Tutorial Honeypot

8/6/2019 Tutorial Honeypot

1/11

Seu Link Aqui

Pesquisar

Tutoriais->Redes->Honeypot

Honeypot

Ttulo Honeypot

Descrio Tpicos Avanados em Redes do curso de C incia da Computao.

Enviado por Refael Moore

1. A Histria do Honeypot1.1. Honeytoke ns1.2. Honeyfarms1.3. Honeypots Dinmicos2. O Que Honeypot2.1. Honeypots de Baixa Interatividade2.1.1. Back Officer Friendly2.1.2. The Deception ToolKit (DTK)2.1.3. Specter2.1.4. Honeyd2.1.5. LaBrea Tarpit2.2. Honeypots de Alta Interatividade2.2.1. UML

2.2.2. VMware2.2.3. Mantrap3. Nveis de Envolvimento3.1. Nvel de Envolvimento Baixo3.2. Nvel de Envolvimento Mdio3.3. Nvel de Envolvimento Alto4. Tipos de Honeypots4.1. Honeypots de P roduo4.1.1. Preveno4.1.2. Deteco4.1.3. Resposta4.2. Honeypots de Pesquisa5. Honeynet5.1. Honeynets Reais5.2. Honeynets Virtuais5.3. Honeynet Project5.3.1. Ferramentas6. Vantagens e Desvantagens

CONCLUSO

INTRODUO

Google Friend Connect

Membros (1778) Mais

J um membro? Fazer login

24/1/2011 utorial Honeypot

www.tutorzone.com.br/index.php?ind 1/11


2/11

Com o nme ro crescente de sistemas e servios comprome tidos por atacantes atravs da rede,a segurana na informtica toma cada vez mais um papel preponderante no plane ja- me nto edesenvolvimento de redes organizacionais e institucionais. Os honeypots so parte integranteda se gurana e visam pas sar por sistemas e servios reais, desp rotegidos e vulnerveis, demodo a capturar informao s obre o atacante e o s mto- dos que este utiliza para atacar umsistema. Este processo realizado s em que o a tacante per- ceba que est lidando com umhoneypot e que es t revelando informao que pode compro- met-lo perante as autoridadescompetentes.. Deste modo, so a presentados e discutidos os do is tipos ex istentes dehoneypots: honeypots de ba ixa interatividade e honeypots de alta interatividade, as sim comoas suas vanta-gens e d esvantagens de im plementao, gesto e m anuteno. A utilizao dehoneypots, possibilita a proteo de redes e se rvios de produo em IPv4 e I Pv6, permitindoobter informao crucial pa ra a identificao de atacantes. Este meca- nismo possibilita tambmo dese nvolvimento de novos m todos de defesa, inerentes ao cons- tante desenvolvimentotecnolgico.

1. A HISTRIA DO HONEYPOT

O hone ypot um hos t cuja nica utilidade s er invadido, pe rmitindo a a nlise das a-es do invasor e sua identificao na rede. O primeiro relato do uso de honeypots para obse r-var as aes de um invasor citado em The Cuckoo 's Egg, livro de Cliff Stoll, um a strono-mo e adm inistrador de sistemas computacionais, formado na Universidade do Arizona, em1980, como Ph.D.Em seu livro, Stoll conta como caou um hacker alemo que invadiu o LaboratrioNacional de Lawrence Berkeley nos Estados Unidos, num pe rodo de 10 m eses, compreendi-dos e ntre 1986 e 1987.Logo aps surge An Evening with Berferd in Wich a Cracker is Lured, Endured, andStudied, um artigo de Bill Cheswick, p rofissional de segurana, onde relata as tentativas deataques ocorridas em um sistema construido pa ra ser comprome tido. Foi o primeiro artigocom grande teor tcnico e metodologia.As primeiras ferrame ntas para utilizao como honeypots vieram s ete ano s ma is tarde,

com a pione ira Deception Toolkit (DTK), desenvolvida por Fred Cohen, em novembro de1997. Era uma ferrame nta gratuita desenvolvida em C e Pe rl para sistemas Unix. Logo depois,em 1998, a primeira ferramenta comercial, CyberCop Sting, foi desenvolvida po r AlfredHuger, para Windows NT.Em 1999, surgiu o Hone ynet Project, um grupo de pesquisa formado po r 30 profissio-nais de segurana, liderados po r Lance Spitzner, e dedicados a p esquisar sobre a comunidadehacker e compa rtilhar suas exp erincias. Em 2001, eles lanaram a srie de artigos KnowYour Enemy que compilava suas expe rincias e pesquisas.Recentemente as pesquisas envolvendo honeypots e honeynets so baseadas em trsreas principais: Honeytokens, Honeyfarms e Hone ypots Dinmicos.

1.1. HONEYTOKENS

Tradicionalmente o s honeypots e honeynets so associados a computadores, recursosfsicos utilizados pa ra monitorar e/ou bloquear ataques; a real definio de um honeypot, apre-sentada no incio desse trabalho, a de ser um recurso de segurana criado para ser sondado,atacado ou comprometido, no o restringindo a um item fsico. Qualque r informao que pos -saser plantada nos p rocessos de informao, que colabore com o objetivo inicial de um

honeypot, pode se r chamada como tal.Esse tipo de hone ypot no-fsico foi convencionado por Honeytoken. Um Honeytokenpode ser uma conta de usurio com falsos privilgios, uma pla nilha, uma abe rtura em um ban-co de dados, um a apresentaco em Po werPoint, ou um login falso, por exe mplo.Qualquer uso de informao disponibilizada atravs de um Honeytoken um a ativida-de no autorizada. Dessa forma, o Honeytoken um a tcnica antiga e ex tremamente simples ,sendo indicada principalme nte para deteco de am eaas internas. Uma conta aparentementeprivilegiada, contendo senha fraca, pode ser disponibilizada na rede; se os sistemas de m oni-torame nto e de teco de intrusos e stiverem preparados, o us o de tal conta pode se r imediata-mente detectado, a judando a identificar algum tentando usar essa conta, ou se ja, acesso nopermitido.Honeytokens, no e ntanto, possuem m uitos empecilhos, pois a caracterizao do uso in-devido feita atravs de sistemas de deteco de contedo, e uso de criptografia ou compacta-o de dados atrapalham essa anlise.A principal aplicao do s Honeytokens e st no estudo do comportame nto de um ata-cante, quando e ste comprome te o sistema; e no valor de atrao adicionado ao ambiente, porexe mplo, hone ypots contendo nme ros de carto de crdito so muito mais a trativos.

