Honeypot Faculdade de Engenharia da Universidade do Porto

Slides:



Advertisements
Apresentações semelhantes
«Forte do Bom Sucesso (Lisboa) – Lápides 1, 2, 3» «nomes gravados, 21 de Agosto de 2008» «Ultramar.TerraWeb»
Advertisements

IFTO ESTRUTURA DE DADOS AULA 05 Prof. Manoel Campos da Silva Filho
Programa das Aulas 20/09/05 - Apresentação da disciplina
INFORMAÇÕES COMPLEMENTARES
Propriedades físicas representativas de
Ferramentas Livres para Gerência de Redes e Sistemas Finais
A busca das mulheres para alcançar seu espaço dentro das organizações
Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Pode ser uma máquina emulada ou uma máquina real na rede.
Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.
João Lúcio de Azevedo ESALQ/USP, UMC, UCS, CBA
Investor Relations4Q07 | 1. Investor Relations4Q07 | 2 2.
Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.
MISSÕES ESTADUAIS.
Nome : Resolve estas operações começando no centro de cada espiral. Nos rectângulos põe o resultado de cada operação. Comprova se no final.
1 INQUÉRITOS PEDAGÓGICOS 2º Semestre 2003/2004 ANÁLISE GERAL DOS RESULTADOS OBTIDOS 1.Nº de RESPOSTAS ao inquérito 2003/2004 = (42,8%) 2.Comparação.
Firewall Campus Cachoeiro Curso Técnico em Informática
Curso de ADMINISTRAÇÃO
Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.
ENCONTRO NACIONAL DOS ADMINISTRADORES TRIBUTÁRIOS Belém, 19 de setembro de 2011 Jorge Castro SEFAZ/MA Representante do CONFAZ na SE/CGSN FISCALIZAÇÃO.
Principais ataques Engenharia social Coleta de informação Varredura
Aula 4 Nomes, Vinculações, Tipos e Escopos
HellermannTyton Brasil Sistema de Gerenciamento Integrado HellermannTyton Brasil Sistema de Gerenciamento Integrado Alexandre Martins Consultor de Negócios.
A Tabuada.
Formação IPv6 - Maputo Gestão Maputo 27 de Agosto de 2008 Carlos Friacas e Pedro Lorga.
Provas de Concursos Anteriores
Monitoramento de logs e registros de sistemas
Renda até 2 SM.
República Federativa do Brasil Reforma do Estado, Investimento e Poupança Públicos MINISTRO GUIDO MANTEGA São Paulo, 14 de setembro de 2004 I FÓRUM DE.
Utilitários de Redes Prof. Andréa Chicri Torga Adaptações
Módulo III.
Diagnósticos Educativos = Diagnósticos Preenchidos 100% = 1.539
TELECOMUNICAÇÕES - ROAMING
(CESPE/ Técnico Judiciário do TRT 17ª Região/ES) O Superior Tribunal de Justiça entende que o candidato aprovado em concurso público dentro do limite.
MECÂNICA - DINÂMICA Exercícios Cap. 13, 14 e 17. TC027 - Mecânica Geral III - Dinâmica © 2013 Curotto, C.L. - UFPR 2 Problema
Bolha Posição de máx. W2 Ponto de Estagnação
Sistemas de Detecção de Intrusão
Firewall – Segurança nas redes
CATÁLOGO GÉIA PÁG. 1 GÉIA PÁG. 2 HESTIA PÁG. 3.
PROCESSOS PRINCIPAIS Alunos - Grau de Satisfação 4971 avaliações * Questões que entraram em vigor em 2011 ** N.A. = Não Aplicável Versão: 07/02/2012 INDICADORES.
LINHAS MAIS RECLAMADAS Ranking Negativo para Fiscalização Direcionada Conservação - Frota ANO IV – Nº 06.
Trabalho sobre Cor Thiago Marques Toledo.
FISCALIZAÇÃO DIRECIONADA CONDUTA - AUXILIAR ANO III – Nº 05.
FISCALIZAÇÃO DIRECIONADA NÍVEL DE SERVIÇO ANO I – Nº 7.
FISCALIZAÇÃO DIRECIONADA CONSERVAÇÃO - FROTA ANO III – Nº 11.
FISCALIZAÇÃO DIRECIONADA NÍVEL DE SERVIÇO ANO I – Nº 9.
FISCALIZAÇÃO DIRECIONADA CONDUTA - AUXILIAR ANO III – Nº 02.
FISCALIZAÇÃO DIRECIONADA CONSERVAÇÃO - FROTA ANO IV – Nº 01.
FISCALIZAÇÃO DIRECIONADA NÍVEL DE SERVIÇO ANO I – Nº 4.
Funcionários - Grau de Satisfação 2096 avaliações
Tributação da Exportação nas Empresas optantes pelo Simples Nacional
Núcleo de Mídia – Comercial Ranking Nacional de Circulação - Domingos Evolução Mês* 3,38% 2,20% 1,39% 1,13% -4,84% 0,49% -6,16% -0,07% -0,71% 0,27% 0,43%
Núcleo de Estatística e Gestão Estratégica- NEGEST.
1/40 COMANDO DA 11ª REGIÃO MILITAR PALESTRA AOS MILITARES DA RESERVA, REFORMADOS E PENSIONISTAS - Mar 06 -
Projeto Medindo minha escola.
GERENCIAMENTO DE REDES UTILIZANDO O PROTOCOLO SNMP
IDS - Sistemas de Detecção de Intrusão (Intrusion Detection System)‏
Módulo III.
UnC - Graduação Roteadores Redes de Computadores 6ª Fase - Sistemas de Informação.
BPM BUSINESS PROCESS MANAGEMENT Projecto em Informática e Gestão de Empresas Lisboa, 20 de Junho de 2006.
Estatística Aula 9 – 28/02/2011.
CALENDÁRIO SEXY Ele & Ela. CALENDÁRIO SEXY Ele & Ela.
CONCEITOS FUNDAMENTAIS
Olhe fixamente para a Bruxa Nariguda
Rio Verde - Goiás - Brasil
Máquina de Turing Universal
Equipe Bárbara Régis Lissa Lourenço Lucas Hakim Ricardo Spada Coordenador: Gabriel Pascutti.
LEILÃO nº 3/2014 Dia 12 de setembro, às 14 horas.
Arquiteturas de Gerenciamento
Security – tools - 1 IES – Fernando Cerutti Nmap (Network Mapper) ( ) Nmap (Network Mapper) ( )
Transcrição da apresentação:

