Outros trabalhos em:

www.ProjetodeRedes.com.br
Gislaine Aparecida Rojas
RA: 002319-1

Anlise de Intruses atravs de

Honeypots e Honeynets

Americana SP
Segundo Semestre de 2003

Gislaine Aparecida Rojas

RA: 002319-1

Anlise de Intruses atravs de

Honeypots e Honeynets

Trabalho de graduao apresentado

Faculdade de Tecnologia de Americana, como
parte dos requisitos para obteno do ttulo de
Tecnlogo em Processamento de Dados.

Orientador:
Marcos Antonio de Almeida Cor

Americana SP
Segundo Semestre de 2003

Dedico este trabalho aos meus pais Elvira e

Honofre, minha irm Gisele e a todos aqueles que
colaboraram para concretizao de mais essa fase.

Agradecimentos

A Deus pela oportunidade da vida, e por todas as bnos que me concede

a cada amanhecer.
Aos meus pais Elvira e Honofre, pela dedicao e apoio familiar. A minha
irm Gisele pelo carinho e excessivas colaboraes.
As minhas amigas Fabiana, Joseane e Mariluce, que me ajudaram em todos
os sentidos.
Aos colegas da FATEC, que estiveram presentes durante esses anos na
faculdade e ao Edgar, pela ajuda na escolha desse tema.
Aos professores que me deram oportunidades de novos conhecimentos, e
em especial ao Professor Marcos Cor, pela orientao fornecida durante o
desenvolvimento desse trabalho.
Enfim, a todos que direta ou indiretamente colaboraram para concretizao
desse trabalho de graduao.

Sumrio
Resumo........................................................................................................... 08
Abstract........................................................................................................... 09
1.

Introduo......................................................................................... 10

1.1.

Hackers............................................................................................ 11

1.2.

Motivaes....................................................................................... 12

1.3.

Entidades mais vulnerveis.............................................................. 13

1.4.

Pontos Fracos na Segurana da Rede............................................. 13

1.4.1.

Bugs de Sistema.............................................................................. 14

1.4.2.

Problemas de Configurao de Sistema.........................................

1.5.

Organizao da Dissertao............................................................ 15

2.

Ambientes de Anlise de Intruses.................................................. 17

2.1.

Histrico........................................................................................... 17

2.2.

Honeypots........................................................................................ 17

2.2.1.

Vantagens e Desvantagens.............................................................. 18

2.2.2.

Nveis de Interao........................................................................... 19

2.2.3.

Localizao de um Honeypot........................................................... 20

2.2.4.

Legalidade dos Honeypots............................................................... 21

2.3.

Honeynets......................................................................................... 22

2.3.1.

Funcionamento de uma Honeynet.................................................... 23

14

2.3.1.1. Controle de Dados............................................................................ 23

2.3.1.2. Captura de Dados............................................................................. 25
2.3.1.3. Anlise.............................................................................................. 27
2.3.2.

Tcnicas Adicionais de Anlise........................................................ 29

2.3.2.1. Obteno Passiva de Impresses Digitais....................................... 29

2.3.2.2. Anlise de Argumentao................................................................ 31
2.3.3.

Tipos de Honeynets.......................................................................... 31

2.3.3.1. Honeynet Clssica 31

2.3.3.2. Honeynet Virtual............................................................................... 32
2.3.4.

Importncia de uma Honeynet.......................................................... 34

3.

Projetos............................................................................................ 35

3.1.

Honeynet Project.............................................................................. 35

3.1.1.

Fases do Projeto.............................................................................. 36

3.2.

Honeynet.BR.................................................................................... 40

3.2.1.

Diferenciais do Honeynet.BR............................................................ 40

3.2.2.

Resultados. 42

3.3.

Wireless Honeynet Project.. 42

3.3.1.

Fases do Projeto............................................................................... 44

4.

Alguns Honeypots Disponveis......................................................... 46

4.1.

Honeypots Comerciais...................................................................... 46

4.1.1.

Mantrap............................................................................................. 46

4.1.2.

Specter 47

4.1.3.

NetBait 48

4.1.4.

Smoke Detector. 49

4.1.5.

KFSensor 50

4.2.

Honeypots Free / OpenSource... 51

4.2.1.

