A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Honeypot Faculdade de Engenharia da Universidade do Porto

PublicouDavi Armao Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Honeypot Faculdade de Engenharia da Universidade do Porto"— Transcrição da apresentação:

1 Honeypot Faculdade de Engenharia da Universidade do Porto
Mestrado em Redes e Serviços de Comunicação Trabalho de Segurança em Sistemas e Redes G8 – Luis, Paulo e Vitor

2 Tópicos Introdução Definições Honeypots e Honeynets Honeyd Conclusão

3 Aumento do investimento em segurança
Introdução Porquê a necessidade de segurança Uso generalizado de computadores e redes Dados críticos das organizações Acesso generalizado à informação Existência de “espionagem” empresarial Crescente número de ferramentas de “hacking” Aumento do investimento em segurança

4 O inimigo dá sempre o 1º passo
Introdução Tradicionalmente: A segurança informática é defensiva: Firewalls, Intrusion Detection Systems, Encriptação, Passwords, Outros mecanismos de defesa…. …mas também reactiva: A estratégia é delineada para responder a um ataque feito através de falhas na segurança É despoletado um conjunto de passos para que no futuro essas falhas sejam colmatadas PROBLEMA! O inimigo dá sempre o 1º passo SOLUÇÃO?! HONEYPOT

5 DEFINIÇÕES Honeypots são recursos computacionais dedicados com as seguintes características: Podem ser atacados ou comprometidos, Actuam num ambiente que permita o registo e controle dessas actividades. Honeynets são redes compostas por: uma sub-rede de administração e por uma sub-rede de honeypots …. é um tipo de honeypot.

6 Honeypots e Honeynets Honeynets de pesquisa são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento dos invasores ou atacantes, permitindo obter análises detalhadas das suas motivações, das ferramentas utilizadas e das vulnerabilidades exploradas. Honeypots de produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão.

7 Tipos de Honeypots Baixa interactividade: Alta interactividade:
Emulam serviços e S.O. (e.g.:Honeyd); Atacantes não tem acesso à máquina real; Por serem razoavelmente seguros, são apropriados para redes de produção; Excelentes complementos para Sistemas de Detecção de Intrusão (SDI). Alta interactividade: Serviços legítimos; Atacante pode assumir o controlo total do honeypot; Cuidados especiais para evitar que sejam usados para lançamento de ataques; Difíceis de administrar e manter.

8 Honeyd “A framework for virtual honeypots, that
simulates virtual computer systems at the network level.” Niels Provos, Honeyd: A Virtual Honeypot Daemon

9 Honeyd Honeyd é um pequeno daemon que recria uma rede virtual composta por múltiplos hosts. Essas máquinas podem ser configuradas para executarem determinados serviços em determinados sistemas operativos. Um único host pode ter múltiplos endereços. Melhora a segurança porque não só detecta potenciais ameaças como também “esconde” os sistemas reais no meio da rede virtual. É possível “pingar” uma máquina virtual ou executar um traceroute. Qualquer tipo de serviço pode ser emulado. Pode ser usado para monitorar uma rede.

10 Honeyd - Características
Simula sistemas em endereços não alocados Simula diversos hosts virtuais ao mesmo tempo Permite a configuração de serviços arbitrários Simula um SO no nível de pilha do TCP/IP Engana o nmap Suporta redireccionamento de serviços Suporta somente os protocolos TCP, UDP e ICMP Recebe o tráfego da rede: Utilizando proxy ARP (arpd) Através de roteamento específico para os endereços IP virtuais

11 Farpd Fake ARP user space daemon
Este daemon responde a todos os pedidos ARP para a resolução de um IP com o endereço MAC de um dos interfaces do servidor após determinar que mais nenhum host na rede reivindicou esse IP. Isto permite que um único host assuma todos os endereços IP livres de uma rede para sua monitorização ou por razões de simulação.

