A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Honeypot Faculdade de Engenharia da Universidade do Porto Mestrado em Redes e Serviços de Comunicação Trabalho de Segurança em Sistemas e Redes G8 – Luis,

Apresentações semelhantes


Apresentação em tema: "Honeypot Faculdade de Engenharia da Universidade do Porto Mestrado em Redes e Serviços de Comunicação Trabalho de Segurança em Sistemas e Redes G8 – Luis,"— Transcrição da apresentação:

1 Honeypot Faculdade de Engenharia da Universidade do Porto Mestrado em Redes e Serviços de Comunicação Trabalho de Segurança em Sistemas e Redes G8 – Luis, Paulo e Vitor

2 Tópicos Introdução Introdução Definições Definições Honeypots e Honeynets Honeypots e Honeynets Honeyd Honeyd Conclusão Conclusão

3 Introdução Porquê a necessidade de segurança Porquê a necessidade de segurança Uso generalizado de computadores e redes Uso generalizado de computadores e redes Dados críticos das organizações Dados críticos das organizações Acesso generalizado à informação Acesso generalizado à informação Existência de espionagem empresarial Existência de espionagem empresarial Crescente número de ferramentas de hacking Crescente número de ferramentas de hacking Aumento do investimento em segurança

4 Introdução Tradicionalmente: Tradicionalmente: A segurança informática é defensiva: A segurança informática é defensiva: Firewalls, Firewalls, Intrusion Detection Systems, Intrusion Detection Systems, Encriptação, Encriptação, Passwords, Passwords, Outros mecanismos de defesa…. Outros mecanismos de defesa…. …mas também reactiva: …mas também reactiva: A estratégia é delineada para responder a um ataque feito através de falhas na segurança A estratégia é delineada para responder a um ataque feito através de falhas na segurança É despoletado um conjunto de passos para que no futuro essas falhas sejam colmatadas É despoletado um conjunto de passos para que no futuro essas falhas sejam colmatadas O inimigo dá sempre o 1º passo PROBLEMA! SOLUÇÃO?! HONEYPOT

5 DEFINIÇÕES Honeypots são recursos computacionais dedicados com as seguintes características: Honeypots são recursos computacionais dedicados com as seguintes características: Podem ser atacados ou comprometidos, Podem ser atacados ou comprometidos, Actuam num ambiente que permita o registo e controle dessas actividades. Actuam num ambiente que permita o registo e controle dessas actividades. Honeynets são redes compostas por: Honeynets são redes compostas por: uma sub-rede de administração e uma sub-rede de administração e por uma sub-rede de honeypots por uma sub-rede de honeypots …. é um tipo de honeypot.

6 Honeypots e Honeynets Honeynets de pesquisa são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento dos invasores ou atacantes, permitindo obter análises detalhadas das suas motivações, das ferramentas utilizadas e das vulnerabilidades exploradas. Honeynets de pesquisa são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento dos invasores ou atacantes, permitindo obter análises detalhadas das suas motivações, das ferramentas utilizadas e das vulnerabilidades exploradas. Honeypots de produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. Honeypots de produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão.

7 Tipos de Honeypots Baixa interactividade: Baixa interactividade: Emulam serviços e S.O. (e.g.:Honeyd); Emulam serviços e S.O. (e.g.:Honeyd); Atacantes não tem acesso à máquina real; Atacantes não tem acesso à máquina real; Por serem razoavelmente seguros, são apropriados para redes de produção; Por serem razoavelmente seguros, são apropriados para redes de produção; Excelentes complementos para Sistemas de Detecção de Intrusão (SDI). Excelentes complementos para Sistemas de Detecção de Intrusão (SDI). Alta interactividade: Alta interactividade: Serviços legítimos; Serviços legítimos; Atacante pode assumir o controlo total do honeypot; Atacante pode assumir o controlo total do honeypot; Cuidados especiais para evitar que sejam usados para lançamento de ataques; Cuidados especiais para evitar que sejam usados para lançamento de ataques; Difíceis de administrar e manter. Difíceis de administrar e manter.