BackOfficer Friendly 51

4.2.2.

Honeyd 51

4.2.3.

LaBrea Tarpit. 53

4.2.4.

Deception Toolkit.. 53

4.2.5.

Tiny Honeypot................................................................................... 54

5.

Outros Nveis de Honeypot............................................................... 55

5.1.

Honeytoken 55

5.2.

Honeyfarm.. 56

5.3.

Dinamic Honeypot. 57

6.

Concluso......................................................................................... 59

6.1.

Propostas de Trabalhos Futuros...................................................... 60

Referncias Bibliogrficas............................................................................... 61
Glossrio......................................................................................................... 65

ndice de Figuras
Figura 01:

Honeypot..................................................................................... 18

Figura 02:

Localizaes Permitidas aos Honeypots.................................... 21

Figura 03:

Uma Honeynet............................................................................ 22

Figura 04:

Honeynet e seu Projeto de Dados.............................................. 24

Figura 05:

Honeynet Clssica...................................................................... 32

Figura 06:

Honeynet Virtual......................................................................... 33

Figura 07:

Honeynet Fase I.......................................................................... 37

Figura 08:

Honeynet Fase II.

38

Figura 09:

Honeynet Fase IV...

39

Figura 10:

Topologia da Honeynet.BR......................................................... 41

Figura 11:

Exemplo de uma Rede Wireless................................................. 43

Figura 12:

Wireless Honeynet Fase I.

44

Figura 13:

Wireless Honeynet Fase II

45

Figura 14:

Tela do Specter........................................................................... 47

Figura 15:

Iluso Causada pelo NetBait...................................................... 48

Figura 16:

Funcionamento do Smoke Detector........................................... 49

Figura 17:

Monitoramento do KFSensor...................................................... 50

Figura 18:

Tela do BackOfficer Friendly....................................................... 51

Figura 19:

Rede com Endereos IP no Utilizados..................................... 52

Figura 20:

Honeyd Monitorando Endereos IP no Utilizados.................... 52

Figura 21:

Conceito de Redirecionar Atacantes para Honeyfarm................ 57

Lista de Abreviaturas
DMZ

Demilitarized Zone

DNS

Domain Name Server

DoS

Denial of Services

FTP

File Transfer Protocol

HTTP

HiperText Transfer Protocol

ICMP

Internet Control Message Protocol

IDS

Intrusion Detection System

IMAP

Internet Message Access Protocol

INPE

Instituto Nacional de Pesquisas Espaciais

IP

Internet Protocol

IRC

Internet Relay Chat

MAC

Modify / Access / Change

MCT

Ministrio da Cincia e Tecnologia

NBSO

NIC BR Security Office

POP

Post Office Protocol

RPC

Remote Procedure Call Protocol

SMTP

Simple Mail Transmission Protocol

SO

Sistema Operacional

SSH

Secure Shell

TCP

Transmission Control Protocol

TELNET

Network Terminal Protocol

ToS

Type of Service

TTL

Time To Live

UDP

User Datagrama Protocol

Resumo

Rojas, Gislaine (2003). Anlise de Intruses atravs de Honeypots e

Honeynets. Americana, 2003. 66 p. Dissertao (Graduao) FATEC
Americana SP.
A internet, um dos meios mais importantes de comunicao, utilizada para
realizao de constantes invases. Muitos procedimentos so usados para
proteger informaes importantes de empresas e usurios domsticos, mas
no so totalmente seguros, pois novas tticas de invaso so descobertas
e criadas a todo instante.
Honeypots e Honeynets so recursos de segurana utilizados para serem
sondados, atacados e comprometidos; para observao do comportamento
das invases, deteco das tendncias e tambm permitir desenvolver
novas tcnicas de segurana.
Palavras Chave: Rede de Computadores, Segurana, Intruso, Honeypot,
Honeynet.

Abstract

Rojas, Gislaine (2003). Analysis of Intrusions through Honeypots and

Honeynets. Americana, 2003. 66 p. Dissertation (Graduation). FATEC
Americana SP.
Internet, one of the most important ways of communication, is used to
accomplishment of constant invasions. Many procedures are used to protect
important information of companies and domestic users, but they arent
totally safe, because new tactics of invasion are discovered and created the
all instant.
Honeypots and Honeynets are resources of security used to be probed,
attacked and compromised; for observation of the behavior of the invasions,
detection of the tendency and also to allow to develop new technologies of
security.
Key Works: Computers Network, Security, Intrusion, Honeypot, Honeynet.