1.2. HONEYFARMS

Em ambientes corporativos grandes, com milhares de redes distribudas pelo m undo, ouso de honeypots invivel pelo custo ex igido nos recursos e profissionais. O desafio a umen-ta ainda m ais se for utilizado honeynets.Os hone ypots de baixa interao capturam poucos dados, de grande valor sem dvida,mas nada comparado s honeynets, que so mais flexveis, poderosas e tambm mais comple-xas, consumindo muitas horas de trabalho, principalmente na anlise de argumentao. O a-companham ento de milhares de pontos de honeynet de uma rede consumiria tempo excessivo.Ento, um a soluo vivel a utilizao do conceito de Honeyfarm, que em vez deespalhar inmeros hone ypots pela rede, simp lificaria o processo concentrando-os em um ni-co lugar. Assim, toda atividade sem autorizao redirecionada, e o s atacantes so encami-nhados para um honeypot contido na Honeyfarm, achando que esto interagindo com um pon-to de uma rede local.




3/11

A distribuio proposta facilita a m anuteno, p ois se torna m ais sim plificada; e o s ris-cos diminuem, j que o controle de dados e fetuado em um nico lugar. Honeypots comoHoneyd e NetBait, so capazes de impleme ntar esse recurso.

1.3. HONEYPOTS DINMICOS

Hoje, o uso de honeypots ba stante trabalhoso , no impo rtando qua l tipo utilizado, debaixo ou a lto nvel, real o u virtual. A configurao ex ige bas tante conhecimento e disponibili-dade , pois tudo manual; ne cessrio analisar quais Sistemas Operacionais sero ane xado s ese se ro os me smos da rede coorporativa. A definio de quais o s servios que s ero permiti-dos de igual importncia, j que qualque r erro, por menor que seja, pode comprometer arede tornando-a suspe ita e sem efe ito.O acompa nhamento dos ho neypots inevitvel, pois exige a tualizaes constantes;novos sistemas so adicionados, antigos so modificados ou removidos e os honeypots devemacompanhar tais modificaes para refletir corretamente a rede de produo.Ento, Spitzner sugeriu que fos se de senvolvido um honeypot plug-and-play, que au-tomaticame nte identificasse u ma rede de produo com se us Sistemas O peracionais e servi-os. Assim, em 2003, lanou uma idia que tornaria o uso de hone ypots muito mais facilitado,

chamado de Honeypots Dinmicos.Os Honeypots Dinmicos so honeypots que, uma vez conectados ao sistema , automa-ticame nte determinam quantos honeypots devero ser montados, como mont-los e como elesdeveriam ser para se m isturarem ao sistema . Alm disso, estes honeypots se adaptam obse r-vando as mudancas do ambiente. Por exemplo, quando um Sistema Linux fosse adicionado rede de produo, o Sistema automaticamente seria incorporado ao honeypot; ou quando ocor-resse a remoo de uma R ede Novell, esta desapareceria do honeypot; entre outros.Porm, es sa implem entao tem muitos pontos crticos, por exe mplo: como ohoneypot ma pearia sua rede corporativa inteira, ele poderia, eventualmente, omitir algum sis-tema e, desse forma, todas as tentativas de acesso enviadas a esse sistema no obteriamretor-no; e tamb m as a tualizaes no poderiam ser feitas em tempo real, e sim e m um intervalode tempo pr-determinado.No mapeam ento da rede o honeypot pode r utilizar uma ferrame nta de obteno deimpresses digitais passivo, que determinaria o nme ro de sistemas, os tipos de SistemasOperacionais, os servios o ferecidos, como e sto se comunicando entre si e com qualfreqncia.O p0f um a ferrame nta OpenSource de obteno de im presses digitais passivo que

tem muitas das capacidades relatadas, o problema como fazer com que o honeypot utilize asinformaes fornecidas pe lo software de forma ade quada na criao de honeypots virtuais. Osoftware Honeyd, do qua l falaremos m ais frente, cria honeypots virtuais e tambm OpenSource, assim, a combinao des te com o p0f seria um pa sso grande ao rumo do sonha-do Honeypot Dinmico. A concretizao disso no est to distante.

2. O QUE HONEYPOT

Segundo Lance Spitzner, um honeypot (em portugus, pote de m el) um recurso com-putacional de segurana que d isfara os seus valores ao ser sondado, atacado ou comprometi-do. Em outras palavras, uma ferrame nta de e studo de se gurana, cuja funo principal de -ter atacantes, detectar ataques, capturar e analisar ataques automatizados, como Worms, al mde fornecer informaes importantes sobre a comunidade ha cker. um sistema que po ssui falhas de segurana, reais ou virtuais, colocadas de m aneiraproposital, a fim de que seja invadido e que o fruto desta invaso po ssa ser estudado.Um honeypot tem como finalidade: coletar cdigos m aliciosos, ide ntificar varreduras eataques automatizados, acompanhar as vulnerabilidades, m otivar os atacantes, correlacionarinformaes com outras fontes, a uxliar os sistemas de de teco de intruso, e m anter atacan-tes afastados de sistemas impo rtantes, desviando sua ateno para sistemas falsos.

Os hone ypots so subdivididos em do is grandes grupos: os honeypo ts de baixa interati-vidade e o s honeypots de a lta interatividade.

2.1. HONEYPOTS DE BAIXA INTERATIVIDA DE




4/11

Em um honeypot de baixa interatividade s o instaladas ferrame ntas para emular Siste-mas Operacionais e servios com o s quais o atacante ir interagir. Desta forma, o SistemaOperacional real de ste tipo de honeypot deve se r instalado e configurado de m odo se guro, pa-ra minimizar o risco de comprometimento.Um hone ypot de baixa interatividade simples e de fcil gerenciamento, o a tacanteno p ossui controle do sistema, e possui a es limitadas. Prm difcil de iludir um atacanteexperiente.O Back Officer Friendly, The Deception ToolKit (DTK), Specter, Honeyd, e LaBreaTarpit, so e xem plos de ferrame ntas utilizadas pa ra implementar honeypots de baixa interati-vidade.

