Honeypot Um honeypot é:

Apresentação em tema: "Honeypot Um honeypot é:"— Transcrição da apresentação:

1 Honeypot Um honeypot é:
Um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido Existem dois tipos de honeypots: Os de baixa interatividade e os de alta interatividade.

2 Honeypot Honeypots de baixa interatividade
Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.

3 Honeypot Honeypots de alta interatividade
Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.

4 Honeypot Honeynet Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes . Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" .

5 Honeypot Uma honeynet normalmente contém:
* Segmento de rede com honeypots de diversos sistemas operacionais. *Diversas aplicações e serviços. *Mecanismos de contenção robustos. *Múltiplos níveis de controle. *Sistemas para captura e coleta de dados, e para geração de alertas.

6 Honeypot A honeynet é utilizada para observar o comportamento dos invasores: *Possibilitando análises detalhadas das ferramentas utilizadas para invasão. *Motivações para a invasão. *Vulnerabilidades exploradas.

7 Honeypot Honeynets reais
Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos. *Diversos computadores, cada honeypot com um sistema operacional, aplicações e serviços reais instalados. *Firewall instalado, atuando como mecanismo de contenção e de coleta de dados. *IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados. *Computador atuando como repositório dos dados coletados. *Hubs /switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.

8 Honeypot Honeynets virtuais
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo.

9 Honeypot

10 Honeypot Consórcio Brasileiro de Honeypots
Projeto Honeypots Distribuído

11 Honeypot # City Institutions 01 São José dos Campos INPE, ITA 02
Rio de Janeiro BNDES, CBPF, Embratel, Fiocruz, Furnas, PUC-RIO, RedeRio 03 São Paulo ANSP, Banco Real, CERT.br, Diveo, Durand, TIVIT, UNESP, UOL, USP 04 Campinas CenPRA, ITAL, UNICAMP 05 São José do Rio Preto UNESP 06 Piracicaba USP 07 Petrópolis LNCC 08 Brasília Banco do Brasil, Brasil Telecom, CTIR Gov, Ministério da Justiça, TCU 09 Porto Alegre CERT-RS 10 Ribeirão Preto 11 São Carlos 12 Florianópolis UFSC DAS 13 Uberlândia CTBC Telecom 14 Lins FPTE 15 Passo Fundo UPF 16 Curitiba Onda, PoP-PR, PUCPR 17 Belém UFPA 18 São Leopoldo Unisinos 19 Belo Horizonte CSIRT PoP-MG, Diveo 20 Recife EMPREL 21 Salvador UFBA 22 Vitória PoP-ES

12 Honeypot Abrangência *Todo o tráfego destinado a ele é, por definição, anômalo ou malicioso. *Ferramenta de segurança isenta de falso-positivos. *Fornece informações de alto valor. *Utilizados como um complemento para a segurança da rede de uma instituição.

13 Honeypot Aplicabilidade
Normalmente, o uso de honeypots está associado aos seguintes objetivos: *Detectar ataques internos. *Identificar varreduras e ataques automatizados; identificar tendências; *Manter atacantes afastados de sistemas importantes; *Coletar assinaturas de ataques; *Detectar máquinas comprometidas ou com problemas de configuração; *Coletar código malicioso (malware).

14 Honeypot Tabela Comparativa Características
Honeypot de baixa interatividade Honeypot de alta interatividade/Honeynet Instalação fácil mais difícil Manutenção trabalhosa Risco de comprometimento baixo alto Obtenção de informações limitada extensiva Necessidade de mecanismos de contenção não sim Atacante tem acesso ao S.O. real não (em teoria) Aplicações e serviços oferecidos emulados reais Atacante pode comprometer o honeypot

15 Honeypot Posicionamento na Rede
*Necessita de um bloco de endereçamento IP da instituição, que seja roteável e que não esteja sendo utilizado. *Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituição. *Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado. *É fortemente recomendado que não haja poluição de dados. *Não haver qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o honeypot/honeynet.

16 Honeypot Consórcio Brasileiro de Honeypots
Projeto Honeypots Distribuído Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro. Para atingir estes objetivos, pretende-se: Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd), buscando cobrir a maior parte do espaço de endereços IP da Internet no Brasil. Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques. Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações

17 Honeypot