Escolar Documentos
Profissional Documentos
Cultura Documentos
Honeypot
Honeypot
www.ProjetodeRedes.com.br
Gislaine Aparecida Rojas
RA: 002319-1
Americana SP
Segundo Semestre de 2003
Orientador:
Marcos Antonio de Almeida Cor
Americana SP
Segundo Semestre de 2003
Agradecimentos
Sumrio
Resumo........................................................................................................... 08
Abstract........................................................................................................... 09
1.
Introduo......................................................................................... 10
1.1.
Hackers............................................................................................ 11
1.2.
Motivaes....................................................................................... 12
1.3.
1.4.
1.4.1.
Bugs de Sistema.............................................................................. 14
1.4.2.
1.5.
Organizao da Dissertao............................................................ 15
2.
2.1.
Histrico........................................................................................... 17
2.2.
Honeypots........................................................................................ 17
2.2.1.
Vantagens e Desvantagens.............................................................. 18
2.2.2.
Nveis de Interao........................................................................... 19
2.2.3.
Localizao de um Honeypot........................................................... 20
2.2.4.
2.3.
Honeynets......................................................................................... 22
2.3.1.
14
Tipos de Honeynets.......................................................................... 31
3.
Projetos............................................................................................ 35
3.1.
Honeynet Project.............................................................................. 35
3.1.1.
Fases do Projeto.............................................................................. 36
3.2.
Honeynet.BR.................................................................................... 40
3.2.1.
Diferenciais do Honeynet.BR............................................................ 40
3.2.2.
Resultados. 42
3.3.
3.3.1.
Fases do Projeto............................................................................... 44
4.
4.1.
Honeypots Comerciais...................................................................... 46
4.1.1.
Mantrap............................................................................................. 46
4.1.2.
Specter 47
4.1.3.
NetBait 48
4.1.4.
Smoke Detector. 49
4.1.5.
KFSensor 50
4.2.
4.2.1.
BackOfficer Friendly 51
4.2.2.
Honeyd 51
4.2.3.
LaBrea Tarpit. 53
4.2.4.
Deception Toolkit.. 53
4.2.5.
Tiny Honeypot................................................................................... 54
5.
5.1.
Honeytoken 55
5.2.
Honeyfarm.. 56
5.3.
Dinamic Honeypot. 57
6.
Concluso......................................................................................... 59
6.1.
Referncias Bibliogrficas............................................................................... 61
Glossrio......................................................................................................... 65
ndice de Figuras
Figura 01:
Honeypot..................................................................................... 18
Figura 02:
Figura 03:
Uma Honeynet............................................................................ 22
Figura 04:
Figura 05:
Honeynet Clssica...................................................................... 32
Figura 06:
Honeynet Virtual......................................................................... 33
Figura 07:
Figura 08:
38
Figura 09:
39
Figura 10:
Topologia da Honeynet.BR......................................................... 41
Figura 11:
Figura 12:
44
Figura 13:
45
Figura 14:
Tela do Specter........................................................................... 47
Figura 15:
Figura 16:
Figura 17:
Monitoramento do KFSensor...................................................... 50
Figura 18:
Figura 19:
Figura 20:
Figura 21:
Lista de Abreviaturas
DMZ
Demilitarized Zone
DNS
DoS
Denial of Services
FTP
HTTP
ICMP
IDS
IMAP
INPE
IP
Internet Protocol
IRC
MAC
MCT
NBSO
POP
RPC
SMTP
SO
Sistema Operacional
SSH
Secure Shell
TCP
TELNET
ToS
Type of Service
TTL
Time To Live
UDP
Resumo
Abstract
1. Introduo
A internet proporciona grande comodidade, permitindo que pessoas troquem
informaes de forma eficiente; isso explica o extraordinrio crescimento
observado nos ltimos anos no nmero de sites, de servios, de pessoas e
companhias conectadas.
A expanso das conexes dos computadores proporcionou acrscimo em
nossas vulnerabilidades, tornando as redes mais propensas a ataques.
Informaes privadas e importantes podem ser invadidas a qualquer
instante.
Antes
as
invases
eram
provenientes
de
pessoas
com
grandes
FATEC Americana
11
1.1. Hackers
Originalmente hacker um indivduo que possui conhecimentos tcnicos
para explorar sistemas de computadores, mas com a crescente publicao
sobre invases de sistemas associadas a esse termo, a palavra passou a ter
uma conotao negativa.
O termo geral hacker pode ser dividido em muitas categorias relacionadas a
motivos e comportamentos. A categoria Cracker / Hacker BlackHat ser o
enfoque dessa pesquisa, que caracteriza aqueles indivduos que utilizam
seus conhecimentos para cometer crimes.