2.1.1. BACK OFFICER FRIENDLY

Back Officer Friendly, um honeypot de baixa interatividade que fo i originalmente

desenvolvido para de tectar quando qualquer um tenta escanear um computador pelo BackOrifice, programa de controle remo to de microcomputadores para W indows 95/98. Com e leinstalado em um a mquina, qualquer pessoa com um cliente Back Orifice e que saiba a senhado se rvidor pode se conectar m quina em questo e e fetuar diversas operaes.Desde e nto, o Back O fficer Friendly vem evoluindo no sentido de detectar, tamb m,tentativas de conexo a outros se rvios tais como Telnet, FTP, SMTP, POP3 e IMAP2.Assim, quando o Back Officer Friendly recebe um a conexo a um de sses se rvios, eleenviar respostas falsa s ao atacante, atrasando -o, fazendo com que e le perca tempo , dando pessoa tempo necessrio para defender-se de outras tentativas de a taque.

2.1.2. THE DECEPTION TOOLKIT (DTK)

The Deception Too lKit (DTK) um quite de ferramentas dese nvolvido para forneceraos defensores algumas vantagens sobre seus atacantes.

Sua idia bs ica no nova. Usam os a iluso para contra-ataques. No caso do DTK, o

propsito da iluso fazer parecer, para um atacante, que o sistema onde est sendo rodado oDTK possui um grande nme ro de vulnerabilidades amplam ente conhecidas. A iluso doDTK programada, ma s limita-se tipicame nte a produzir respostas a os estmulos do atacante,de modo a simular o comportamento de um sistema que vulnervel ao mtodo do atacante.E isso gera a lguns efeitos colaterais interessantes:Isso aumenta o trabalho do atacante, porque ele no consegue saber facilmente quaisdas suas tentativas de ataque vo funcionar, e quais vo falhar. Por exemplo, se um ataqueproduz uma resposta que parece se r um arquivo de password de UNIX, o a tacante iria, nor-malm ente, rodar um crack para tentar entrar no sistema . Mas se o arquivo de password fa l-so, isso ter tomado tempo e esforo do atacante para resultado ne nhum.Tamb m n os permite rastrear tentativas de ataque e reagir antes que eles e ncontrem al-guma vulnerabilidade qual estamos realme nte sucetveis. Por exem plo, quando um atacantetenta usar um ataque SandMail conhecido contra um site, gravado todas s uas tentativas pa rarastrear suas tcnicas. Com es sa iluso imp lantada, no temo s problemas e m capturar scans deportas, adivinhaes de password, ou qualquer outro tipo de tentativa de a taque que pode serusada.Se uma pe ssoa usa o DTK, ela pode prever ataques futuros. Se ma is algumas pe ssoascomearem a usar o DTK tamb m, iram provavelmente exau rir os atacantes e eles iriam vol-

tar seus ataques para outras pessoas, que no possuam essa ferramenta. Se muitas pessoasu-sam o DTK, os atacantes iro d escobrir que precisariam se e sforar 100 vezes mais p ara inva-dir um sistema, alm de correrem um a lto risco de serem detectados bem antes de o bterem s u-cesso em seu ataque.Se pessoas o s uficiente adotarem o DTK e trabalharem juntas pa ra manter suas ilusesatualizadas, p ossvel detectar quase todos o s atacantes, exceto os ma is sofisticados. Alm detodos os ataques serem detectados logo depois de serem lanados na ampla comunidadehacker.

2.1.3. SPECTER

Specter um sistema hon eypot de de teco de intruso. Ele simula u m computadorvulnervel, fornecendo um a lvo interessante para atrair os ha ckers para longe das mquinasde produo. O Specter oferece, tam bm, servios de internet comuns como SMTP, FTP,POP3, HTTP e Telnet, o que pa recem pe rfeitame nte normais pa ra os atacantes, quando naverdade so a rmadilhas para eles "fuarem" e deixa rem rastros sem se quer notar que se co-nectaram a um sistema de isca, que no faz nada do que parece fazer, ao invs disso registra

tudo que a contece e notifica s pe ssoas a propriadas.Alm disso, o Specter investiga, automaticamente, os atacantes enquanto eles a inda es-to tentando invadir. O hone ypot fornece uma quantidade mas siva de iscas, dentre as quais i-mage ns, arquivos MP3, m ensage ns de e -mail, arquivos de p assword, documentos e todo tipode so ftware esto incluidos. Ele ge ra, dinamicame nte, programas como isca que deixaro mar-cas escondidas no computador do atacante. Atualizaes automticas online da ba se de dadosde contedo e vulnerabilidades do sistema permite ao honeypot muda r constantemente sem ainterao do usurio.E, por ltimo, m as no menos importante, o novo mdulo O bservador introduzido naverso 8.0, permite ao Specter funcionar como um gatilho detectando todo pa cote ICMP, todaconeco TCP e todo datagrama UDP, em todas a s portas.O sistema Specter consiste em um computador dedicado e o software Specter. Ele conectado na rede onde se esp era que o corra um ataque, isso geralmente significa coloc-lo omais p rxim o pos svel da Internet. Mas o Specter pode s er instalado em redes internas tam-bm, para descobrir sobre atividades suspeitas o riginadas dentro de uma organizao.Outra po ssibilidade interessante instalar o Specter numa m quina de produo comouma s ervidora de e-ma il, por exemplo. Nessa situao, o servidor SMTP real enquanto todasas outras redes d e se rvio na mqu ina so simuladas pelo Specter. Se um atacante se conectar

m quina procurando por vulnerabilidades, muito provavelmente ele ir se conectar a um dosservios simulados e achar o que e le estava procurando. Mas enquanto ele a cha que est inva-dindo, ele est, na verdade, disparando um a lerta e passa a ser investigado, e tudo que e le faz registrado num log. Ao mesm o tempo, o s ervidor de e-mail est absolutame nte seguro.Suas principais vantagens so que pe rmite de tectar imediatam ente interesses suspeitosna rede; administradores so no tificados de atividade hostil no exato mo mento em que ela a -contece, para que eles possam, imediatam ente, analizar o problema e tomar uma providncia.Permite ge rar registros detalhados sobre a tividades, fornecendo informao sobre carter, n-




5/11

vel de e xperincia e intenes de um atacante, que pode ser evidncia valiosa pa ra provar anatureza hostil das atividade do atacante. Informao impo rtante sobre a identidade do atacan-te pode se r coletada autom aticame nte enquanto ainda po ssvel. O sistema muito fcil deser configurado, e fornece features so fisticadas no encontradas em nenhum outro sistema dedeteco de intruso. E no poss ue alarmes falso s, uma vez que nenhum usurio legtmo co-nectar-se- ao honeypot.

