Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Honeypots e Honeynets Alunos: Gustavo Sicoli Luiz Fernando Testa Contador Rafael Diniz de Freitas Renato Seiti Tsukada
Introdução Este seminário visa apresentar as armadilhas para invasores de sistemas, conhecidas como honeypots, e seu uso como ferramenta de pesquisa. As discussões vão se centrar em honeypots de baixa interatividade, sua origem, vantagens e desvantagens das soluções mais conhecidas. Baseado na ferramenta Valhala Honeypot , será mostrado como configurar um honeypot e monitorar os logs gerados, através de ferramentas que emulam um ambiente para demonstração do mesmo.
O que é Honeypot? Honeypot = Pote de Mel São recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. “Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável” Lance Spitzner - 2003
Finalidade Detectar ataques internos; Identificar varreduras e ataques automatizados; Identificar tendências; Manter atacantes afastados de sistemas importantes; Coletar assinaturas de ataques; Detectar máquinas comprometidas ou com problemas de configuração; Coletar código malicioso (malware).
Tipos de Honeypot Baixa Interatividade Alta Interatividade
Honeypot de Baixa Interatividade Emulam serviços e sistemas O atacante não tem acesso ao sistema operacional real O atacante não compromete o honeypot Fácil de configurar e manutenção Baixo risco Informações obtidas são limitadas Exemplos: Back Ofcer Friendly, Deception Toolkit(DTK), Specter, Honeyd, Labrea, Tarpit
Honeypot de Alta Interatividade Mais difíceis de instalar e manter Maior risco Necessitam mecanismos de conteção, para evitar que sejam usados para lançamento de ataques contra outras redes Coleta extensa de informações Exemplos: honeynets e honeynets virtuais
Baixa x Alta Interatividade
O que é Honeynet? Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes É conhecido também como "honeypot de pesquisa” ,de alta interatividade, projetado para pesquisa e obtenção de informações .
Tipos de Honeynets Honeynets Reais Honeynets Virtuais
Honeynets Reais Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados; Um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados; Um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados; Um computador atuando como repositório dos dados coletados; hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.
Honeynets Virtuais Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um computador Um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o Vmware,VirtualBox. As honeynets virtuais ainda são subdivididas em duas categorias: Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dado, geração de alertas e os honeypots (implementados através de um software de virtualização) Na segunda, esses mecanismos são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.
Honeynets Virtuais X Reais Vantagens: manutenção mais simples; necessidade de menor espaço físico, e custo final tende a ser mais baixo. Desvantagens : alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas, atacante pode obter acesso a outras partes do sistema. através do software de Virtualização
Honeynets Virtuais X Reais Honeynets Reais Vantagens: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais. Desvantagens : manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.
Abrangência Honeypots/Honeynets devem ser utilizados como um complemento para a segurança e não devem ser usados como substitutos para: Boas práticas de segurança; Políticas de segurança; Sistemas de gerenciamento de correções de segurança (patches); Outras ferramentas de segurança, como firewall e IDS.
Exemplos de Aplicações
Exemplos de Aplicações
Exemplos de Aplicações
Exemplos de Aplicações
Exemplos de Aplicações
Exemplos de Aplicações Porque usar Honeyd? Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo tempo Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço Suporta somente os protocolos TCP, UDP e ICMP
Exemplos de Aplicação A Ferramenta Honeydsum Escrita em Perl Gera sumários em texto e HTML válido Gera grácos personalizados Sistema de ltros como, portas, protocolos, endereços IPs e redes, etc. Sanitização dos logs por endereço/rede de origem e/ou destino Correlacionamento de eventos entre diversos honeypots
Exemplos de Aplicação
Exemplos de Aplicação
Exemplos de Aplicações Analise de Logs por Honeyd ( usando TCP/UDP)
Exemplos de Aplicações Analise de Logs por Honeyd (Utilizando SSH)
Exemplos de Aplicações Analise de Logs por Honeyd (Ataque por HTTP)
Histórico dos Honeypots
Histórico dos Honeypots
Referências Honeypots e Honeynets: Definicões e Aplicacões http://www.cert.br/docs/whitepapers/honeypots-honeynets/ Resultados Preliminares do Projeto SpamPots http://www.cert.br/docs/whitepapers/spampots/ Consórcio Brasileiro de Honeypots http://www.honeypots-alliance.org.br/ The Honeynet Project http://www.honeynet.org/ CERT.br http://www.cert.br/ NIC.br http://www.nic.br/