PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de...
Transcript of PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de...
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINASCurso de Engenharia da Computação
Disciplina de Tópicos em Redes B
Alunos:Gustavo SicoliLuiz Fernando Testa ContadorRafael Diniz de FreitasRenato Seiti Tsukada
Este seminário visa apresentar as armadilhas para invasores de sistemas, conhecidas como honeypots, e seu uso como ferramenta de pesquisa. As discussões vão se centrar em honeypots de baixa interatividade, sua origem, vantagens e desvantagens das soluções mais conhecidas. Baseado na ferramenta Valhala Honeypot , será mostrado como configurar um honeypot e monitorar os logs gerados, através de ferramentas que emulam um ambiente para demonstração do mesmo.
Honeypot = Pote de Mel
São recursos computacionais dedicados aserem sondados, atacados ou comprometidos,num ambiente que permita o registroe controle dessas atividades.
“Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável”
Lance Spitzner - 2003
Detectar ataques internos; Identificar varreduras e ataques
automatizados; Identificar tendências;Manter atacantes afastados de
sistemas importantes;Coletar assinaturas de ataques;Detectar máquinas comprometidas
ou com problemas de configuração;Coletar código malicioso (malware).
Baixa Interatividade Alta Interatividade
Emulam serviços e sistemas O atacante não tem acesso ao sistema
operacional real O atacante não compromete o honeypot Fácil de configurar e manutenção Baixo risco Informações obtidas são limitadas Exemplos: Back Ofcer Friendly, DeceptionToolkit(DTK), Specter, Honeyd, Labrea,
Tarpit
Mais difíceis de instalar e manter Maior risco Necessitam mecanismos de
conteção, para evitar que sejam usados para lançamento de ataques contra outras redes
Coleta extensa de informações Exemplos: honeynets e honeynets
virtuais
Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes
É conhecido também como "honeypot de pesquisa” ,de alta interatividade, projetado para pesquisa e obtenção de informações .
Honeynets Reais Honeynets Virtuais
Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados;
Um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados;
Um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados;
Um computador atuando como repositório dos dados coletados;
hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um computador
Um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o Vmware,VirtualBox.
As honeynets virtuais ainda são subdivididas em duas categorias: Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dado, geração de alertas e os honeypots (implementados através de um software de virtualização)
Na segunda, esses mecanismos são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.
Honeynets Virtuais
Vantagens: manutenção mais simples; necessidade de menor espaço físico, e custo final tende a ser mais baixo.
Desvantagens : alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas, atacante pode obter acesso a outras partes do sistema.
através do software de Virtualização
Honeynets Reais
Vantagens: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais.
Desvantagens : manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.
Honeypots/Honeynets devem ser utilizados como um complemento para a segurança e não devem ser usados como substitutos para:
Boas práticas de segurança; Políticas de segurança; Sistemas de gerenciamento de
correções de segurança (patches); Outras ferramentas de segurança,
como firewall e IDS.
Porque usar Honeyd?
Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo
tempo Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço Suporta somente os protocolos TCP, UDP e
ICMP
A Ferramenta Honeydsum Escrita em Perl Gera sumários em texto e HTML válido Gera grácos personalizados Sistema de ltros como, portas, protocolos,
endereços IPs e redes, etc. Sanitização dos logs por endereço/rede de
origem e/ou destino Correlacionamento de eventos entre
diversos honeypots
Analise de Logs por Honeyd ( usando TCP/UDP)
Analise de Logs por Honeyd (Utilizando SSH)
Analise de Logs por Honeyd (Ataque por HTTP)
Honeypots e Honeynets: Definicões e Aplicacões http://www.cert.br/docs/whitepapers/honeypots-honeynets/
Resultados Preliminares do Projeto SpamPots http://www.cert.br/docs/whitepapers/spampots/
Consórcio Brasileiro de Honeypots http://www.honeypots-alliance.org.br/
The Honeynet Project http://www.honeynet.org/
CERT.br http://www.cert.br/
NIC.br http://www.nic.br/