2.1.4. HONEYD

Honeyd um pe queno programa que cria se rvidores virtuais numa rede. Servidores es-ses que podem ser configurados para rodarem servios aleatrios, alm de poderem ada ptarsua pe rsonalidade para que paream que e sto rodando um certo Sistema Operacional. O

Haneyd possibilida a um nico servidor de pegar endereos mltiplos para uma simulao narede. Alm disso, ele melhora a se gurana virtual provendo m ecanismos para deteco de a-meaas e acessos, e tambm detem os atacantes escondendo os sistemas reais no meio dossis-temas virtuais. possvel rastrear mquinas virtuais com o Honeyd, e qualquer tipo de servio na m-quina virtual pode ser simulado de acordo com um simples arquivo de configurao. Ao in-vs, tambm , de s imular um servio, o programa pode redirecionar os acessos pa ra outra m -quina.As diferentes personalidade TCP so obtidas atravs de um "mapa de impresso digi-tal" (nmap fingerprint), e a pe rsonalidade configurada o Sistema Operacional que ser retor-nado do mapa.Esse honeypot pode tanto ser usado pa ra criar uma honeynet virtual, quanto para moni-torame nto geral a rede. Ele supo rta a criao de uma topologia d e rede virtual que inclui rotase roteadores dedicados, e s rotas podem ser atribudas perdas de pa cote para fazer atopologiaparecer mais realstica.O Honeyd suporta uma variedade de recursos q ue o torna m uito flexvel para criar tan-

to servidores, quanto redes virtuais bas eadas em h oneypot. Alguns desses recursos s o: simu-lao de milhares de servidores virtuais, simultneamente; configurao de servidores aleat-rios atravs de simples a rquivos de configurao; sim ulao de Sistemas Operacionais a nvelde pilha TC P/IP; simulao de topologias aleatrias de roteadores; e virtualizao de sub-sis-temas.Quanto a virtualizao de sub-sistemas, o Honeyd suporta servios d e virtualizao e-xecutando aplicaes no UNIX como sub-sistemas rodando em endereos IP virtuais devida-mente configurados no honeypot. Isso pe rmite que qualquer aplicao da rede se conecte sportas criando conex es TCP e UDP usando o ende reo IP virtual.Sub-sistemas so virtualizados interceptando suas chamadas na rede e redirecionando-as para o Hane yd. Todo modelo de configurao pode conter sub-sistemas que s o iniciadoscomo processos separados quando o modelo ligado a o ende reo IP virtual. Um benefcio a-dicional dess a abo rdagem a habilidade do honeypot de criar trgefo espordico embackground, como pedidos po r pginas na Web , ou pedidos por leitura de e -mail, etc.O Honeyd tam bm suporta rotas assimtricas e a integrao de m quinas fsicas na to-pologia d e rede virtual. Como resultado, po ssvel usar o Honeyd para simples simulao derede: servidores fsicos pode m ser expostos a alta latncia o u perda de pa cotes, infraestruturade roteam ento alea trio, etc.

2.1.5. LABREA TARPIT

O LaBrea um sistema de deteco de intruso, um software de cdigo a berto. defcil utilizao, e mula sistemas e servios, captura trfego, mas no tem comandos nem aescontra possveis atacantes. Ele faz a escuta a os endereos IP no utilizados na rede, e cria ser-vidores virtuais atrativos aos hackers e outros possveis intrusos. As principais funes destehoneypot so:

- Assumir falsos endereos IP numa rede- Trabalhar observando os ped idos ARP- Aceitar a conexo some nte de um ped ido ARP

Este aplicativo cria mquinas virtuais para endereos IP no utilizados dentro do blocode en dereos de finidos. Quando um pedido ARP (protocolo usado pa ra encontrar um endere-o Ethernet (MAC) a partir do endereo IP) para um IP particular da nossa rede no for res-pondido no tempo p redefinido em "rate" (por diferena de 3 segundos), o software envia umaresposta ARP e desvia todo o trfego destinado a e sse IP p ara um falso endereo MAC.

Assim, o LaBrea escuta o trfego TCP do IP em itido para esse e ndereo MAC falso,respondendo a os pacotes de SYN (sincronizao) com um pacote criado p or ele mesm o deSYN/ACK. Se as m quinas estiverem ligadas por um switch, existe um a opo que e nvia umpacote ARP com o mesm o IP da mquina a proteger, assegurando que ir receber tamb m ospacotes desse IP.Para que o LaBrea no tenha endereos IP capturados inde vidamente ou endereos IPde novas m quinas que apareceram na rede, ex istem algumas precaues a se tomar: na inici-alizao feito um varrimento de todos o s IP da rede e s o ex cludos da tabela de escuta to-dos os I P que responderem. Po rm, se a sub-rede escutada pe lo LaBrea for maior do que 1024endereos o varrimento inicial no fe ito. Outra proteo : se escutar algum pacote ARP dechegada de um novo I P pertencente rede, ex clu-lo da tabela de escuta tamb m. E se receberum pa cote de um endereo existente na rede, reencaminha-lo pa ra a respectiva mquina. possvel tambm fazer a excluso manua l de determinados endereos IP. O EXC es-pecifica endereos IP que podem se r manualmente ex cludos. Enquanto o IPI e specifica ende-reos IP a serem ignorados pelo LaBrea.Enfim, o La Brea um honeypot de ba ixa interatividade, dese nvolvido pa ra parar ouabrandar ataques autom ticos e worms. Aborda de um a forma bem d iferente o conceito doshoneypots, entretanto, ainda h pouca informao d isponvel sobre ele.

