Proposta de Implementao de uma Honeypot para Deteco de

Vulnerabilidades
Marco A. Trentin1, Gustavo S. Linden2, Alcides A. S. Coelho Jnior3, Andr L.
Fvero3
Universidade de Passo Fundo - Campus I - Bairro So Jos - Fone (54) 316 8354
FAX (54) 316 8364 Cx. P. 611 - 99001-970 - Passo Fundo-RS
trentin@upf.tche.br, {40579,27891}@lci.upf.tche.br, andre@atua.com.br

Resumo: O presente estudo visa identificar pontos vulnerveis em uma rede de

computadores e demonstrar medidas para solucionar ou amenizar problemas de
segurana envolvendo servidores. Assim, foi configurada uma rede de sistemas
operacionais heterogneos, conectados a Internet, para a deteco e anlise dos
ataques. As instalaes dos sistemas operacionais foram executadas na forma
Out of the Box, possibilitando testar a segurana dos sistemas operacionais
com as configuraes padro de fbrica. Para detectar problemas relacionados
segurana foram monitorados os computadores e a rede, permitindo identificar
pontos onde possveis ataques podem ser realizados, devido a fraca segurana de
servios e servidores.
Abstract: The present study seeks to identify vulnerable points in a computer
network and to demonstrate measures to solve or to ease up problems of security
involving servers. Thus, a computer network, of heterogeneous operational
systems, was configured and connected to the Internet, for detection and analysis
of the attacks. The installation of the operating systems was executed in the form
"Out of the Box", allowing to test the safety of the operational systems with their
standard factory configurations. To detect security problems, the computers and
the network were monitored, allowing the identification of points where possible
attacks could be accomplished, due the weak safety of services and servers.
1 Introduo
A palavra segurana nunca foi to importante para os ambientes computacionais como est
sendo atualmente. Antigamente, no existia grande preocupao com este aspecto, pois o
computador era privilgio de poucos (devido aos altos preos) e, tambm, poucos
entendiam de informtica (hardware e software). Porm, o cenrio atual outro. Com o
passar dos anos o preo dos computadores diminuiu drasticamente, possibilitando uma
maior aquisio, e conseqente dependncia, por arte das empresas. Para somar-se a isto,
surgiu a Internet, que se apresenta como um meio global de troca de informaes. Com o
1

Professor do curso de Cincia da Computao - UPF.

Acadmico do curso de Cincia da Computao - UPF, bolsista FAPERGS.
3
Acadmico do curso de Cincia da Computao - UPF.
2

advento da Internet, sem dvida nenhuma a preocupao com segurana aumentou

significativamente [KURTZ, 2000].
Para proteger os sistemas computacionais, diversos estudos foram realizados e tcnicas de
defesa foram criadas. Surgiram tambm os Administradores de Redes, com a funo de
gerenciar toda a estrutura fsica e lgica de uma rede, alm de cuidar dos aspectos de
segurana [ANNIMO, 2000]. Estes profissionais podem usar vrias tcnicas de preveno
de ataques, como adotar firewalls (filtragem do trfego) em sua rede, criar polticas para os
usurios, utilizar filtros em roteadores, ou ainda, adotar um Sistema de Deteco de
Intruso (IDS).
A utilizao de IDSs est aumentando de forma significativa, visto que um mecanismo
seguro, que permite o monitoramento de um computador ou de uma rede. Como este
trabalho visa testar a segurana de computadores conectados a Internet, foi implementado o
conceito de Honeynet, onde foi criado um ambiente propcio para atrair invasores. Uma
pea fundamental na criao de uma Honeynet escolher um sistema IDS robusto, capaz de
funcionar em qualquer situao. Em nossa rede, foi utilizado o IDS Snort, em conjunto com
algumas outras ferramentas (como o AIDE) e tcnicas, a fim de que seja criado um
ambiente confivel para a realizao de testes e descobertas.
2 Honeypot
Honeypot um alvo que testado, atacado e comprometido. Na verdade, ele um software
instalado no computador que emula outro sistema operacional, seus servios e suas
vulnerabilidades, evitando que o invasor tenha acesso ao verdadeiro sistema operacional,
que est suportando este falso sistema operacional e seus servios. Alguns exemplos mais
conhecidos de Honeypot so: BackOffice para Windows NT e 2000, Specter, Mantrap, The
Deception toolkit e HoneyD para sistemas baseados em Unix [SPITZNER, 2002].
Um invasor, quando consegue acesso a um computador, que est utilizando um honeypot,
tem a sensao de ter invadido um sistema real. Assim, o invasor em momento algum tem
acesso ao sistema operacional real, mesmo porque ele no sabe que est em uma emulao
de um sistema operacional. Para ele o software o sistema operacional que ele conseguiu
entrar. A vantagem desse sistema obter informaes sobre o ataque sem comprometer o
sistema operacional.
2.1 Honeynet
Honeynet um tipo de honeypot que permite estudar e compreender o ataque mais
detalhadamente. Muito utilizado em pesquisas, alm de detectar ataques, ela possibilita
monitorar as atividades do atacante aps uma intruso de sucesso. Em uma Honeynet o
sistema operacional e os servios utilizados no so emulados, diferentemente de um
honeypot tradicional. O prprio sistema operacional serve de alvo para ataques. Uma
Honeynet uma rede de computadores, podendo ser de diversos sistemas operacionais, que
foram instalados de forma semelhante a encontrada na maioria das empresas, e tambm