8 Honeyd A framework for virtual honeypots, that simulates virtual computer systems at the network level. Niels Provos, Honeyd: A Virtual Honeypot Daemon

9 Honeyd Honeyd é um pequeno daemon que recria uma rede virtual composta por múltiplos hosts. Honeyd é um pequeno daemon que recria uma rede virtual composta por múltiplos hosts. Essas máquinas podem ser configuradas para executarem determinados serviços em determinados sistemas operativos. Essas máquinas podem ser configuradas para executarem determinados serviços em determinados sistemas operativos. Um único host pode ter múltiplos endereços. Um único host pode ter múltiplos endereços. Melhora a segurança porque não só detecta potenciais ameaças como também esconde os sistemas reais no meio da rede virtual. Melhora a segurança porque não só detecta potenciais ameaças como também esconde os sistemas reais no meio da rede virtual. É possível pingar uma máquina virtual ou executar um traceroute. É possível pingar uma máquina virtual ou executar um traceroute. Qualquer tipo de serviço pode ser emulado. Qualquer tipo de serviço pode ser emulado. Pode ser usado para monitorar uma rede. Pode ser usado para monitorar uma rede.

10 Honeyd - Características Simula sistemas em endereços não alocados Simula sistemas em endereços não alocados Simula diversos hosts virtuais ao mesmo tempo Simula diversos hosts virtuais ao mesmo tempo Permite a configuração de serviços arbitrários Permite a configuração de serviços arbitrários Simula um SO no nível de pilha do TCP/IP Simula um SO no nível de pilha do TCP/IP Engana o nmap Engana o nmap Suporta redireccionamento de serviços Suporta redireccionamento de serviços Suporta somente os protocolos TCP, UDP e ICMP Suporta somente os protocolos TCP, UDP e ICMP Recebe o tráfego da rede: Recebe o tráfego da rede: Utilizando proxy ARP (arpd) Utilizando proxy ARP (arpd) Através de roteamento específico para os endereços IP virtuais Através de roteamento específico para os endereços IP virtuais

11 Farpd Fake ARP user space daemon Fake ARP user space daemon Este daemon responde a todos os pedidos ARP para a resolução de um IP com o endereço MAC de um dos interfaces do servidor após determinar que mais nenhum host na rede reivindicou esse IP. Este daemon responde a todos os pedidos ARP para a resolução de um IP com o endereço MAC de um dos interfaces do servidor após determinar que mais nenhum host na rede reivindicou esse IP. Isto permite que um único host assuma todos os endereços IP livres de uma rede para sua monitorização ou por razões de simulação. Isto permite que um único host assuma todos os endereços IP livres de uma rede para sua monitorização ou por razões de simulação.

12 Exemplo Honeyd Hosts e serviços configurados Hosts e serviços configurados 3 Hosts SUSE Linux Hosts SUSE Linux 7.0 discard – porta 9 tcp discard – porta 9 tcp ssh – porta 22 tcp ssh – porta 22 tcp telnet – porta 23 tcp telnet – porta 23 tcp smtp – porta 25 tcp smtp – porta 25 tcp http – porta 80 tcp http – porta 80 tcp Host Windows XP SP1 Host Windows XP SP1 ftp – porta 21 tcp ftp – porta 21 tcp ssh – porta 22 tcp ssh – porta 22 tcp telnet – porta 23 tcp telnet – porta 23 tcp smtp – porta 25 tcp smtp – porta 25 tcp http – porta 80 tcp http – porta 80 tcp pop3 – porta 111 tcp pop3 – porta 111 tcp Imap – porta 143 tcp Imap – porta 143 tcp Router Cisco 7206 Router Cisco 7206 ssh – porta 22 tcp ssh – porta 22 tcp telnet – porta 23 tcp telnet – porta 23 tcp

13 Exemplo Honeyd (cont.) Exemplo de um template para uma máquina baseada no Windows XP: Exemplo de um template para uma máquina baseada no Windows XP: create windowsxp create windowsxp set windowsxp personality "Microsoft Windows XP Professional SP1" set windowsxp personality "Microsoft Windows XP Professional SP1" set windowsxp uptime set windowsxp uptime add windowsxp tcp port 80 "sh /usr/share/honeyd/scripts/win2k/iis.sh" add windowsxp tcp port 80 "sh /usr/share/honeyd/scripts/win2k/iis.sh" add windowsxp tcp port 22 "sh /usr/share/honeyd/scripts/test.sh $ipsrc $dport" add windowsxp tcp port 22 "sh /usr/share/honeyd/scripts/test.sh $ipsrc $dport"