2.2. HONEYPOTS DE ALTA INTERATIVIDA DE

Ao contrrio dos honeypots de baixa interatividade, nos hon eypots de alta interativida-de os a tacantes interagem com Sistemas Ope racionais, aplicaes e servios reais.Deve-se tomar cuidado na instalao e configurao dos sistemas, que permitem con-trole total do atacante e captura mais informaes s obre este, incluindo ferrame ntas e coman-dos. difcil de se distinguir de um Sistema de P roduo.




6/11

Com o exemplos d e ferrame ntas usadas para implem entar honeypots de alta interativi-dade temos: UML, VMware, Mantrap, sistema s e aplicativos reais, instalao padro de Siste-mas Operacionais, e artifcios de monitorao das atividades do s atacantes.

2.2.1. UML (USER-MODE LINUX)

User-Mode Linux (UML) uma mane ira segura e protegida de rodar Sistemas Linux eseus processos. Ele fornece uma mquina virtual que po de possuir mais recursos d e ha rdwaree so ftware do que o computador em si. O Espao em disco para a m quina virtual est inteira-mente contido dentro de um nico a rquivo na m quina fsica. Pode-se atribuir mquina vir-tual restritamente o acesso de hardware que se d eseja para e la. E, com acesso propriamente li-mitado, nada que se faa na mquina virtual pode modificar ou danificar o computado r real,ou seus softwares.O UML geralmente visto como um a tecnologia padro de m quina virtual, uma vez

que esse o nico modo como ele pode ser usado. Mas, devido ao seu design como SistemasOperacionais virtuais mais do que m quinas virtuais, torna-se uma tecnologia de virtualizaode propsito geral com uma larga gama de uso.

2.2.2. VMWARE

O VMware um software/mquina virtual que visa criar ambientes para instalao desistemas d istintos. Ele pe rmite a instalao e utilizao de um Sistema Operacional dentro deoutro da ndo supo rte real a softwares de outros sistema s.Voc pode, por exem plo, utilizar o Linux no Windows XP a um clique do mouse s emrequerer a processos complexos de particioname nto e configurao. Tam bm pode fa zer o in-verso, utilizar o Windows XP e seus programas dentro do Linux.Cada mquina virtual opera como se fosse um computador separado, com direito a dis-cos rgidos SCSI e IDE, drives de CD-ROM, placas de rede e placa de s om, po rm sempre u-sando o s recursos (CPU, mem ria e espao em disco) da mquina host, que onde o VMwareroda. Ou seja, para tirar bom proveito do VMware se faz necessria uma boa configurao de

hardware.A principal vantagem de m quinas virtuais como o VMware sobre os emulado res osuporte integral de recursos se m a necessidade de criar cdigos de traduo complex os pe sa-dos ao desempenho da mquina. A principal desvantagem obviamente o preo a pagar porisso: o VMware um software proprietrio com todas as restries tpicas de um.Recentemente, foram lanadas novas verses do VMware, que so gratuitas: oVMware Server, que voltado a o uso em servidores e conta com gerenciame nto remoto; e oVMware Player, que apena s e xecuta mq uinas virtuais prontas.O VMware funciona da seguinta forma: os arquivos so armazenados em "discos vir-tuais" que aparecem como a rquivos dentro da pasta do VMWa re no sistem a host e cada siste-ma operativo pode ter uma configurao de rede distinta, com seu prprio endereo IP e tudomais. As m quinas virtuais ficam acessveis na rede, como se fossem , realme nte, PCs comple-tos, permitindo rodar um se rvidor Web ou um programa P2P dentro de um a m quina virtual,sem comprome ter a segurana do seu Sistema O peracional principal.Com o VMware m uito mais sim ples e studar a integrao de redes e ntre vriosSistemas Ope racionais. Ele permite ainda simular uma rede com vrias verses do Linux eWindows. Tam bm uma excelente opo para conhecer outros sistemas de forma sim plifi-cada, ou para manter a compatibilidade entre sistemas antigos e novos.

2.2.3. MANTRAP

O uso da tecnologia de deteco de intrusos base ada em dissimulao (IDS) nas redescorporativas vem sendo cada dia m ais aceitvel. Essa tecnologia vem se es tabelecendo comoum s istema de alerta preventivo pa ra ambientes corporativos, permitindo que os e specialistasem segurana sejam a lertados sobre tentativas de intruso no autorizadas, sem que seja ne-cessria a impleme ntao de recursos e specializados.O Symantec Decoy Server, formalmente conhecido como ManTrap, foi de senvolvidopela Symantec, e se tornou uma tecnologia baseada em dissimulao, evoluindo para a tercei-ra gerao de um aplicativo de segurana que o ferece um IDS de classe corporativa fcil de u-sar e gerenciar, para a proteo dos servidores ma is impo rtantes nos ambientes corporativos.O Man Trap comple ta as so lues de se gurana como firewalls e sistemas de detecode intruses com a tecnologia a vanada de dissim ulao e senso res para alerta preventivo. Eledetecta am eaas e ativa o desvio e confinamento de ataques, disfarando-se como o alvo do a-taque. Quando os ataques s o direcionados a o sensor do ManTrap, este fornece deteco de a-

taque completa atravs de um sistema de mdulos para coleta de dados. Todas as aes soregistradas para anlise, permitindo que o s administradores entendam a ame aa e respondamde forma adequada. Alm disso, como o ManTrap no baseado em assinaturas, novos ata-ques so detectados e respostas podem s er formuladas se m que o s recursos de produosejamcolocados em risco.O ex clusivo esquema de imple mentao do ManTrap, configure e esquea, funcionade forma e fetiva com um a abo rdagem de segurana em vrios nveis. O ManTrap permite queredes completas sejam disfaradas, atravs da criao de mltiplos sistemas dissim ulados pa racada unidade fsica de hardware. Ele o ferece instalaes automa tizadas de uma rede de senso-res de alerta preventivo, alm de ge renciamento centralizado para facilitar as implem entaesem toda a em presa.O Symantec ManTrap pos sui o recurso exclusivo de deteco de ataques ba seada emservidores e na rede, pe rmitindo que as empresas se beneficiem da deteco hbrida em umanica soluo. Os ataques na rede s o detectados atravs de um s ensor da rede, enquanto osataques ba seados em servidores so de tectados atravs do prprio Sistema Operacional doservidor. Independente da forma como o ataque seja realizado, ManTrap detectar e responde-r a acessos e utilizaes no autorizadas, fornecendo informaes de talhadas sobre os ata-

ques internos e ex ternos. medida que as empresas utilizam de ferramentas de e-business mais avanadas, pa-cotes legtimos pode m confundir os sistemas d e segurana que monitoram o trfego. Co moconseqncia, falsos nega tivos e po sitivos podem perturbar as solues de segurana tradicio-nais. Por outro lado, todo o trfego direcionado ao se nsor do ManTrap torna-se suspeito. Eli-minando a possibilidade de informaes falsas, os administradores de sistema podem se con-centrar em am eaas legtimas, permitindo um a po stura de segurana corporativa muito ma isefetiva.Uma vez que o servidor do ManTrap atacado, as atividades do atacante so monito-