com os mesmos servios de rede [PROJECT, 2002]. Por no haver modificaes, para
tornar mais ou menos seguro, a Honeynet reflete exatamente a situao da segurana
encontrada na maioria das empresas atualmente. Pela grande capacidade de aprendizado
que a mesma possibilita, e por ser um sistema real, uma Honeynet apresenta grandes riscos,
porque o invasor pode conseguir acesso total aos computadores desta rede, e no possvel
prever o que ele far com esse controle. Mas o conhecimento adquirido pela anlise da
invaso muito maior do que a simples deteco da intruso, que o caso de um honeypot.
Aps verificar uma intruso, os passos do invasor so monitorados para descobrir tcnicas,
ferramentas e, claro, a real inteno da invaso, a fim de identificar quais os problemas
existentes na segurana desta rede.
O conhecimento adquirido com um honeypot limitado em comparao a uma Honeynet,
mas por outro lado os riscos envolvendo um honeypot comprometido so bem menores,
uma vez que o atacante nunca ter posse real do sistema.
3 IDS
IDS (Intrusion Detection System) um sistema, implementado por software, com o
objetivo de detectar intruses. Existem diversas ferramentas IDS, para diferentes
plataformas. Atualmente, percebe-se que os ataques ocorrem diariamente e so inmeros.
Com o uso de um IDS, pode-se saber quem so os atacantes, os alvos e as formas de
ataque, permitindo descobrir quais so os pontos vulnerveis de uma rede, ou seja, onde
atacantes podero focar seus ataques. Os IDS podem ser de dois tipos: IDS assinaturas/rede
ou de comportamento/host.
3.1 IDS de Assinatura ou de Rede
Este tipo de IDS analisa os pacotes que trafegam na rede, buscando identificar assinaturas
de ataques conhecidos. Um bom exemplo de IDS que funciona dessa forma o Snort
[CASWELL, 2002]. o software de deteco de instruo mais conhecido e utilizado
atualmente, sendo freeware, sob licena GPL. Ele funciona atravs da coleta e anlise de
todos os pacotes que trafegam em um segmento de rede, comparando-os com regras
(pass,log,alert) associadas a assinaturas, que so pacotes correspondentes a invases j
detectadas e guardadas em um banco de dados. As regras qualificam o que deve ser feito:
pass, se esse um trfego de rede normal e no implica na segurana da rede; log, registra
esse pacote para passar informaes ao gerente de rede sobre os pacotes que esto
trafegando na rede; alert, registra e alerta se algum pacote possuir contedo malicioso.
3.2 IDS de Comportamento ou de Host
Este tipo de IDS monitora as atividades de um computador, identificando diferenas no
padro dirio do mesmo. Ele tem a mesma funo que o IDS de assinaturas, porm ele
trabalha de forma diferente. Ele possui informaes do padro de comportamento dirio do
sistema. Se o sistema que esta sendo monitorado sair do seu padro, so coletados pacotes e
informaes do que esta acontecendo, analisados e gerado um alerta, o que permite ao