Honeypots & Honeynets

1. Introduo
A internet proporciona grande comodidade, permitindo que pessoas troquem
informaes de forma eficiente; isso explica o extraordinrio crescimento
observado nos ltimos anos no nmero de sites, de servios, de pessoas e
companhias conectadas.
A expanso das conexes dos computadores proporcionou acrscimo em
nossas vulnerabilidades, tornando as redes mais propensas a ataques.
Informaes privadas e importantes podem ser invadidas a qualquer
instante.
Antes

as

invases

eram

provenientes

de

pessoas

com

grandes

conhecimentos tcnicos, comumente chamados de hackers; hoje com as

ferramentas e manuais para invaso de redes disponibilizados em vrios
sites, o perfil do atacante mudou, pois pessoas sem conhecimentos
profundos em informtica podem atacar sistemas desprotegidos.
Como a informao uma arma importante em todos os segmentos, cada
vez mais as empresas esto se conscientizando da necessidade de uma
poltica de segurana, j que sinnimo de credibilidade, agregando valores
aos negcios.
No entanto, poltica de segurana no previne totalmente os ataques, pois
novas tcnicas e falhas so observadas diariamente aps a efetivao das
atividades maliciosas, ou seja, somente aps o prejuzo, que muitas vezes
refere-se a valores significativos.

FATEC Americana

Honeypots & Honeynets

11

A comunidade de segurana se baseava na deteco do ataque e em

mecanismos de reao, e com o tempo percebeu a necessidade de
conhecer o inimigo, seus mtodos, ferramentas e tticas de ataque; o
conceito de honeypot surgiu dessa necessidade.
Honeypots so utilizados para monitorao de ataques, colecionando
informaes importantes sobre tendncias e permitindo aprimoramento na
segurana das redes.

1.1. Hackers
Originalmente hacker um indivduo que possui conhecimentos tcnicos
para explorar sistemas de computadores, mas com a crescente publicao
sobre invases de sistemas associadas a esse termo, a palavra passou a ter
uma conotao negativa.
O termo geral hacker pode ser dividido em muitas categorias relacionadas a
motivos e comportamentos. A categoria Cracker / Hacker BlackHat ser o
enfoque dessa pesquisa, que caracteriza aqueles indivduos que utilizam
seus conhecimentos para cometer crimes.
Cada hacker possui sua prpria metodologia de trabalho e cada sistema
possui seus pontos fortes e fracos, mas a maioria dos ataques segue um
padro:
-

reunir informaes tcnicas e gerais, incluindo nomes da equipe,

sistema operacional, senhas, nmeros de discagem por acesso
remoto;

obter acesso inicial ao sistema;

explorar os pontos fracos do sistema para aumentar os privilgios e

expandir seu acesso;

FATEC Americana

12

Honeypots & Honeynets

executar a finalidade do ataque;

instalar porta dos fundos, que uma modificao no sistema pra criar
uma entrada fcil para possveis retornos;

cobrir os rastros e sair, que envolve modificao dos arquivos de log

que registram o acesso e as modificaes no sistema.

1.2. Motivaes para efetivao de um ataque

A identificao dos inmeros motivos que levam algumas pessoas a
atacarem sistemas de computador uma estratgia muito interessante,
seguem alguns [49]:
-

ganhos financeiros: com freqncia, os intrusos so funcionrios que

obtm acesso a sistemas financeiros para roubar dinheiro;

vingana: por parte de funcionrios insatisfeitos;

necessidade de aceitao ou respeito: muitos intrusos se dedicam a

atividades ilegais envolvendo o uso de computador devido
necessidade de aceitao e/ou respeito de outras pessoas; membros
de clubes de crackers ganham aceitao ao cometerem atos de
intruso;

idealismo: alguns intrusos atacam sistemas por razes idealistas, se

portando

como

heris

protegendo

mundo

de

operaes

clandestinas de coleta de dados por parte do governo;