7/11

radas em temp o real, utilizando a Monitorao Oculta, uma ferramenta de anlise de sesse s.As sesse s pode m se r gravadas e reproduzidas pa ra anlise futura, visando ajudar as empresasa compreender seus pontos fracos, bem como as ferrame ntas e tticas usadas contra ela s.ManTrap inclui ferrame ntas completas de relatrios para anlise detalhada de inciden-tes. Os relatrios permitem a a nlise de da dos de sde resumos de alto nvel at especficas in-formaes detalhadas sob re ataques. Grficos e tabelas podem ser gerados de forma personali-zada sob demanda, ou podem ser geradas de forma programada para compatibilidade com asregulamentaes. O modelo e tendncia das ameaas fornecem uma forma efetiva de analisaros a taques e prever as respostas futuras e requisitos pa ra efetivar as defesa s necessrias paradesviar tais ataques.O Man Trap requer muito me nos recursos de gerenciamento do que qualquer outroIDS. Os administradores podem facilmente configurar um compartimento e a guardar instru-es. Todas a s implem entaes do ManTrap pode m se r gerenciadas a partir de um nico con-sole, onde os adm inistradores podem definir as po lticas de respostas, monitorar as atividades

e analisar as ameaas.Finalmente, o ManTrap utiliza respostas b aseada s em polticas que podem ser inicia-das em tempo real, para conter e controlar ataques e iniciar outras aes requeridas para res-postas a incidentes. Suas po lticas customizveis de respostas, combinadas com filtros a vana-dos, permitem que o ManTrap descarte eventos automa ticame nte para revelar apenas os dadosde ataques ne cessrios pa ra responder efetivame nte a q ualquer incidente. ManTrap fornecetambm dados ao Symantec ManHunt para anlise de ataques correlacionados, com softwarepara gerenciamento de ameaas.

3. NVEIS DE ENVOLVIMENTO

Honeypots possuem diferentes funcionalidades, desde a simples simulao de um ser-vio a t a construo de um a rede de honeypots oferecendo servios reais, como um ahoneynet. Para distinguir os tipos de honeypots, Lance Spitzner, em seu livro, criou o conceito

de nveis de e nvolvimento, referente a m aneira que o hon eypot interage com o a tacante. Os

nveis de envolvimento so divididos em: baixo, mdio e alto.

3.1. NVEL DE ENVOLVIMENTO BAIXO

O nvel de e nvolvimento ba ixo, equivale a servios emulados pelo hone ypot. Nesse ti-po de envolvimento, o atacante possui uma m nima interao com o honeypot e por isso sopoucos os dados gerados, em geral informam apenas as tentativas de conexo.

3.2. NVEL DE ENVOLVIMENTO MDIO

No nvel de envolvimento mdio, a interao entre o honeypot e o atacante ma ior,mas no equivale a um sistema real. Os servios oferecidos ainda so emulados, mas estesrespondem a s requisies do atacante como se rvios reais. Desta forma, mais dados sobre oataque s o obtidos. Po rm, de vido ao m aior grau de interao com o sistema, o s riscos tam-bm aumentam.

3.3. NVEL DE ENVOLVIMENTO ALTO

No nvel de envolvimento alto, os se rvios so reais, no em ulados. Po r serem Siste-mas Operacionais e mquinas reais, o nvel de interao com o atacante mu ito maior e destaforma a quantidade de da dos ob tidos sobre o ataque enorme. Em contrapartida, este nveloferece o maior risco possvel, uma vez que , tendo invadido o sistema, o atacante tem um Sis-tema Operacional real para lanar ataques a outras mquinas.

4. TIPOS DE HONEYPOTS

Pode mos classificar os honeypots em duas categorias gerais: Honeypots de P roduo eHoneypots de Pesquisa. Estas categorias foram primeiro propostas po r Marty Roesch, desen-volvedor do Snort.

4.1. HONEYPOTS DE PRODUO

Honeypots de Produo so sistemas que aumentam a segurana de uma organizaoespecfica e ajudam a reduzir riscos. So m ais fceis de construir porque requerem menos fun-

cionalidades. Usualmente possuem as mesmas configuraes que a rede de produo da orga-nizao e transportam para ela todo o aprendizado obtido com os a taques sofridos. Analisare-mos as Honeypots de Produo se gundo as categorias de se guranca definidas por BruceSchneier em seu livro Secrets and Lies. Schneier divide segurana em: preveno, detecoe resposta.

4.1.1. PREVENO

Nos termos definidos por Schneier, preveno significa manter os invasores fora desua rede. Fazendo uma a nalogia com a seguranca de uma casa, preveno significa instalaruma cerca no jardim, fechar as janelas e trancar as portas, ou seja, fazer todo o possvel paramanter do lado de fo ra qualquer ame aa. Sob este ponto de vista, honeypots tem pouco aacrescentar, uma vez que no consegue m ba rrar os poss veis atacantes, de fato po ssuem oobjetivo o posto.Alguns pesquisadores alegam que honeypots so im portantes para a preveno, poradicionarem alguns fatores como o tempo e os recursos ga stos pelo invasor na tentativa deataque a um hone ypot, quando estes recursos poderiam estar sendo direcionados para umarede de produo; e a p reocupao infringida ao a tacante por este saber que a rede de um a or-

ganizao pode ser na verdade um honeypot.Estes argumentos s o vlidos pa ra ataques contra alvos de escolha, onde os atacantestm um grande nvel de conhecimento e ana lisam a informao que recebem do alvo para efe-tuarem o ataque. Para alvos de opo rtunidade, nos qua is o que ma is importa para o atacante aquantidade de alvos atingidos e na maioria das vezes, tais ataques so automatizados, umhoneypot agrega pouco valor de preveno.