Cada hacker possui sua prpria metodologia de trabalho e cada sistema
possui seus pontos fortes e fracos, mas a maioria dos ataques segue um
padro:
-
FATEC Americana
12
instalar porta dos fundos, que uma modificao no sistema pra criar
uma entrada fcil para possveis retornos;
como
heris
protegendo
mundo
de
operaes
FATEC Americana
13
FATEC Americana
14
FATEC Americana
15
Verificao de senha
A autenticao por senha uma tima ferramenta para o controle de acesso
a contas e sistemas, o seu uso incorreto o mesmo que no utilizar
autenticao nenhuma. As senhas devem ser longas com combinao de
letras e nmeros, no devem possuir palavras do dicionrio, no usar nomes
de pessoas prximas ou dados pessoais, alterar constantemente, nunca
escrev-las em papel ou informar por telefone.
Uso de sniffers em redes desprotegidas
Sniffer uma ferramenta de software que registra o trfego da rede e remete
a quem instalou. Um sniffer pode ser instalado por um hacker para obter
senha das contas.
Computadores remotos desprotegidos
Pessoas que acessam a rede da empresa de forma remota devem possuir
computadores protegidos com um firewall pessoal e antivrus no mnimo,
pois um invasor pode penetrar no computador domstico e ter acesso fcil a
intranet.
16
FATEC Americana
17
Toolkit
por
Fred
Cohen,
utilizada
para
emular
diversas
2.2. Honeypots
Honeypots [1,9] so recursos de segurana criados para serem sondados,
atacados ou comprometidos por um atacante; podem ser utilizados para
FATEC Americana
18
FATEC Americana
19
Desvantagens:
-
20
configurao
vulnervel
de
firewall.
Se
honeypot
for
comprometido por um atacante externo, este ter acesso a toda rede, sem
bloqueios do firewall.
DMZ (Demilitarized Zone)
a rede adicionada entre uma rede interna e uma rede externa a fim de
prover uma camada adicional de segurana, fazendo utilizao de firewall
para controlar todo trfego de entrada / sada e isolando o honeypot da rede
de produo. Pode ser chamada de rede de permetro.
FATEC Americana
21
FATEC Americana
22
2.3. Honeynets
Honeynet [1] no um sistema nico, mas sim uma rede de sistemas e
aplicativos mltiplos, projetada para ser comprometida e observada.
Honeynet um tipo de honeypot de alta interao, utilizada principalmente
para pesquisa.
23
24
FATEC Americana
25
FATEC Americana
26
27
2.3.1.3. Anlise
A anlise a parte mais difcil e demorada de uma honeynet, pois
necessrio a transformao das informaes capturadas em dados teis.
Logs de Firewall
O firewall, como j mencionado, pode ser configurado para enviar e-mails de
alertas sobre tentativas de invaso, minimizando o trabalho do processo de
coleta de dados para anlise, j que os logs sero arquivados para anlise
detalhada.
Em um sistema IDS de uma empresa comum, o nmero de acessos
gigantesco, mas na honeynet, como todo trfego suspeito e direcionado a
ataques, o nmero de acessos no muito grande, por isso, no
sobrecarregar o nmero de alertas enviados.
FATEC Americana
28
manter
arquivados
os
endereos
IP
as
atividades
29
FATEC Americana
30
FATEC Americana
31
nmeros de seqncia.
32
dispositivos reais;
Desvantagens:
-
custo elevado;
FATEC Americana
33
custo reduzido;
gerenciamento facilitado;
Desvantagens:
-
FATEC Americana
34
FATEC Americana
35
3. Projetos
resultados em mbito
global.
Organizaes Ativas :
-
NetForensics Honeynet
FATEC Americana
36
UK Honeynet Project
Essas
organizaes
pretendem
conscientizar
das
ameaas
das
FATEC Americana
37
FATEC Americana
38
C
A
Interface A camada
segmentando a rede
administrativa.
Interface B camada
segmentando a rede de
honeypots.
Interface C camada
para
administrao
remota do gateway.
FATEC Americana
39
enviados
para
um
sistema
central
depois
disponibilizados
40
3.2. Honeynet.BR
A Honeynet.BR, organizao mantida por especialistas do INPE e pelo
NBSO, teve sua fase de projeto iniciada em dezembro de 2001, entrando em
operao em maro de 2002.
O projeto comeou como um laboratrio do curso de Ps-graduao em
Segurana de Sistemas de Informao do INPE, migrando para um projeto
maior, envolvendo alunos de mestrado e doutorado no desenvolvimento de
pesquisas.
Em junho de 2002, trs meses aps seu incio, o projeto Honeynet.BR foi
adicionado a Honeynet Research Alliance, pelo engajamento em pesquisas
relacionadas a honeynets.