-

curiosidade ou busca de emoo: alguns intrusos possuem apenas a

necessidade de saber o que o sistema possui;

anarquia: os anarquistas penetram nos sistemas simplesmente para

produzirem discrdia;

aprendizado: pequena parte daqueles que violam sistemas fazem isso

para aprimorar seus conhecimentos;

ignorncia: no tm conscincia de que suas aes so ilegais;

FATEC Americana

Honeypots & Honeynets

13

espionagem industrial: empresa ou organizao que se dedica a

atividades ilegais contra outra.

espionagem nacional: semelhante espionagem industrial, exceto

pelo fato de que um pas comea a atacar os recursos de informtica
de outro.

1.3. Entidades mais vulnerveis

As entidades mais vulnerveis a um ataque em grande escala so:
-

instituies financeiras e bancos, que so testados e atacados para

execuo de fraudes, como desvio de dinheiro e transferncias de
fundos, e que normalmente no so levados ao conhecimento
pblico;

provedores de internet, pois so facilmente acessados atravs da

internet e podem possuir acesso a conexes rpidas, utilizadas para
transferncia de grandes quantidades de dados, alm do cadastro
dos seus clientes;

companhias farmacuticas, buscando resultados de pesquisas e

desenvolvimentos de novos medicamentos;

governo e agncias de defesa, devido ao baixo oramento destinado

s polticas de segurana;

empresas multinacionais, que so as principais vtimas de tentativas

de espionagem industrial.

1.4. Pontos fracos na segurana da rede

Alguns hackers so sofisticados, explorando novos bugs no software, outros
utilizam como porta de entrada, falhas conhecidas que no foram
atualizadas pelos administradores dos sistemas ou usurios.

FATEC Americana

Honeypots & Honeynets

14

1.4.1. Bugs de Software

Os softwares normalmente so colocados no mercado com erros ou com
partes do cdigo que no executam o esperado, mas as empresas de
softwares mantm sites dedicados a questo de segurana, contendo
emendas que corrigem os problemas. A visita constante nesses sites
permite as atualizaes necessrias, dificultando o trabalho dos atacantes.

1.4.2. Problemas de configurao do sistema

Configuraes default
Muitos sistemas so instalados com configuraes default, devendo ser
alteradas imediatamente pelo administrador da rede, pois os hackers
possuem ferramentas de busca dessas configuraes vulnerveis.
Programas vulnerveis
A maioria dos softwares possui diferentes nveis de segurana, sendo
necessrio revisar algumas configuraes para se obter um nvel de
segurana mnimo.
Atalhos administrativos
Na configurao de um sistema novo, nunca deve ser reutilizada a senha
dos sistemas antigos, nem utilizar senhas simples ou em branco.
Relacionamento de confiana
O relacionamento de confiana entre hosts da rede local deve ser muito bem
estudado, pois se todas as mquinas confiarem uma na outra, uma mquina
desprotegida pode comprometer a rede inteira em uma invaso, j que no
necessrio nenhum tipo de autenticao nesses relacionamentos.

FATEC Americana

Honeypots & Honeynets

15

Verificao de senha
A autenticao por senha uma tima ferramenta para o controle de acesso
a contas e sistemas, o seu uso incorreto o mesmo que no utilizar
autenticao nenhuma. As senhas devem ser longas com combinao de
letras e nmeros, no devem possuir palavras do dicionrio, no usar nomes
de pessoas prximas ou dados pessoais, alterar constantemente, nunca
escrev-las em papel ou informar por telefone.
Uso de sniffers em redes desprotegidas
Sniffer uma ferramenta de software que registra o trfego da rede e remete
a quem instalou. Um sniffer pode ser instalado por um hacker para obter
senha das contas.
Computadores remotos desprotegidos
Pessoas que acessam a rede da empresa de forma remota devem possuir
computadores protegidos com um firewall pessoal e antivrus no mnimo,
pois um invasor pode penetrar no computador domstico e ter acesso fcil a
intranet.