4.1.2. DETECO




8/11

A deteco se refere a a lertar atividades no autorizadas. Seguindo a mesm a ana logiada se gurana de uma casa, deteco significaria instalar alarmes pela casa, detectores de m o-vimento, etc. Deteco im portante, pois m ais cedo ou mais tarde a preveno falhar, sejapor causa de um a m configurao do firewall, uma nova vulnerabilidade de um servio o fe-recido pe lo sistema, o u qualquer outro motivo.

na deteco que um honeypot tem ma ior importncia, uma vez que todo trfego ge-rado para o hone ypot suspeito e de ve ser verificado. Apena s em alguns casos sero ge radosfalsos po sitivos como, por exe mplo, no caso de algum , acidentalmente, apontar seu browserpara o endereo IP do hone ypot. A deteco tambm se torna mais fcil pois os logs ge radospelo hone ypot esto livres do rudo ex istente em uma rede de produo real. Embora seja de

grande valor, um honeypot possui a de svantagem de no poder detectar trfego que no sejadirecionado a ele.

4.1.3. RESPOSTA

Uma vez identificado um ataque, a lgumas a es so necessrias como coletar evidn-cias de como o atacante conseguiu acesso ao sistema, o que ele fez ao sistema, de onde eleconseguiu acesso, e o encaminhame nto destas informaes s a utoridades responsveis. Taisaes se referem a resposta dada ao ataque.Um hone ypot se mostra de grande valor para a reposta dada ao incidente, uma vez quea an lise de um ataque facilitada devido a coleta de e vidncias que simples e livre de ru-dos. O sistema tambm pode ser imediatamente desconectado da rede, diferente de um siste-ma de produo real que fo rnece servios que no podem ficar offline.

4.2. HONEYPOTS DE PESQUISA

Os Honeypots de P esquisa ofe recem um a plataforma de estudo visando compreender acomunidade hacker, no apenas es tudar as ferramentas utilizadas para a invaso, que normal-

mente so deixadas no sistema pelo atacante, mas obter informaes preciosas como: qualfer-ramenta utilizada para testar o sistema , qual exploit (programa qu e ex plora a vulnerabilida-de de outros programas) utilizado pa ra comprome t-lo, etc.Embora o ganho de conhecimento sobre as aes e mo tivaes da comunidade ha ckerseja enorme, um Honeypot de Pe squisa pouco acrescenta a uma organizao, po is esto foca-dos nas aes do atacante e no apenas na sua deteco.

5. HONEYNET

Uma honeynet uma ferrame nta de pesquisa, que consiste de uma rede projetada espe-cificame nte para se r comprome tida, e que contm mecanismos de controle para prevenir queseja utilizada como base de ataques contra outras redes. Ou seja, uma honeynet nada ma is do que um tipo de ho neypot, especificame nte, de alta interatividade, projetado para pesquisa eobteno de informaes dos invasores. conhecida tambm como um Hone ypot dePesquisa.

Uma vez comprometida, a honeynet utilizada para obse rvar o comportame nto dos in-vasores, possibilitando anlises detalhadas da s ferrame ntas utilizadas, de suas motivaes edas vulnerabilidades exploradas.Os ele mentos integrantes de um a honeynet podem ser divididos em trs grupos, sendoeles: os componentes alvo, que so os honeypots em si, pois so estes os alvos de interaocom os a tacantes; os compon entes de interligao e conteno de fluxos, s o os componen-tes responsveis pela interligao do interior da honeynet com o mundo e xterior, sendo res-ponsveis pela conteno de todos os fluxos que por eles passam; e os componentes de cap-tura, armazenam ento e anlise, que, como o nome indica, so componentes responsveispela a nlise, armazenam ento e captura dos dados prove-nientes de a es intrusivas.Uma honeynet normalm ente contm um segme nto de rede com honeypots de diversosSistemas Ope racionais e que fornecem diversas aplicaes e servios. Tambm contm meca-nismos de conteno robustos, com m ltiplos nveis de controle, alm de sistemas para captu-ra e coleta de dados, e para gerao de a lertas. As honeynets so divididas e m dois tipos: ashoneynets reais, e as ho neynets virtuais.

5.1. HONEYNETS REAIS

Em uma hone ynet real os dispositivos que a compe m, incluindo os honeypots, meca-nismos de conteno, de alerta e de coleta de informaes, s o fsicos. Sua estrutura forma-da, escencialmente, por hubs, switches e roteadores.




9/11

Por exe mplo, um a honeynet real poderia ser compo sta por diversos computadores, umpara cada honeypot, onde cada honeypot teria um Sistema Operacional prprio, com aplica-es e servios reais instalados. O u seria composta por um computador com um firewall ins-talado, atuando como m ecanismo de conteno e d e coleta de dados. Ou um computador comum IDS instalado, atuando como me canismo de gerao de alertas e de coleta de dados. Ouum computador atuando como repositrio dos dados coletados.A grande vantagen des te tipo de honeynet : ma ior descentralizao, o que representamaio r segurana no funcionam ento da hone ynet, pois os dispositivos no se e ncontram liga-dos entre si. Deste modo, a violao de um sistema no afeta os restantes, logo no afe ta ofuncioname nto da honeynet. Outras vantagens tambm so: o baixo custo por dispositivo, e osatacantes interagem com ambie ntes reais.Por outro lado, a manuteno ma is difcil e trabalhosa , a necessidade de ma is espaofsico para os equipam entos, e o custo total tendendo a ser mais e levado, se tornam des vanta-gens de uma honeynet real.

5.2. HONEYNETS VIRTUAIS

Uma honeynet virtual baseia-se na id ia de ter todos o s componentes de um a honeynetimpleme ntados em um nmero reduzido de dispositivos fsicos. Para isto, normalmente uti-lizado um nico computador com um Sistema Operacional instalado, que se rve de base para aexecuo de um software de virtualizao, como o VMWare (Virtual Infrastructure Software)

ou o UML (Use r Mode Linux), que permite emular outros Sistemas Operacionais simultanea-mente, com aplicaes e se rvios instalados.

