Honeypot

Um honeypot é:

Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots:

Os de baixa interatividade e os de alta interatividade.

Honeypot

Honeypots de baixa interatividade

Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir.

Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.

Honeypot

Honeypots de alta interatividade

Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.

HoneypotHoneynet

Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes .

Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" .

Honeypot

Uma honeynet normalmente contém:

* Segmento de rede com honeypots de diversos sistemas operacionais.

*Diversas aplicações e serviços.

*Mecanismos de contenção robustos.

*Múltiplos níveis de controle.

*Sistemas para captura e coleta de dados, e para geração de alertas.

Honeypot

A honeynet é utilizada para observar o comportamento dos invasores:

*Possibilitando análises detalhadas das ferramentas utilizadas para invasão.

*Motivações para a invasão.

*Vulnerabilidades exploradas.

HoneypotHoneynets reais

Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos.

*Diversos computadores, cada honeypot com um sistema operacional, aplicações e serviços reais instalados.

*Firewall instalado, atuando como mecanismo de contenção e de coleta de dados. *IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados.

*Computador atuando como repositório dos dados coletados.

*Hubs /switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.

HoneypotHoneynets virtuais

Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos.

Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software)

Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo.

Honeypot

HoneypotConsórcio Brasileiro de Honeypots

Projeto Honeypots Distribuído

Honeypot# City Institutions

01 São José dos Campos INPE, ITA

02 Rio de JaneiroBNDES, CBPF, Embratel, Fiocruz, Furnas, PUC-RIO, RedeRio

03 São PauloANSP, Banco Real, CERT.br, Diveo, Durand, TIVIT, UNESP, UOL, USP

04 Campinas CenPRA, ITAL, UNICAMP

05 São José do Rio Preto UNESP

06 Piracicaba USP

07 Petrópolis LNCC

08 BrasíliaBanco do Brasil, Brasil Telecom, CTIR Gov, Ministério da Justiça, TCU

09 Porto Alegre CERT-RS

10 Ribeirão Preto USP

11 São Carlos USP

12 Florianópolis UFSC DAS

13 Uberlândia CTBC Telecom

14 Lins FPTE

15 Passo Fundo UPF

16 Curitiba Onda, PoP-PR, PUCPR

17 Belém UFPA

18 São Leopoldo Unisinos

19 Belo Horizonte CSIRT PoP-MG, Diveo

20 Recife EMPREL

21 Salvador UFBA

22 Vitória PoP-ES

Honeypot

Abrangência

*Todo o tráfego destinado a ele é, por definição, anômalo ou malicioso.

*Ferramenta de segurança isenta de falso-positivos.

*Fornece informações de alto valor.

*Utilizados como um complemento para a segurança da rede de uma instituição.

Honeypot

Aplicabilidade

Normalmente, o uso de honeypots está associado aos seguintes objetivos:

*Detectar ataques internos.

*Identificar varreduras e ataques automatizados; identificar tendências;

*Manter atacantes afastados de sistemas importantes;

*Coletar assinaturas de ataques;

*Detectar máquinas comprometidas ou com problemas de configuração;

*Coletar código malicioso (malware).

Honeypot

CaracterísticasHoneypot de baixainteratividade

Honeypot de alta interatividade/Honeynet

Instalação fácil mais difícil

Manutenção fácil trabalhosa

Risco de comprometimento baixo alto

Obtenção de informações limitada extensiva

Necessidade de mecanismos de contenção

não sim

Atacante tem acesso ao S.O. real não (em teoria) sim

Aplicações e serviços oferecidos emulados reais

Atacante pode comprometer o honeypot

não (em teoria) sim

Tabela Comparativa

HoneypotPosicionamento na Rede

*Necessita de um bloco de endereçamento IP da instituição, que seja roteável e que não esteja sendo utilizado.

*Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituição.

*Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado.

*É fortemente recomendado que não haja poluição de dados.

*Não haver qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o honeypot/honeynet.

HoneypotConsórcio Brasileiro de Honeypots

Projeto Honeypots Distribuído

Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro.

Para atingir estes objetivos, pretende-se:

Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd), buscando cobrir a maior parte do espaço de endereços IP da Internet no Brasil.

Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques.

Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações

Honeypot