1.5. Organizao da Dissertao

O captulo 1 apresenta o conceito de hacker e como ele pode prejudicar
instituies, explorando os pontos fracos em uma rede.
O captulo 2 evidencia o histrico, as definies e os tipos mais comuns de
honeypots e honeynets; como o funcionamento e as tcnicas de controle,
captura e anlise dos dados.
No captulo 3 sero apresentadas algumas organizaes espalhadas pelo
mundo.
FATEC Americana

Honeypots & Honeynets

16

O captulo 4 menciona os principais honeypots encontrados no mercado.

O captulo 5 apresenta outros nveis existentes de honeypots.
O captulo 6 faz uma concluso da pesquisa efetuada nessa dissertao e
prope alguns trabalhos futuros.

FATEC Americana

17

Honeypots & Honeynets

2. Ambientes de Anlise de Intruses

2.1. Histrico
As primeiras experincias sobre anlise de intruses so de 1988, quando o
especialista Clifford Stoll faz um relato completo sobre a histria de invaso
nos sistemas do Lawrence Berkeley Laboratory.
Quatro anos depois, em 1992, foi a vez do especialista Bill Cheswick expor
no artigo "An Evening with Berferd In Which a Cracker is Lured, Endured,
and Studied" os resultados do acompanhamento de invases em um dos
sistemas da AT&T, projetado especialmente para este fim.
O termo honeypot surgiu em 1998 aps o desenvolvimento da ferramenta
Detection

Toolkit

por

Fred

Cohen,

utilizada

para

emular

diversas

vulnerabilidades e coletar informaes sobre os ataques sofridos.

Em 1999, o conceito de honeynets ganha repercusso mundial atravs do
lanamento do Honeynet Project, demonstrando a importncia do estudo do
comportamento dos invasores de uma rede para o desenvolvimento de
novas ferramentas e sistemas de defesa [6].

2.2. Honeypots
Honeypots [1,9] so recursos de segurana criados para serem sondados,
atacados ou comprometidos por um atacante; podem ser utilizados para
FATEC Americana

18

Honeypots & Honeynets

distrair atividade maliciosa de mquinas valiosas da rede ou como

mecanismo de alerta (honeypots de produo); ou podem ser utilizados para
monitorao de um ataque (honeypots de pesquisa).
Tradicionalmente honeypot um nico sistema conectado a uma rede de
produo.

Figura 1 Honeypot [10]

2.2.1. Vantagens e Desvantagens

Vantagens:
-

como o honeypot isolado, o fluxo de informaes para anlise

pequeno se comparado a uma rede de produo, tornando esse
processo menos exaustivo e mais barato;

acaba com os falsos positivos gerados pelos sistemas de deteco de

intrusos; esses sistemas, pela grande quantidade de fluxo de
informaes, geram muitos alertas falsos, fazendo com que os
administradores passem a ignor-los; no honeypot todo trfego no
autorizado, no ocorrendo esse tipo de erro;

FATEC Americana

Honeypots & Honeynets

19

o IDS (Sistema de Deteco de Intrusos) e o firewall no so

sobrecarregados com grande trfego, porque a gerao de logs
pequena e precisa;

exigncia de recursos mnimos;

captura trfego criptografado, diferente da maior parte de tecnologias

de segurana;

descoberta de novas ferramentas e tticas dos hackers, no

apresentando o problema de falsos negativos das tecnologias IDS,
que no detectam atividades desconhecidas.

Desvantagens:
-

viso limitada ao trfego de dentro do honeypot;

risco de ser invadido e utilizado para prejudicar outros sistemas;

ausncia de trfego implica em gastos sem retorno, j que nada foi

monitorado.

2.2.2. Nveis de Interao

A interao define o nvel de atividade que o honeypot permite ao atacante,
podendo ser de duas categorias:
Honeypots de baixa interao
Apenas emulam servios e sistemas operacionais, no permitindo que o
atacante interaja com o sistema. de fcil instalao; riscos mnimos porque
os servios emulados controlam o que permitido; quantias de capturas de
informaes limitadas; fcil descoberta por hackers qualificados. Exemplos:
Specter, Honeyd e KFSensor.
Honeypots de alta interao
So compostos por sistemas operacionais e servios reais e permitem que o
atacante interaja com o sistema. Essa interao permite capturar mais
FATEC Americana

20

Honeypots & Honeynets

informaes, inclusive novas ferramentas e comunicaes; a instalao

mais complexa; risco maior, pois os atacantes podem usar o sistema
operacional real para atacar outros sistemas. Exemplo: Mantrap
Os honeypots de produo normalmente tm um nvel baixo de interao, e
de pesquisas tm um alto nvel.