usurio analisar a razo do alerta. Essa coleta de pacotes permite criar uma assinatura do
ataque, de forma que, se for um novo ataque, poder ser acrescentado no banco de dados do
IDS de assinaturas. Como esse sistema de deteco no se baseia em assinaturas e sim em
padres, possvel detectar novas formas de ataques. Ele bastante utilizado em pesquisas.
3.3 AIDE
AIDE (Advanced Intrusion Detection Environment) um ambiente avanado de deteco
de intruso, que tem a finalidade de detectar intruses em um host, atravs da comparao
de arquivos previamente determinados do host com uma comparao feita anteriormente e
armazenada em um banco de dados, que pode estar local ou remotamente. Atravs desta
comparao, ele consegue identificar a modificao de qualquer arquivo importante
(previamente determinado) dentro do banco de dados. Este software roda em plataformas
Unix, e um substituto freeware, sob licena GPL, do Tripwire [LEHTI, 2002].
4 Configurao atual da Honeynet
A nossa Honeynet encontra-se dentro do Laboratrio Computacional de Pesquisa do Curso
de Cincia da Computao, da Universidade de Passo Fundo RS, e composta por quatro
computadores. Em trs destes esto instalados distribuies de sistemas operacionais com
kernel Linux, e no quarto est instalado o Windows 2000 Server. Todos encontram-se em
um mesmo segmento. Um computador (gateway) controla o fluxo de um tnel, o qual
permite o acesso da Internet a esta Honeynet. Este gateway tambm tem a finalidade de
isolar a Honeynet do resto da rede da Universidade. Isto importante, pois esta rede tem
por finalidade trazer subsdios para um projeto de pesquisa na rea de segurana,
principalmente atravs da monitorao de invases reais, vindas de toda a Internet. Como
estes computadores possuem IP real e esto abertos a invases, este gateway no pode
permitir que ataques sejam realizados rede corporativa de nossa Universidade, a partir de
nossa Honeynet. Ento, por motivos de segurana, este tnel utilizado para poder
conduzir o trfego da Honeynet diretamente ao roteador, e assim Internet, no permitindo
com isso que este trfego passe por redes inseguras.

Figura 1: Configurao da Honeynet atual

5 Garantindo o controle e o monitoramento da Honeynet

A instalao dos sistemas operacionais foi executada sem qualquer reforo ou preocupao
com a segurana (out of the box). As configuraes adotadas foram as configuraes padro
para servidor que acompanham o cd-rom de cada distribuio de sistema operacional.
Inicialmente foi feita a instalao do sistema operacional, depois foram habilitados os
servios. Tambm foram modificados arquivos de configurao para coletar informaes
do estado e operaes executadas no computador, para somente depois conectar o
computador com o resto da rede. Como a comunicao entre os computadores atravs de
um Hub, o Snort foi instalado em apenas um computador da rede.
Para garantir a integridade das informaes, caso ocorram invases, o Snort envia os alertas
que ele gera para outro computador, em que o invasor no consiga acesso. Para se
comunicar com a Internet preciso passar pelo gateway. Ento, tambm neste gateway foi
configurado um sensor do Snort, para se ter mais confiabilidade nas informaes obtidas.
Os servios que rodam nestes computadores so preferencialmente os que vieram junto
com o sistema operacional, mas quando era preciso algum outro programa, era feita a
compilao da verso mais recente. Todas a mquinas utilizam IP real, e para disponibilizar
maiores informaes para a Internet, foram retiradas todas as regras do firewall que existe
entre estes computadores e o roteador. Isso permitiu que aos atacantes conhecessem melhor
nossa rede e o que havia dentro dela. Para garantir a nossa anlise posterior a alguma
invaso, os sistemas operacionais dos computadores sofreram recompilaes e programas
foram adicionados, como o caso do AIDE, para verificar quais arquivos foram
comprometidos pelo cracker, se houve algum trojan instalado ou teve alguma configurao
alterada. Tambm foi assegurado a gravao de todos os comandos digitados no
computador. Com isto pode-se ter noes mais precisas do objetivo do ataque. Mesmo com
todas essas precaues tomadas, no h garantia de segurana total do sistema. Para
garantir um controle ainda maior preciso instalar um firewall, o que garante que a nossa
rede no seja um meio para outros ataques. Este firewall limitaria a sada a partir de nossa
Honeynet.
6 Algumas informaes obtidas
Nesta sesso possvel observar alguns logs registrados de tentativas de intruso a nossa
Honeynet. As informaes apresentadas abaixo foram geradas por atacantes tentando
encontrar pontos fracos no sistema alvo.
Jun 7 20:09:34 logger sshd[2756]: scanned from 206.111.91.126 with SSH1.0-SSH_Version_Mapper. Don't panic.
Jun 7 20:09:34 logger sshd[2755]: Did not receive identification string
from 206.111.91.126
Figura 2: exemplos de logs gerados por portscan de vulnerabilidade do ssh

No exemplo acima, foi utilizado um scanner de vulnerabilidades existentes no SSH-1.0.

