Upload
internet
View
119
Download
0
Embed Size (px)
Citation preview
Honeypot
Um honeypot é:
Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots:
Os de baixa interatividade e os de alta interatividade.
Honeypot
Honeypots de baixa interatividade
Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir.
Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.
Honeypot
Honeypots de alta interatividade
Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.
HoneypotHoneynet
Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes .
Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" .
Honeypot
Uma honeynet normalmente contém:
* Segmento de rede com honeypots de diversos sistemas operacionais.
*Diversas aplicações e serviços.
*Mecanismos de contenção robustos.
*Múltiplos níveis de controle.
*Sistemas para captura e coleta de dados, e para geração de alertas.
Honeypot
A honeynet é utilizada para observar o comportamento dos invasores:
*Possibilitando análises detalhadas das ferramentas utilizadas para invasão.
*Motivações para a invasão.
*Vulnerabilidades exploradas.
HoneypotHoneynets reais
Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos.
*Diversos computadores, cada honeypot com um sistema operacional, aplicações e serviços reais instalados.
*Firewall instalado, atuando como mecanismo de contenção e de coleta de dados. *IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados.
*Computador atuando como repositório dos dados coletados.
*Hubs /switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.
HoneypotHoneynets virtuais
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos.
Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software)
Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo.
Honeypot
HoneypotConsórcio Brasileiro de Honeypots
Projeto Honeypots Distribuído
Honeypot# City Institutions
01 São José dos Campos INPE, ITA
02 Rio de JaneiroBNDES, CBPF, Embratel, Fiocruz, Furnas, PUC-RIO, RedeRio
03 São PauloANSP, Banco Real, CERT.br, Diveo, Durand, TIVIT, UNESP, UOL, USP
04 Campinas CenPRA, ITAL, UNICAMP
05 São José do Rio Preto UNESP
06 Piracicaba USP
07 Petrópolis LNCC
08 BrasíliaBanco do Brasil, Brasil Telecom, CTIR Gov, Ministério da Justiça, TCU
09 Porto Alegre CERT-RS
10 Ribeirão Preto USP
11 São Carlos USP
12 Florianópolis UFSC DAS
13 Uberlândia CTBC Telecom
14 Lins FPTE
15 Passo Fundo UPF
16 Curitiba Onda, PoP-PR, PUCPR
17 Belém UFPA
18 São Leopoldo Unisinos
19 Belo Horizonte CSIRT PoP-MG, Diveo
20 Recife EMPREL
21 Salvador UFBA
22 Vitória PoP-ES
Honeypot
Abrangência
*Todo o tráfego destinado a ele é, por definição, anômalo ou malicioso.
*Ferramenta de segurança isenta de falso-positivos.
*Fornece informações de alto valor.
*Utilizados como um complemento para a segurança da rede de uma instituição.
Honeypot
Aplicabilidade
Normalmente, o uso de honeypots está associado aos seguintes objetivos:
*Detectar ataques internos.
*Identificar varreduras e ataques automatizados; identificar tendências;
*Manter atacantes afastados de sistemas importantes;
*Coletar assinaturas de ataques;
*Detectar máquinas comprometidas ou com problemas de configuração;
*Coletar código malicioso (malware).
Honeypot
CaracterísticasHoneypot de baixainteratividade
Honeypot de alta interatividade/Honeynet
Instalação fácil mais difícil
Manutenção fácil trabalhosa
Risco de comprometimento baixo alto
Obtenção de informações limitada extensiva
Necessidade de mecanismos de contenção
não sim
Atacante tem acesso ao S.O. real não (em teoria) sim
Aplicações e serviços oferecidos emulados reais
Atacante pode comprometer o honeypot
não (em teoria) sim
Tabela Comparativa
HoneypotPosicionamento na Rede
*Necessita de um bloco de endereçamento IP da instituição, que seja roteável e que não esteja sendo utilizado.
*Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituição.
*Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado.
*É fortemente recomendado que não haja poluição de dados.
*Não haver qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o honeypot/honeynet.
HoneypotConsórcio Brasileiro de Honeypots
Projeto Honeypots Distribuído
Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro.
Para atingir estes objetivos, pretende-se:
Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd), buscando cobrir a maior parte do espaço de endereços IP da Internet no Brasil.
Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques.
Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações
Honeypot