A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa.

Apresentações semelhantes


Apresentação em tema: "PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa."— Transcrição da apresentação:

1 PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa Contador Rafael Diniz de Freitas Renato Seiti Tsukada

2 Este seminário visa apresentar as armadilhas para invasores de sistemas, conhecidas como honeypots, e seu uso como ferramenta de pesquisa. As discussões vão se centrar em honeypots de baixa interatividade, sua origem, vantagens e desvantagens das soluções mais conhecidas. Baseado na ferramenta Valhala Honeypot, será mostrado como configurar um honeypot e monitorar os logs gerados, através de ferramentas que emulam um ambiente para demonstração do mesmo.

3 Honeypot = Pote de Mel São recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável Lance Spitzner

4 Detectar ataques internos; Identificar varreduras e ataques automatizados; Identificar tendências; Manter atacantes afastados de sistemas importantes; Coletar assinaturas de ataques; Detectar máquinas comprometidas ou com problemas de configuração; Coletar código malicioso (malware).

5 Baixa Interatividade Alta Interatividade

6 Emulam serviços e sistemas O atacante não tem acesso ao sistema operacional real O atacante não compromete o honeypot Fácil de configurar e manutenção Baixo risco Informações obtidas são limitadas Exemplos: Back Ofcer Friendly, Deception Toolkit(DTK), Specter, Honeyd, Labrea, Tarpit

7 Mais difíceis de instalar e manter Maior risco Necessitam mecanismos de conteção, para evitar que sejam usados para lançamento de ataques contra outras redes Coleta extensa de informações Exemplos: honeynets e honeynets virtuais

8

9 Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes É conhecido também como "honeypot de pesquisa,de alta interatividade, projetado para pesquisa e obtenção de informações.

10 Honeynets Reais Honeynets Virtuais

11 Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados; Um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados; Um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados; Um computador atuando como repositório dos dados coletados; hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.

12 Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um computador Um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o Vmware,VirtualBox. As honeynets virtuais ainda são subdivididas em duas categorias: Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dado, geração de alertas e os honeypots (implementados através de um software de virtualização) Na segunda, esses mecanismos são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.

13 Honeynets Virtuais Vantagens: manutenção mais simples; necessidade de menor espaço físico, e custo final tende a ser mais baixo. Desvantagens : alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas, atacante pode obter acesso a outras partes do sistema. através do software de Virtualização

14 Honeynets Reais Vantagens: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais. Desvantagens : manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.

15 Honeypots/Honeynets devem ser utilizados como um complemento para a segurança e não devem ser usados como substitutos para: Boas práticas de segurança; Políticas de segurança; Sistemas de gerenciamento de correções de segurança (patches); Outras ferramentas de segurança, como firewall e IDS.

16

17

18

19

20

21 Porque usar Honeyd? Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo tempo Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço Suporta somente os protocolos TCP, UDP e ICMP

22 A Ferramenta Honeydsum Escrita em Perl Gera sumários em texto e HTML válido Gera grácos personalizados Sistema de ltros como, portas, protocolos, endereços IPs e redes, etc. Sanitização dos logs por endereço/rede de origem e/ou destino Correlacionamento de eventos entre diversos honeypots

23

24

25 Analise de Logs por Honeyd ( usando TCP/UDP)

26 Analise de Logs por Honeyd (Utilizando SSH)

27 Analise de Logs por Honeyd (Ataque por HTTP)

28

29

30 Honeypots e Honeynets: Definicões e Aplicacões Resultados Preliminares do Projeto SpamPots Consórcio Brasileiro de Honeypots The Honeynet Project CERT.br NIC.br


Carregar ppt "PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa."

Apresentações semelhantes


Anúncios Google