Honeypot Faculdade de Engenharia da Universidade do Porto Mestrado em Redes e Serviços de Comunicação Trabalho de Segurança em Sistemas e Redes G8 – Luis, Paulo e Vitor

Tópicos Introdução Definições Honeypots e Honeynets Honeyd Conclusão

Aumento do investimento em segurança Introdução Porquê a necessidade de segurança Uso generalizado de computadores e redes Dados críticos das organizações Acesso generalizado à informação Existência de “espionagem” empresarial Crescente número de ferramentas de “hacking” Aumento do investimento em segurança

O inimigo dá sempre o 1º passo Introdução Tradicionalmente: A segurança informática é defensiva: Firewalls, Intrusion Detection Systems, Encriptação, Passwords, Outros mecanismos de defesa…. …mas também reactiva: A estratégia é delineada para responder a um ataque feito através de falhas na segurança É despoletado um conjunto de passos para que no futuro essas falhas sejam colmatadas PROBLEMA! O inimigo dá sempre o 1º passo SOLUÇÃO?! HONEYPOT

DEFINIÇÕES Honeypots são recursos computacionais dedicados com as seguintes características: Podem ser atacados ou comprometidos, Actuam num ambiente que permita o registo e controle dessas actividades. Honeynets são redes compostas por: uma sub-rede de administração e por uma sub-rede de honeypots …. é um tipo de honeypot.

Honeypots e Honeynets Honeynets de pesquisa são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento dos invasores ou atacantes, permitindo obter análises detalhadas das suas motivações, das ferramentas utilizadas e das vulnerabilidades exploradas. Honeypots de produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão.

Tipos de Honeypots Baixa interactividade: Alta interactividade: Emulam serviços e S.O. (e.g.:Honeyd); Atacantes não tem acesso à máquina real; Por serem razoavelmente seguros, são apropriados para redes de produção; Excelentes complementos para Sistemas de Detecção de Intrusão (SDI). Alta interactividade: Serviços legítimos; Atacante pode assumir o controlo total do honeypot; Cuidados especiais para evitar que sejam usados para lançamento de ataques; Difíceis de administrar e manter.

Honeyd “A framework for virtual honeypots, that simulates virtual computer systems at the network level.” Niels Provos, Honeyd: A Virtual Honeypot Daemon

Honeyd Honeyd é um pequeno daemon que recria uma rede virtual composta por múltiplos hosts. Essas máquinas podem ser configuradas para executarem determinados serviços em determinados sistemas operativos. Um único host pode ter múltiplos endereços. Melhora a segurança porque não só detecta potenciais ameaças como também “esconde” os sistemas reais no meio da rede virtual. É possível “pingar” uma máquina virtual ou executar um traceroute. Qualquer tipo de serviço pode ser emulado. Pode ser usado para monitorar uma rede.

