PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINASCurso de Engenharia da Computação

Disciplina de Tópicos em Redes B

Alunos:Gustavo SicoliLuiz Fernando Testa ContadorRafael Diniz de FreitasRenato Seiti Tsukada

Este seminário visa apresentar as armadilhas para invasores de sistemas, conhecidas como honeypots, e seu uso como ferramenta de pesquisa. As discussões vão se centrar em honeypots de baixa interatividade, sua origem, vantagens e desvantagens das soluções mais conhecidas. Baseado na ferramenta Valhala Honeypot , será mostrado como configurar um honeypot e monitorar os logs gerados, através de ferramentas que emulam um ambiente para demonstração do mesmo.

Honeypot = Pote de Mel

São recursos computacionais dedicados aserem sondados, atacados ou comprometidos,num ambiente que permita o registroe controle dessas atividades.

“Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável”

 Lance Spitzner - 2003

Detectar ataques internos; Identificar varreduras e ataques

automatizados; Identificar tendências;Manter atacantes afastados de

sistemas importantes;Coletar assinaturas de ataques;Detectar máquinas comprometidas

ou com problemas de configuração;Coletar código malicioso (malware).

Baixa Interatividade Alta Interatividade

Emulam serviços e sistemas O atacante não tem acesso ao sistema

operacional real O atacante não compromete o honeypot Fácil de configurar e manutenção Baixo risco Informações obtidas são limitadas Exemplos: Back Ofcer Friendly, DeceptionToolkit(DTK), Specter, Honeyd, Labrea,

Tarpit

Mais difíceis de instalar e manter Maior risco Necessitam mecanismos de

conteção, para evitar que sejam usados para lançamento de ataques contra outras redes

Coleta extensa de informações Exemplos: honeynets e honeynets

virtuais

Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes

É conhecido também como "honeypot de pesquisa” ,de alta interatividade, projetado para pesquisa e obtenção de informações .

Honeynets Reais Honeynets Virtuais

Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados;

Um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados;

Um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados;

Um computador atuando como repositório dos dados coletados;

hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.

Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um computador

Um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o Vmware,VirtualBox.

As honeynets virtuais ainda são subdivididas em duas categorias: Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dado, geração de alertas e os honeypots (implementados através de um software de virtualização)

Na segunda, esses mecanismos são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.

Honeynets Virtuais

Vantagens: manutenção mais simples; necessidade de menor espaço físico, e custo final tende a ser mais baixo.

Desvantagens : alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas, atacante pode obter acesso a outras partes do sistema.

através do software de Virtualização

Honeynets Reais

Vantagens: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais.

Desvantagens : manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.

Honeypots/Honeynets devem ser utilizados como um complemento para a segurança e não devem ser usados como substitutos para:

Boas práticas de segurança; Políticas de segurança; Sistemas de gerenciamento de

correções de segurança (patches); Outras ferramentas de segurança,

como firewall e IDS.

Porque usar Honeyd?

Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo

tempo Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço Suporta somente os protocolos TCP, UDP e

ICMP

A Ferramenta Honeydsum Escrita em Perl Gera sumários em texto e HTML válido Gera grácos personalizados Sistema de ltros como, portas, protocolos,

endereços IPs e redes, etc. Sanitização dos logs por endereço/rede de

origem e/ou destino Correlacionamento de eventos entre

diversos honeypots

Analise de Logs por Honeyd ( usando TCP/UDP)

Analise de Logs por Honeyd (Utilizando SSH)

Analise de Logs por Honeyd (Ataque por HTTP)

Honeypots e Honeynets: Definicões e Aplicacões http://www.cert.br/docs/whitepapers/honeypots-honeynets/

Resultados Preliminares do Projeto SpamPots http://www.cert.br/docs/whitepapers/spampots/

Consórcio Brasileiro de Honeypots http://www.honeypots-alliance.org.br/

The Honeynet Project http://www.honeynet.org/

CERT.br http://www.cert.br/

NIC.br http://www.nic.br/