14 Exemplo Honeyd (cont.) add windowsxp tcp port 143 "sh /usr /share/honeyd/scripts/win2k /exchange-imap.sh" add windowsxp tcp port 23 proxy $ipsrc:23 add windowsxp tcp port 21 "sh /usr /share/honeyd/scripts/win2k/msftp.sh" add windowsxp tcp port 25 "sh /usr /share/honeyd/scripts/win2k/ exchange-smtp.sh" add windowsxp tcp port 111 "sh /usr /share/honeyd/scripts/win2k/ exchange-pop3.sh"

15 Exemplo Honeyd (cont.) Demonstração do tempo de espera do farpd até assumir o IP: Demonstração do tempo de espera do farpd até assumir o IP: PING -c PING -c PING ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl= bytes from : icmp_seq=1 ttl=123 time=2002 ms 64 bytes from : icmp_seq=2 ttl= bytes from : icmp_seq=2 ttl=123 time=990 ms 64 bytes from : icmp_seq=3 ttl=123 time=12.9 ms 64 bytes from : icmp_seq=4 ttl=123 time=5.66 ms 64 bytes from : icmp_seq=5 ttl=123 time=4.63 ms 64 bytes from : icmp_seq=6 ttl=123 time=4.85 ms 64 bytes from : icmp_seq=7 ttl=123 time=5.74 ms 64 bytes from : icmp_seq=8 ttl=123 time=8.09 ms 64 bytes from : icmp_seq=9 ttl=123 time=5.86 ms 64 bytes from : icmp_seq=10 ttl=123 time=8.98 ms

16 Exemplo Honeyd (cont.) Usando o nmap para fazer um SYN Stealth Scan ao host virtual que simula um router Cisco 7206: Usando o nmap para fazer um SYN Stealth Scan ao host virtual que simula um router Cisco 7206: nmap -v -sS nmap -v -sS Starting nmap V. 2.54BETA31 ( ) Host ( ) appears to be up... good. Initiating SYN Stealth Scan against ( ) Adding open port 22/tcp Adding open port 23/tcp The SYN Stealth Scan to scan 1554 ports. The SYN Stealth Scan took 2680 second to scan 1554 ports. Interesting ports on ( ): (The 1552 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 23/tcp open telnet Nmap run completed -- 1 IP address (1 host up) scanned in 2681 seconds Nota: 2680segundos ~= 45 minutos

17 Exemplo Honeyd (cont.) Exemplo do log do honeyd: Exemplo do log do honeyd: :28: tcp(6) : 48 S [Windows XP SP1] :28: tcp(6) : 48 S [Windows 2000 SP4] :28: tcp(6) : 48 S [Windows 2000 SP4] :31: tcp(6) : 48 S [Windows XP SP1] :31: tcp(6) : 48 S [Windows XP SP1] :32: tcp(6) : 48 S [Windows 2000 SP4] :32: tcp(6) : 48 S [Windows 2000 SP4] :32: icmp(1) : 8(0): :33: tcp(6) : 48 S [Windows 98 ] :33: tcp(6) : 48 S [Windows 98 ] :33: tcp(6) : 48 S [Windows 98 ] :34: tcp(6) : 48 S [Windows XP SP1] :34: tcp(6) : 48 S [Windows XP SP1] :35: tcp(6) : 48 S :35: tcp(6) : 48 S :35: tcp(6) : 48 S :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :39: tcp(6) : 48 S [Windows XP SP1]

18 O nosso projecto Melhorias a implementar Melhorias a implementar desenho de uma rede virtual com várias sub- redes virtuais, activando o roteamento adequado entre elas; desenho de uma rede virtual com várias sub- redes virtuais, activando o roteamento adequado entre elas; simulação de mais serviços e com scripts ainda mais fieis aos originais. simulação de mais serviços e com scripts ainda mais fieis aos originais. Trabalho futuro Trabalho futuro desenvolvimento de um script para extracção estruturada de informação do ficheiro de log. desenvolvimento de um script para extracção estruturada de informação do ficheiro de log.

19 Bibliografia Honeyd Honeyd Honeyd: A Virtual Honeypot Daemon Honeyd: A Virtual Honeypot Daemon (Extended Abstract) eabstract.pdf eabstract.pdf


Carregar ppt "Honeypot Faculdade de Engenharia da Universidade do Porto Mestrado em Redes e Serviços de Comunicação Trabalho de Segurança em Sistemas e Redes G8 – Luis,"

Apresentações semelhantes


Anúncios Google