Honeyd - Características Simula sistemas em endereços não alocados Simula diversos hosts virtuais ao mesmo tempo Permite a configuração de serviços arbitrários Simula um SO no nível de pilha do TCP/IP Engana o nmap Suporta redireccionamento de serviços Suporta somente os protocolos TCP, UDP e ICMP Recebe o tráfego da rede: Utilizando proxy ARP (arpd) Através de roteamento específico para os endereços IP virtuais

Farpd Fake ARP user space daemon Este daemon responde a todos os pedidos ARP para a resolução de um IP com o endereço MAC de um dos interfaces do servidor após determinar que mais nenhum host na rede reivindicou esse IP. Isto permite que um único host assuma todos os endereços IP livres de uma rede para sua monitorização ou por razões de simulação.

Exemplo Honeyd Hosts e serviços configurados Router Cisco 7206 ssh – porta 22 tcp telnet – porta 23 tcp Host Windows XP SP1 ftp – porta 21 tcp ssh – porta 22 tcp telnet – porta 23 tcp smtp – porta 25 tcp http – porta 80 tcp pop3 – porta 111 tcp Imap – porta 143 tcp 3 Hosts SUSE Linux 7.0 discard – porta 9 tcp ssh – porta 22 tcp telnet – porta 23 tcp smtp – porta 25 tcp http – porta 80 tcp

Exemplo Honeyd (cont.) Exemplo de um template para uma máquina baseada no Windows XP: create windowsxp set windowsxp personality "Microsoft Windows XP Professional SP1" set windowsxp uptime 1728650 add windowsxp tcp port 80 "sh /usr/share/honeyd/scripts/win2k/iis.sh" add windowsxp tcp port 22 "sh /usr/share/honeyd/scripts/test.sh $ipsrc $dport"

Exemplo Honeyd (cont.) add windowsxp tcp port 143 "sh /usr /share/honeyd/scripts/win2k /exchange-imap.sh" add windowsxp tcp port 23 proxy $ipsrc:23 add windowsxp tcp port 21 "sh /usr /share/honeyd/scripts/win2k/msftp.sh" add windowsxp tcp port 25 "sh /usr /share/honeyd/scripts/win2k/ exchange-smtp.sh" add windowsxp tcp port 111 "sh /usr /share/honeyd/scripts/win2k/ exchange-pop3.sh"

Exemplo Honeyd (cont.) Demonstração do tempo de espera do farpd até assumir o IP: PING -c 10 193.136.29.123 PING 193.136.29.123 (193.136.29.123) from 172.16.1.42 : 56(84) bytes of data. 64 bytes from 193.136.29.123: icmp_seq=1 ttl=123 time=2002 ms 64 bytes from 193.136.29.123: icmp_seq=2 ttl=123 time=990 ms 64 bytes from 193.136.29.123: icmp_seq=3 ttl=123 time=12.9 ms 64 bytes from 193.136.29.123: icmp_seq=4 ttl=123 time=5.66 ms 64 bytes from 193.136.29.123: icmp_seq=5 ttl=123 time=4.63 ms 64 bytes from 193.136.29.123: icmp_seq=6 ttl=123 time=4.85 ms 64 bytes from 193.136.29.123: icmp_seq=7 ttl=123 time=5.74 ms 64 bytes from 193.136.29.123: icmp_seq=8 ttl=123 time=8.09 ms 64 bytes from 193.136.29.123: icmp_seq=9 ttl=123 time=5.86 ms 64 bytes from 193.136.29.123: icmp_seq=10 ttl=123 time=8.98 ms

Exemplo Honeyd (cont.) Usando o nmap para fazer um SYN Stealth Scan ao host virtual que simula um router Cisco 7206: nmap -v -sS 193.136.29.121 Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ ) Host (193.136.29.121) appears to be up ... good. Initiating SYN Stealth Scan against (193.136.29.121) Adding open port 22/tcp Adding open port 23/tcp The SYN Stealth Scan took 2680 second to scan 1554 ports. Interesting ports on (193.136.29.121): (The 1552 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 23/tcp open telnet Nmap run completed -- 1 IP address (1 host up) scanned in 2681 seconds Nota: 2680segundos ~= 45 minutos