2.2.3. Localizao de um Honeypot

O honeypot pode ser instalado na intranet ou na internet, de acordo com as
perspectivas do administrador da rede, podendo ser localizado:
Em frente ao firewall
Com a disposio do honeypot em frente ao firewall, ou seja, fora da rede,
no existe risco para rede interna e tambm no gerado logs do firewall e
do IDS. Em caso de domnio do sistema pelos atacantes, no possvel
controlar o trfego, podendo colocar em risco outras redes.
Atrs do firewall (intranet)
Normalmente implementado para descoberta de atacantes internos ou
detectar

configurao

vulnervel

de

firewall.

Se

honeypot

for

comprometido por um atacante externo, este ter acesso a toda rede, sem
bloqueios do firewall.
DMZ (Demilitarized Zone)
a rede adicionada entre uma rede interna e uma rede externa a fim de
prover uma camada adicional de segurana, fazendo utilizao de firewall
para controlar todo trfego de entrada / sada e isolando o honeypot da rede
de produo. Pode ser chamada de rede de permetro.

FATEC Americana

Honeypots & Honeynets

21

Figura 2 Localizaes permitidas aos honeypots [8]

2.2.4. Legalidade dos Honeypots

Quando o assunto legalidade dos honeypots, necessrio considerar trs
aspectos: armadilha, privacidade e responsabilidade.
Armadilha: coagir ou induzir algum a fazer algo que normalmente no
faria, ou seja, instigar a prtica de um delito, pode acarretar processo
judicial. A discusso intensa sobre esse aspecto, mas na maioria dos
casos no poderia ser caracterizado crime pelas seguintes razes:
-

honeypot no induz ningum, at porque muitas vezes emulao do

sistema de produo da empresa;

os ataques so por iniciativa do invasor;

os honeypots no esto sendo usados para processar ningum, e sim

como meio para novas descobertas.

FATEC Americana

22

Honeypots & Honeynets

Privacidade: o sistema que o atacante est usando no pertence a ele,

portanto toda monitorao realizada no sistema no pode caracterizar
quebra de privacidade.
Responsabilidade: se o honeypot for comprometido e utilizado para
prejudicar outras redes pode acarretar processo civil.

2.3. Honeynets
Honeynet [1] no um sistema nico, mas sim uma rede de sistemas e
aplicativos mltiplos, projetada para ser comprometida e observada.
Honeynet um tipo de honeypot de alta interao, utilizada principalmente
para pesquisa.

Figura 3: Uma Honeynet [1]

criado um ambiente que reflete uma rede de produo real, assim os
riscos e vulnerabilidades descobertos sero os mesmos que existem em
organizaes comuns. Nada emulado e nada feito para tornar os
sistemas inseguros. Tendo sistemas diferentes, como servidor DNS sobre
plataforma Linux, um webserver IIS sobre Windows, e um servidor de Banco
FATEC Americana

Honeypots & Honeynets

23

de dados sobre Unix Solaris, possvel aprender sobre ferramentas e tticas

diferentes, podendo tambm melhor prever as tendncias especficas dos
invasores. Essa rede altamente contida para que todo trfego de entrada e
sada seja analisado [3].

2.3.1. Funcionamento de uma Honeynet

Aps a definio e instalao da honeynet, pode-se adicionar contas de
usurios, enviar e-mails entre eles, forjar documentos em alguns diretrios,
estabelecer conexes como TELNET ou FTP, executar alguns comandos
que sero armazenados no histrico; tornando a rede aparentemente ativa
certamente atrair mais ateno dos atacantes.
Aps, o controle e a captura dos dados so elementos crticos no
funcionamento de uma honeynet.