As honeynets virtuais ainda so subdivididas em dua s categorias: honeynets de auto-conteno e honeynets hbridas.Nas honeynets de auto-conteno, todos os mecanismos, incluindo conteno, captura




10/11

e coleta de dados, gerao de a lertas e o s honeypots (implem entados a travs do so ftware devirtualizao) e sto em um nico computador.J nas honeynets hbridas, os m ecanismos de conteno, captura e coleta de dados egerao de alertas so exe cutados em dispositivos distintos, enquanto que o s honeypots soexe cutados em um nico computador com um software de virtualizao.As vantagens das honeynets virtuais so: e spao fsico alo cado e custos so reduzidosdevido utilizao de uma nica mquina; e no qu e diz respeito gesto, a reinstalao e amanuteno tornam-se processos mais simples.Enquanto que , como de svantagens, se apresentam: o alto custo po r dispositivo, poisso ne cessrios equipam entos mais robustos; a partilha de recursos numa me sma m quinapode originar uma degradao da honeynet, perante o crescimento desta; a possibilidade de

single point of failure, ou seja, como os compone ntes so concentrados em um nico ponto,a violao de um sistema compromete todos os outros sistemas, o que pode inviabilizar todo ofuncioname nto da honeynet; o software de virtualizao pode limitar o hardware e Sistemas

Operacionais utilizados; e aume nta a pos sibilidade do atacante descobrir que es t interagindocom um ambiente falso.

5.3. HONEYNET PROJECT

Fundado e m Outubro de 1999, o Honeynet Project uma organizao s em fins lucrati-vos dedicada m elhoria da segurana na Internet disponibilizando gratuitamente os ltimosdesenvolvimentos em investigao. Desde a data da sua fundao, a Honeynet Project temdisponibilizado o s seguintes se rvios:Aumentar a percepo - a lerta sobre as am eaas e vulnerabilidades ex istentes naInternet dos dias de hoje. A maioria das o rganizaes e indivduos no possuem conscinciade que so alvos de ataques, nem possuem o conhecimento sobre quem so esses atacantes.OHoneynet Project tem disponibilizado informao sobre a fo rma de artigos Know YourEnemy, para consciencializar as pessoa s de forma a minimizar os impa ctos.Lecionar e Informar. Disponibiliza d etalhes na forma de artigos Know Your Enemy

e Scan Of The Month Challenge s para melho r segurana e defesa dos recursos utilizados.Investigar. Para o rganizaes interessada s em continuar as suas prprias investigaes sobreas ame aas do mundo ciberntico, o Honeynet Project disponibiliza fe rrame ntas e tcnicas po rele dese nvolvidas para fins de auxlio.Esta organizao tem contribudo positivamente para a criao de correes, avisos e novasferrame ntas, auxiliando no comba te de a es ilcitas realizada s pelo Mundo inteiro.

5.3.1. FERRAMENTAS

A investigao efetuada pelo Honeynet Project tem s ido de grande influncia para o aume nto dasegurana a nvel mund ial, principalmente, no de senvolvimento de ferrame ntas para simp lificara implem entao e aumen tar a confiafiabilidade das honeynets organizacionais e deinvestigao. As ferrame ntas para a construo de uma honeynet resultantes da in-vestigao do Honeynet Project podem se r divididas em: Co ntrole de Dados, Cap tura de Da-dos e Anlise de Dados.

a) Controle de Dados

Snort-inline. Consiste num Snort modificado, com a particularidade de, e m vez deaceitar pacotes do IPTab les atravs da biblioteca libpcap, aceit-los atravs da biblioteca

libipq. Este, mediante as assinaturas e xistentes do Snort, informa o IPTa bles que pacotes estedeve deixar pa ssar, bloquear, alterar, etc.SnortConfig. um script desenvolvido em Perl que transforma as regras atuais do Snort emregras compatveis para o Snort-inline, como drop, sdrop, replace, etc.Session Limit. uma mo dificao do firewall pf do O penBSD. Possui a capacidade de limitar onmero de ses ses. Pode ser utilizado tanto a nvel 2 como a nvel 3.E Limitao de Largura de Banda do s Honeypots. Utilizado para definir quantos pacotes deoutbound os atacantes podem enviar da honeynet, quando comprometem um honeypot.

b) Captura de Dados

Sebek. Esta ferrame nta permite capturar as a es de um atacante num honeypot. Aes comokeystrokes, e xecuo de binrios, comunicaes codificadas (SSH, IP sec), entre o utras; s o

difceis se no praticame nte impossveis de capturar e armazenar no honeypo t, sem que oatacante se d conta. Deste modo, o Sebek, captura estas aes e as envia po r UDP, para umservidor de lo gs (Sebek Server) que usua lmente se encontra no gateway. Este, sendo ummdu lo oculto do kernel, envia as m ensage ns UDP com um determinado porto e nmeromgico, de modo a evitar que todos o s honeypots a executar Sebek sejam imped idos de veresses mesm os pacotes. Desta forma, im possvel ao atacante no interior de uma honeynetvisualizar essa informao. de notar que quando instalado, se no for em modo de teste, impossvel a s ua posterior remoo.MWcollect. Essa ferramenta consiste num honeypot de baixa interao para recolher worms, eoutros malwares de propagao a utomtica. P cap_api. uma ferrame nta utilizada comointerface dos da dos pcap.

Servidores Xeon5600 HTModelos com RAID-5 &Intel SSD Surpreenda-

se com essaperformance!www.sinco.net




11/11

NewslatterReceba Tutoriais e Novidades emseu E-mail.

E-mail: Enviar

Assinar Remover

Enviar TutoriaisDivulgue Grtis seu SiteConosco.

Categorias em Destaque

Photoshop 3DSMax Flash

Fireworks CSS Office

TutorZone - Todos os Direitos Reservados

Envie Seu Link Tutorial Apostilas Anuncie Conosco

Home - Blog - Frum - Contato - Parceiros

Curtir 16 pessoas curtiram isso.

-


Tutorial Honeypot

Documents

Transcript of Tutorial Honeypot