Exemplo Honeyd (cont.) Exemplo do log do honeyd: 2004-04-30-21:28:18.0948 tcp(6) - 61.221.218.137 3091 193.136.29.107 80: 48 S [Windows XP SP1] 2004-04-30-21:28:24.0506 tcp(6) - 211.228.154.195 2067 193.136.29.103 1433: 48 S [Windows 2000 SP4] 2004-04-30-21:28:25.0441 tcp(6) - 211.228.154.195 2067 193.136.29.103 1433: 48 S [Windows 2000 SP4] 2004-04-30-21:31:06.0694 tcp(6) - 81.44.209.217 3927 193.136.29.120 1433: 48 S [Windows XP SP1] 2004-04-30-21:31:07.0835 tcp(6) - 81.44.209.217 3927 193.136.29.120 1433: 48 S [Windows XP SP1] 2004-04-30-21:32:18.0989 tcp(6) - 63.205.245.58 3422 193.136.29.122 1025: 48 S [Windows 2000 SP4] 2004-04-30-21:32:21.0973 tcp(6) - 63.205.245.58 3422 193.136.29.122 1025: 48 S [Windows 2000 SP4] 2004-04-30-21:32:59.0539 icmp(1) - 169.132.44.121 193.136.29.101: 8(0): 92 2004-04-30-21:33:06.0481 tcp(6) - 83.36.47.228 4304 193.136.29.107 3127: 48 S [Windows 98 ] 2004-04-30-21:33:09.0474 tcp(6) - 83.36.47.228 4304 193.136.29.107 3127: 48 S [Windows 98 ] 2004-04-30-21:33:15.0525 tcp(6) - 83.36.47.228 4304 193.136.29.107 3127: 48 S [Windows 98 ] 2004-04-30-21:34:05.0792 tcp(6) - 82.43.49.155 3472 193.136.29.107 1433: 48 S [Windows XP SP1] 2004-04-30-21:34:08.0756 tcp(6) - 82.43.49.155 3472 193.136.29.107 1433: 48 S [Windows XP SP1] 2004-04-30-21:35:21.0214 tcp(6) - 83.97.200.235 4472 193.136.29.107 3127: 48 S 2004-04-30-21:35:23.0728 tcp(6) - 83.97.200.235 4472 193.136.29.107 3127: 48 S 2004-04-30-21:35:29.0749 tcp(6) - 83.97.200.235 4472 193.136.29.107 3127: 48 S 2004-04-30-21:38:16.0505 tcp(6) - 193.249.43.169 4625 193.136.29.124 1025: 48 S [Windows XP SP1] 2004-04-30-21:38:16.0505 tcp(6) - 193.249.43.169 4634 193.136.29.124 6129: 48 S [Windows XP SP1] 2004-04-30-21:38:16.0506 tcp(6) - 193.249.43.169 4642 193.136.29.124 80: 48 S [Windows XP SP1] 2004-04-30-21:38:17.0972 tcp(6) - 193.249.43.169 4625 193.136.29.124 1025: 48 S [Windows XP SP1] 2004-04-30-21:38:18.0238 tcp(6) - 193.249.43.169 4600 193.136.29.124 2745: 48 S [Windows XP SP1] 2004-04-30-21:38:23.0543 tcp(6) - 193.249.43.169 4633 193.136.29.124 3127: 48 S [Windows XP SP1] 2004-04-30-21:38:23.0782 tcp(6) - 193.249.43.169 4634 193.136.29.124 6129: 48 S [Windows XP SP1] 2004-04-30-21:38:23.0782 tcp(6) - 193.249.43.169 4625 193.136.29.124 1025: 48 S [Windows XP SP1] 2004-04-30-21:38:24.0563 tcp(6) - 193.249.43.169 4600 193.136.29.124 2745: 48 S [Windows XP SP1] 2004-04-30-21:39:19.0668 tcp(6) - 211.3.143.215 3630 193.136.29.104 80: 48 S [Windows XP SP1]

O nosso projecto Melhorias a implementar Trabalho futuro desenho de uma rede virtual com várias sub-redes virtuais, activando o roteamento adequado entre elas; simulação de mais serviços e com scripts ainda mais fieis aos originais. Trabalho futuro desenvolvimento de um script para extracção estruturada de informação do ficheiro de log.

Bibliografia Honeyd Honeyd: A Virtual Honeypot Daemon http://www.honeyd.org/ http://www.citi.umich.edu/u/provos/honeyd/ Honeyd: A Virtual Honeypot Daemon (Extended Abstract) http://niels.xtdnet.nl/papers/honeyd-eabstract.pdf

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.