A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Honeypot Um honeypot é: Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa.

Apresentações semelhantes


Apresentação em tema: "Honeypot Um honeypot é: Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa."— Transcrição da apresentação:

1 Honeypot Um honeypot é: Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa interatividade e os de alta interatividade.

2 Honeypot Honeypots de baixa interatividade Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.

3 Honeypot Honeypots de alta interatividade Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.

4 Honeypot Honeynet Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes. Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa".

5 Honeypot Uma honeynet normalmente contém: * Segmento de rede com honeypots de diversos sistemas operacionais. *Diversas aplicações e serviços. *Mecanismos de contenção robustos. *Múltiplos níveis de controle. *Sistemas para captura e coleta de dados, e para geração de alertas.

6 Honeypot A honeynet é utilizada para observar o comportamento dos invasores: *Possibilitando análises detalhadas das ferramentas utilizadas para invasão. *Motivações para a invasão. *Vulnerabilidades exploradas.

7 Honeypot Honeynets reais Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos. *Diversos computadores, cada honeypot com um sistema operacional, aplicações e serviços reais instalados. *Firewall instalado, atuando como mecanismo de contenção e de coleta de dados. *IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados. *Computador atuando como repositório dos dados coletados. *Hubs /switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.

8 Honeypot Honeynets virtuais Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) VMware Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo.

9 Honeypot

10 Consórcio Brasileiro de Honeypots Projeto Honeypots Distribuído

11 Honeypot #CityInstitutions 01São José dos CamposINPEINPE, ITAITA 02Rio de Janeiro BNDESBNDES, CBPF, Embratel, Fiocruz, Furnas, PUC- RIO, RedeRioCBPFEmbratelFiocruzFurnasPUC- RIORedeRio 03São Paulo ANSPANSP, Banco Real, CERT.br, Diveo, Durand, TIVIT, UNESP, UOL, USPBanco RealCERT.brDiveoDurand TIVITUNESPUOLUSP 04CampinasCenPRACenPRA, ITAL, UNICAMPITALUNICAMP 05São José do Rio PretoUNESP 06PiracicabaUSP 07PetrópolisLNCC 08Brasília Banco do BrasilBanco do Brasil, Brasil Telecom, CTIR Gov, Ministério da Justiça, TCUBrasil TelecomCTIR Gov Ministério da JustiçaTCU 09Porto AlegreCERT-RS 10Ribeirão PretoUSP 11São CarlosUSP 12FlorianópolisUFSC DAS 13UberlândiaCTBC Telecom 14LinsFPTE 15Passo FundoUPF 16CuritibaOndaOnda, PoP-PR, PUCPRPoP-PRPUCPR 17BelémUFPA 18São LeopoldoUnisinos 19Belo HorizonteCSIRT PoP-MGCSIRT PoP-MG, DiveoDiveo 20RecifeEMPREL 21SalvadorUFBA 22VitóriaPoP-ES

12 Honeypot Abrangência *Todo o tráfego destinado a ele é, por definição, anômalo ou malicioso. *Ferramenta de segurança isenta de falso-positivos. *Fornece informações de alto valor. *Utilizados como um complemento para a segurança da rede de uma instituição.

13 Honeypot Aplicabilidade Normalmente, o uso de honeypots está associado aos seguintes objetivos: *Detectar ataques internos. *Identificar varreduras e ataques automatizados; identificar tendências; *Manter atacantes afastados de sistemas importantes; *Coletar assinaturas de ataques; *Detectar máquinas comprometidas ou com problemas de configuração; *Coletar código malicioso (malware).

14 Honeypot Características Honeypot de baixa interatividade Honeypot de alta interatividade/Honeynet Instalaçãofácilmais difícil Manutençãofáciltrabalhosa Risco de comprometimentobaixoalto Obtenção de informaçõeslimitadaextensiva Necessidade de mecanismos de contenção nãosim Atacante tem acesso ao S.O. realnão (em teoria)sim Aplicações e serviços oferecidosemuladosreais Atacante pode comprometer o honeypot não (em teoria)sim Tabela Comparativa

15 Honeypot Posicionamento na Rede *Necessita de um bloco de endereçamento IP da instituição, que seja roteável e que não esteja sendo utilizado. *Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituição. *Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado. *É fortemente recomendado que não haja poluição de dados. *Não haver qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o honeypot/honeynet.

16 Honeypot Consórcio Brasileiro de Honeypots Projeto Honeypots Distribuído Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro. Para atingir estes objetivos, pretende-se: Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd), buscando cobrir a maior parte do espaço de endereços IP da Internet no Brasil. Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques. Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações

17 Honeypot


Carregar ppt "Honeypot Um honeypot é: Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa."

Apresentações semelhantes


Anúncios Google