O projeto brasileiro comeou com equipamentos doados pelo INPE, de
membros do projeto e do Ministrio da Cincia e Tecnologia (MCT).
41
42
3.2.2. Resultados
O projeto detectou que grande parte do nmero de ataques foi executado
atravs de worms automatizados, normalmente destinados a servidores
Web; e grande procura por servidores de e-mail com configuraes
vulnerveis para serem utilizados para envio de spam.
Foi reafirmado de que cada vez mais o uso de cdigo criptografado
utilizado em ataques, dificultando a coleta de informaes e a atualizao de
ferramentas de segurana.
FATEC Americana
43
FATEC Americana
44
FATEC Americana
45
Fase II
Honeynet usa os mesmos componentes de uma honeynet padro, mas
sendo capaz de executar sistemas operacionais virtuais.
FATEC Americana
46
47
48
Rede Real
FATEC Americana
49
Antes
Depois
FATEC Americana
50
FATEC Americana
51
52
53
FATEC Americana
54
FATEC Americana
55
5.1. Honeytoken
Tradicionalmente
os
honeypots
honeynets
so
associados
no
entanto,
possuem
muitos
empecilhos,
pois
56
5.2. Honeyfarm
Em ambientes corporativos grandes, com milhares de redes distribudas pelo
mundo, o uso de honeypots invivel pelo custo exigido nos recursos e
profissionais. O desafio aumenta ainda mais se for utilizado honeynets.
Os honeypots de baixa interao capturam poucos dados, de grande valor
sem dvida, mas nada comparado as honeynets, que so mais flexveis,
poderosas e tambm mais complexas, consumindo muitas horas de
trabalho, principalmente na anlise de argumentao. O acompanhamento
de milhares de pontos de honeynet de uma rede consumiria tempo
excessivo.
Uma soluo vivel a utilizao do conceito de honeyfarm, que em vez de
espalhar
inmeros
honeypots
pela
rede,
simplificaria
processo
FATEC Americana
57
FATEC Americana
58
FATEC Americana
59
6. Concluso
Honeypots
so
recursos
de
segurana
planejados
para
serem
no requerendo
60
de
obteno
de
impresses
digitais
p0f,
ambos
FATEC Americana
61
Referncias Bibliogrficas
[1] The Honeynet Project. Conhea seu inimigo O Projeto Honeynet.
Editora Makron Books, So Paulo, 2002.
[2] CRONKHITE & MCCULLOUGH. Hackers, Acesso Negado. Editora
Campus, Rio de Janeiro, 2001.
[3] The Honeynet Project. Acesso em 02/06/2003.
http://www.honeynets.org
[4] Intrusion Detection, Honeypots and Incident Handling Resources. Acesso
em 02/06/2003. http://www.honeypots.net/
[5] Honeypots: Tracking Hackers. Acesso em 22/06/2003.
http://www.tracking-hackers.com
[6] Honeynet.BR. Honeynet.BR: Desenvolvimento e Implantao de um
Sistema para Avaliao de Atividades Hostis na Internet Brasileira. Acesso
em 25/05/2003.
http://www.lac.inpe.br/security/honeynet/papers/hnbr_ssi2002.pdf
[7] IEEE Computer Society. The Honeynet Project: Trapping the Hackers.
Acesso em 22/06/2003. http://computer.org/security/sp2003/j2015abs.htm
[8] Reto Baumann, Christian Plattner. Honeypots. Acesso em 24/06/2003.
http://security.rbaumann.net/download/diplomathesis.pdf
[9] Lance Spitzner. Honeypots, definitions and value of honeypots. Acesso
em 22/06/2003. http://www.tracking-hackers.com/papers/honeypots.html
[10] Reto Baumann, Christian Plattner. White Paper: Honeypots. Acesso
em 22/07/2003. http://security.rbaumann.net/download/whitepaper.pdf
[11] Jarbas Peixoto. Honeynet: Um ambiente para anlise de intruso.
Dissertao, Unesp, So Jos do Rio Preto, 2002.
[12] Alexandre Andrucioli. Honeypots.
Dissertao, UFRJ, Rio de Janeiro, 2003.
[13] Modulo Security. Acesso em 27/07/2003.
http://www.modulo.com.br
FATEC Americana
62
63
FATEC Americana
64
FATEC Americana
Glossrio
Buffer
Bug
Default
Emular
Firewall
Firewall
Invisvel
Flag
Gateway
Host
Kernel
Log
bombardeamento
de
mensagens
atravs
do
correio
FATEC Americana
Roteador
Sniffer
Spoofing
de
endereo
IP
de
origem
simulando
Tripwire
www.ProjetodeRedes.com.br
FATEC Americana