12 Exemplo Honeyd Hosts e serviços configurados Router Cisco 7206
ssh – porta 22 tcp telnet – porta 23 tcp Host Windows XP SP1 ftp – porta 21 tcp ssh – porta 22 tcp telnet – porta 23 tcp smtp – porta 25 tcp http – porta 80 tcp pop3 – porta 111 tcp Imap – porta 143 tcp 3 Hosts SUSE Linux 7.0 discard – porta 9 tcp ssh – porta 22 tcp telnet – porta 23 tcp smtp – porta 25 tcp http – porta 80 tcp

13 Exemplo Honeyd (cont.) Exemplo de um template para uma máquina baseada no Windows XP: create windowsxp set windowsxp personality "Microsoft Windows XP Professional SP1" set windowsxp uptime add windowsxp tcp port 80 "sh /usr/share/honeyd/scripts/win2k/iis.sh" add windowsxp tcp port 22 "sh /usr/share/honeyd/scripts/test.sh $ipsrc $dport"

14 Exemplo Honeyd (cont.) add windowsxp tcp port 143 "sh /usr /share/honeyd/scripts/win2k /exchange-imap.sh" add windowsxp tcp port 23 proxy $ipsrc:23 add windowsxp tcp port 21 "sh /usr /share/honeyd/scripts/win2k/msftp.sh" add windowsxp tcp port 25 "sh /usr /share/honeyd/scripts/win2k/ exchange-smtp.sh" add windowsxp tcp port 111 "sh /usr /share/honeyd/scripts/win2k/ exchange-pop3.sh"

15 Exemplo Honeyd (cont.) Demonstração do tempo de espera do farpd até assumir o IP: PING -c PING ( ) from : 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=123 time=2002 ms 64 bytes from : icmp_seq=2 ttl=123 time=990 ms 64 bytes from : icmp_seq=3 ttl=123 time=12.9 ms 64 bytes from : icmp_seq=4 ttl=123 time=5.66 ms 64 bytes from : icmp_seq=5 ttl=123 time=4.63 ms 64 bytes from : icmp_seq=6 ttl=123 time=4.85 ms 64 bytes from : icmp_seq=7 ttl=123 time=5.74 ms 64 bytes from : icmp_seq=8 ttl=123 time=8.09 ms 64 bytes from : icmp_seq=9 ttl=123 time=5.86 ms 64 bytes from : icmp_seq=10 ttl=123 time=8.98 ms

16 Exemplo Honeyd (cont.) Usando o nmap para fazer um SYN Stealth Scan ao host virtual que simula um router Cisco 7206: nmap -v -sS Starting nmap V. 2.54BETA31 ( ) Host ( ) appears to be up ... good. Initiating SYN Stealth Scan against ( ) Adding open port 22/tcp Adding open port 23/tcp The SYN Stealth Scan took 2680 second to scan 1554 ports. Interesting ports on ( ): (The 1552 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 23/tcp open telnet Nmap run completed -- 1 IP address (1 host up) scanned in 2681 seconds Nota: 2680segundos ~= 45 minutos

17 Exemplo Honeyd (cont.) Exemplo do log do honeyd:
:28: tcp(6) : 48 S [Windows XP SP1] :28: tcp(6) : 48 S [Windows 2000 SP4] :28: tcp(6) : 48 S [Windows 2000 SP4] :31: tcp(6) : 48 S [Windows XP SP1] :31: tcp(6) : 48 S [Windows XP SP1] :32: tcp(6) : 48 S [Windows 2000 SP4] :32: tcp(6) : 48 S [Windows 2000 SP4] :32: icmp(1) : 8(0): 92 :33: tcp(6) : 48 S [Windows 98 ] :33: tcp(6) : 48 S [Windows 98 ] :33: tcp(6) : 48 S [Windows 98 ] :34: tcp(6) : 48 S [Windows XP SP1] :34: tcp(6) : 48 S [Windows XP SP1] :35: tcp(6) : 48 S :35: tcp(6) : 48 S :35: tcp(6) : 48 S :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :38: tcp(6) : 48 S [Windows XP SP1] :39: tcp(6) : 48 S [Windows XP SP1]

18 O nosso projecto Melhorias a implementar Trabalho futuro
desenho de uma rede virtual com várias sub-redes virtuais, activando o roteamento adequado entre elas; simulação de mais serviços e com scripts ainda mais fieis aos originais. Trabalho futuro desenvolvimento de um script para extracção estruturada de informação do ficheiro de log.

