Alta

Níveis de InteraçãoNíveis de Interação

• Captura maior quantidade de dados

• Complexos de se instalar e configurar

• Maior risco

HoneynetHoneynet

• Conjunto de honeypots formando uma rede de computadores para ser comprometida.

ClassificaçãoClassificação• Clássica

• Dispositivos reais• maior segurança devido à

descentralização da Honeynet

• Desvantagens

• Complexidade na instalação, gerenciamento e manutenção

• Custo elevado

• Virtual

ClassificaçãoClassificação

• Maior facilidade para a instalação e gerenciamento

• Custo reduzido

• Desvantagens

• Limitação de realidade dos serviços

• Centralização do processamento

• Vulnerabilidades do software emulador

FuncionamentoFuncionamento

Concretização do ataque

Ambiente Honeynet protegido e monitorado

HoneytokensHoneytokens

• São informações disponibilizadas nas Honeynets que ajudam no trabalho do atacante

Captura de DadosCaptura de Dados

• Logserver

• Captura de dados

• Camada de controle de acesso• Camada de rede• Camada de sistema• Camada off-line

Controle dos DadosControle dos Dados

• Segurança

• Ferramentas de segurança

• Quantidade de conexões

Controle de AcessoControle de Acesso

• Enviar alertas ao administrador

• Controlar e bloquear quando o número de conexões for excedido

• Controlar o ataque on-line

Análise dos dadosAnálise dos dados

• Logs de IDS

• Logs de Firewall

• Registros históricos do sistema

Legalidade dos HoneypotsLegalidade dos Honeypots

• Armadilha

• Privacidade

• Responsalidade

KFSensorKFSensor

• Estudo de caso

KFSensorKFSensor• Registros

HELO SHASTA083130.ig.com.br

MAIL FROM: <LRTD@compuserve.com>

RCPT TO: <bernot@lovelace.infobiogen.fr>

CONTEÚDO DO E-MAILCONTEÚDO DO E-MAIL

.

QUIT

 Response

250 2.6.0 <bernot@lovelace.infobiogen.fr> Queued mail for delivery

250 2.0.0 OK

Obrigado!

Contatos:Carlos Manoel de Oliveira Junior:

jrrjonline@yahoo.com.brFelipe Soares de Deco: fdeco@ig.com.br

Simone da Silva Antonio: simone.sissi@ig.com.br