Quem alertou este scanner no foi o Snort, e sim o prprio daemon ssh do computador
atacado. Mas no caso no houve continuidade do ataque, porque o sshd, que o computador
estava rodando, no apresentava a vulnerabilidade que a ferramenta estava procurando.
No exemplo abaixo ocorreu uma procura por servios sshd em uma faixa de IP. Todos os
computadores foram scanneados, sem exceo. Neste caso no foi procurada uma
vulnerabilidade em especial. O atacante apenas queria saber quais computadores tinham o
servio rodando para posteriormente verificar se algum dos computadores com sshd esto
rodando uma verso com vulnerabilidades possveis de serem exploradas. Aps, o atacante
realmente verificou a verso do sshd em um dos computadores, o que pode ser visto nas
duas ltimas linhas da figura abaixo.
Jun
9 11:24:24 logger snort[849]: [111:13:1] spp_stream4: STEALTH
ACTIVITY (SYN FIN scan) detection {TCP} 62.194.74.79:22 -> Mandrake:22
Jun
9 11:24:24 logger snort[849]: spp_portscan: PORTSCAN DETECTED to
port 22 from 62.194.74.79 (STEALTH)
Jun
9 11:24:24 logger snort[849]: [111:13:1] spp_stream4: STEALTH
ACTIVITY (SYN FIN scan) detection {TCP} 62.194.74.79:22 -> Windows2000:22
Jun
9 11:24:24 logger snort[849]: [111:13:1] spp_stream4: STEALTH
ACTIVITY (SYN FIN scan) detection {TCP} 62.194.74.79:22 -> logger:22
Jun
9 11:24:24 logger snort[849]: [111:13:1] spp_stream4: STEALTH
ACTIVITY (SYN FIN scan) detection {TCP} 62.194.74.79:22 -> conectiva8:22
Jun 9 11:24:27 logger sshd[10649]: Did not receive identification string
from 62.194.74.79
Jun
9 11:27:40 logger snort[849]: spp_portscan: portscan status from
62.194.74.79: 5 connections across 4 hosts: TCP(5), UDP(0) STEALTH
Jun
9 11:39:40 logger snort[849]: spp_portscan: End of portscan from
62.194.74.79: TOTAL time(1s) hosts(4) TCP(5) UDP(0) STEALTH
Jun 9 12:44:23 logger sshd[10693]: Did not receive identification string
from 200.249.122.45
Figura 3: exemplos de logs gerados por portscan na porta 22

7 Concluso
Um computador que for conectado na Internet nunca est 100% seguro, principalmente se
forem utilizadas as configuraes que acompanham o cd-rom da distribuio do sistema
operacional. Quanto mais desatualizado o sistema operacional, menos seguro ele se torna,
isso porque o nmero de bugs maior, permitindo assim mais tempo para que os crackers
transformem estes bugs em vulnerabilidades.
Neste pouco tempo de existncia de nossa Honeynet, pode-se perceber o quanto
computadores com IP real sofrem tentativas de ataques, e com grandes chances de sucesso.
Por isto, a preocupao com segurana em empresas que dependam de computadores, com
acesso a Internet, para o sucesso de seus negcios, deve ser constante e sempre atualizada.
Uma vez que uma Honeynet pode ser atacada, e os invasores obeterem sucesso,
imperativo que as pessoas que a administram tambm cerquem-se de cuidados para que o

invasor no venha efetuar outros ataques, principalmente a outras redes da mesma

instituio, a partir da mquina em que obteve acesso.
8 Referncias Bibliogrficas
ANNIMO, Autor. Segurana mxima. Editora: Campus, ed.: Segunda. 2000, 826 p.
CASWELL, B.; BAKER, A.; GREEN, C.; et al. Snort.org. Disponvel em:
http://www.snort.org. Acesso em 20 de junho de 2002.
CHESWICK, B. An Evening with Berferd. Disponvel em: http://www.trackinghackers.com/papers/berferd.pdf. Acesso em 10 de junho de 2002.
KURTZ, G., MCCLURE, S., SCAMBRAY, J. Hackers expostos. Editora: Makron books.
So Paulo 2000, 470 p.
LEHTI, R.; VIROLAINEN, P. AIDE Advanced Intrusion Detection Enviroment.
Disponvel em: http://www.cs.tut.fi/~rammer/aide.html. Acesso em 22 de junho de 2002.
PROJECT, Honeynet. Conhea o seu Inimigo O Projeto Honeynet. Editora: Makron
books. So Paulo 2002, 336 p.
SPITZNER, L.; DITTRICH, D.; ROESCH, M. HoneyNet Project. Disponvel em:
http://project.Honeynet.org/papers/Honeynet 2002. Acesso em 25 de junho de 2002.