19 Bibliografia Honeyd Honeyd: A Virtual Honeypot Daemon
Honeyd: A Virtual Honeypot Daemon (Extended Abstract)

Carregar ppt "Honeypot Faculdade de Engenharia da Universidade do Porto"

Apresentações semelhantes

«Forte do Bom Sucesso (Lisboa) – Lápides 1, 2, 3» «nomes gravados, 21 de Agosto de 2008» «Ultramar.TerraWeb»

«Forte do Bom Sucesso (Lisboa) – Lápides 1, 2, 3» «nomes gravados, 21 de Agosto de 2008» «Ultramar.TerraWeb»
IFTO ESTRUTURA DE DADOS AULA 05 Prof. Manoel Campos da Silva Filho

IFTO ESTRUTURA DE DADOS AULA 05 Prof. Manoel Campos da Silva Filho
Programa das Aulas 20/09/05 - Apresentação da disciplina

Programa das Aulas 20/09/05 - Apresentação da disciplina
INFORMAÇÕES COMPLEMENTARES

INFORMAÇÕES COMPLEMENTARES
Propriedades físicas representativas de

Propriedades físicas representativas de
Ferramentas Livres para Gerência de Redes e Sistemas Finais

Ferramentas Livres para Gerência de Redes e Sistemas Finais
A busca das mulheres para alcançar seu espaço dentro das organizações

A busca das mulheres para alcançar seu espaço dentro das organizações
Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS

Honeypots e Honeynets PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Pode ser uma máquina emulada ou uma máquina real na rede.

Pode ser uma máquina emulada ou uma máquina real na rede.
Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.

Vamos contar D U De 10 até 69 Professor Vaz Nunes 1999 (Ovar-Portugal). Nenhuns direitos reservados, excepto para fins comerciais. Por favor, não coloque.
João Lúcio de Azevedo ESALQ/USP, UMC, UCS, CBA

João Lúcio de Azevedo ESALQ/USP, UMC, UCS, CBA
Investor Relations4Q07 | 1. Investor Relations4Q07 | 2 2.

Investor Relations4Q07 | 1. Investor Relations4Q07 | 2 2.
Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.

Exercício do Tangram Tangram é um quebra-cabeças chinês no qual, usando 7 peças deve-se construir formas geométricas.
MISSÕES ESTADUAIS.

MISSÕES ESTADUAIS.
Nome : Resolve estas operações começando no centro de cada espiral. Nos rectângulos põe o resultado de cada operação. Comprova se no final.

Nome : Resolve estas operações começando no centro de cada espiral. Nos rectângulos põe o resultado de cada operação. Comprova se no final.
1 INQUÉRITOS PEDAGÓGICOS 2º Semestre 2003/2004 ANÁLISE GERAL DOS RESULTADOS OBTIDOS 1.Nº de RESPOSTAS ao inquérito 2003/2004 = 11077 (42,8%) 2.Comparação.

1 INQUÉRITOS PEDAGÓGICOS 2º Semestre 2003/2004 ANÁLISE GERAL DOS RESULTADOS OBTIDOS 1.Nº de RESPOSTAS ao inquérito 2003/2004 = (42,8%) 2.Comparação.
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Curso de ADMINISTRAÇÃO

Curso de ADMINISTRAÇÃO
Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.

Crescimento Econômico Brasileiro : Uma Visão Comparada de Longo Prazo Prof. Giácomo Balbinotto Neto UFRGS.
ENCONTRO NACIONAL DOS ADMINISTRADORES TRIBUTÁRIOS Belém, 19 de setembro de 2011 Jorge Castro SEFAZ/MA Representante do CONFAZ na SE/CGSN FISCALIZAÇÃO.

ENCONTRO NACIONAL DOS ADMINISTRADORES TRIBUTÁRIOS Belém, 19 de setembro de 2011 Jorge Castro SEFAZ/MA Representante do CONFAZ na SE/CGSN FISCALIZAÇÃO.

Apresentações semelhantes

Anúncios Google