pontifÍcia universidade catÓlica de campinas curso de engenharia da computação disciplina de...
TRANSCRIPT
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINASCurso de Engenharia da Computação
Disciplina de Tópicos em Redes B
Alunos:Gustavo SicoliLuiz Fernando Testa ContadorRafael Diniz de FreitasRenato Seiti Tsukada
Este seminário visa apresentar as armadilhas para invasores de sistemas, conhecidas como honeypots, e seu uso como ferramenta de pesquisa. As discussões vão se centrar em honeypots de baixa interatividade, sua origem, vantagens e desvantagens das soluções mais conhecidas. Baseado na ferramenta Valhala Honeypot , será mostrado como configurar um honeypot e monitorar os logs gerados, através de ferramentas que emulam um ambiente para demonstração do mesmo.
Honeypot = Pote de Mel
São recursos computacionais dedicados aserem sondados, atacados ou comprometidos,num ambiente que permita o registroe controle dessas atividades.
“Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável”
Lance Spitzner - 2003
Detectar ataques internos; Identificar varreduras e ataques
automatizados; Identificar tendências;Manter atacantes afastados de
sistemas importantes;Coletar assinaturas de ataques;Detectar máquinas comprometidas
ou com problemas de configuração;Coletar código malicioso (malware).
Baixa Interatividade Alta Interatividade
Emulam serviços e sistemas O atacante não tem acesso ao sistema
operacional real O atacante não compromete o honeypot Fácil de configurar e manutenção Baixo risco Informações obtidas são limitadas Exemplos: Back Ofcer Friendly, DeceptionToolkit(DTK), Specter, Honeyd, Labrea,
Tarpit
Mais difíceis de instalar e manter Maior risco Necessitam mecanismos de
conteção, para evitar que sejam usados para lançamento de ataques contra outras redes
Coleta extensa de informações Exemplos: honeynets e honeynets
virtuais
Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes
É conhecido também como "honeypot de pesquisa” ,de alta interatividade, projetado para pesquisa e obtenção de informações .
Honeynets Reais Honeynets Virtuais
Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados;
Um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados;
Um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados;
Um computador atuando como repositório dos dados coletados;
hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um computador
Um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o Vmware,VirtualBox.
As honeynets virtuais ainda são subdivididas em duas categorias: Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dado, geração de alertas e os honeypots (implementados através de um software de virtualização)
Na segunda, esses mecanismos são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.
Honeynets Virtuais
Vantagens: manutenção mais simples; necessidade de menor espaço físico, e custo final tende a ser mais baixo.
Desvantagens : alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas, atacante pode obter acesso a outras partes do sistema.
através do software de Virtualização
Honeynets Reais
Vantagens: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais.
Desvantagens : manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.
Honeypots/Honeynets devem ser utilizados como um complemento para a segurança e não devem ser usados como substitutos para:
Boas práticas de segurança; Políticas de segurança; Sistemas de gerenciamento de
correções de segurança (patches); Outras ferramentas de segurança,
como firewall e IDS.
Porque usar Honeyd?
Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo
tempo Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço Suporta somente os protocolos TCP, UDP e
ICMP
A Ferramenta Honeydsum Escrita em Perl Gera sumários em texto e HTML válido Gera grácos personalizados Sistema de ltros como, portas, protocolos,
endereços IPs e redes, etc. Sanitização dos logs por endereço/rede de
origem e/ou destino Correlacionamento de eventos entre
diversos honeypots
Analise de Logs por Honeyd ( usando TCP/UDP)
Analise de Logs por Honeyd (Utilizando SSH)
Analise de Logs por Honeyd (Ataque por HTTP)
Honeypots e Honeynets: Definicões e Aplicacões http://www.cert.br/docs/whitepapers/honeypots-honeynets/
Resultados Preliminares do Projeto SpamPots http://www.cert.br/docs/whitepapers/spampots/
Consórcio Brasileiro de Honeypots http://www.honeypots-alliance.org.br/
The Honeynet Project http://www.honeynet.org/
CERT.br http://www.cert.br/
NIC.br http://www.nic.br/