2.3.1.1. Controle de Dados

Depois do comprometimento de uma honeynet, o fluxo de trfego deve ser
controlado, pois necessrio garantir que esta no ser utilizada para
prover meios de ataques para outros sistemas. O controle de acesso
obtido com a utilizao de um dispositivo de conteno de fluxo de dados,
como um firewall invisvel [51,52], que separa a honeynet da Internet e das
redes de produo.
Como o firewall controla o fluxo de trfego dessas trs redes distintas,
necessrio definir que qualquer conexo da Internet para a honeynet
autorizada, que toda conexo de um honeypot para Internet controlada
para no permitir ataques atravs dele e que a honeynet e a rede
administrativa no possuem nenhum tipo de comunicao direta. Essas
FATEC Americana

Honeypots & Honeynets

24

regras podem ser mudadas, podendo utilizar o mesmo sistema de filtragem

utilizada nos sistemas de produo da empresa, ou qualquer outra regra
resultante de sua aprendizagem.

Figura 4: Honeynet e seu projeto de controle de dados [1]

A quantidade de atividade que voc permite depende do risco aceitvel.
Quanto mais atividade voc permitir, maior o risco e maior tambm o
potencial de aprender. [1]
No podemos ilimitar as conexes por aspectos de responsabilidade em
casos de ataques a outros sistemas; no podemos limitar totalmente porque
os invasores vo desconfiar e quase nada ser aprendido, pois logo
descartaro a rede projetada. A organizao Honeynet Project (seo 3.1.),

FATEC Americana

Honeypots & Honeynets

25

rgo mais conhecido nesse tipo de pesquisa, permite de cinco a dez

conexes ao dia.
O controle de acesso da honeynet para a Internet deve ser atravs de meio
automatizado, pois o ataque pode ocorrer a qualquer hora e dia da semana,
e nesses casos, a interveno manual pode ser um grande risco: os alertas
podem no ser enviados por alguma falha de DNS, ou mesmo no lidos
durante a noite. Essa regra deve ser controlada atravs de um script
especfico que bloqueia as conexes quando o limite definido atingido,
podendo mesmo assim enviar avisos para o administrador da rede.
A honeynet deve conter tambm um sistema antispoofing adequado,
permitindo a sada apenas de pacotes vlidos, diminuindo o risco de uso da
rede para ataques de recusa de servio (DoS).
Um roteador fixado entre o firewall e a honeynet pode ser utilizado para
mascarar o firewall; controlar antispoofing, atuando como uma segunda
camada de controle de acesso; atuar como backup caso ocorra falha no
firewall; e bloquear grande parte do trfego invlido, melhorando o
desempenho.

2.3.1.2. Captura de Dados

Todas as atividades dos atacantes na honeynet devem ser registradas e
capturadas para posterior anlise.
Uma nica camada de captao muito arriscada, pois falhas podem
ocorrer, e a juno das informaes provenientes das vrias camadas pode
melhor alinhar a aprendizagem.

FATEC Americana

Honeypots & Honeynets

26

Os dados capturados no devem ser armazenados localmente, devem ser

enviados para um sistema que os atacantes no tm acesso. Se o atacante
detectar dados de seu acesso no honeypot, a rede pode ser comprometida e
eles podero ser modificados ou apagados.
Camada de Controle de Acesso
Todas as atividades para dentro ou para fora da honeynet devem passar por
dispositivos de controle de acesso, como o firewall ou roteador, que
registram as ocorrncias (logs) que, nesse caso, so sempre suspeitas.
O firewall, alm do j citado envio de e-mail alerta para os administradores,
pode armazenar informaes sobre as varreduras em um banco de dados, e
posteriormente confrontados com os logs do IDS. Mas o firewall s registra o
trfego que passa por ele, sendo necessrio outros meios de monitorao.
Camada de Rede
Outra camada relacionada captura e anlise dos pacotes que trafegam
na rede, um IDS pode identificar e capturar toda carga til (payload) dos
pacotes na rede, alertar o administrador sobre assinaturas suspeitas,
capturar todos os pressionamentos de teclas dos atacantes. importante
ressaltar que essas informaes devem ser armazenadas de forma a facilitar
a anlise e no o contrrio.
Camada de Sistema
necessrio capturar tambm a atividade dos sistemas, porque o invasor
pode estar fazendo uso de criptografia, impossibilitando a monitorao dos
pressionamentos de teclas atravs da rede; devem ser armazenados
remotamente, pois so os primeiros a serem apagados aps um ataque.
Todos os modos de acessos so enviados a um servidor de logs, que
FATEC Americana

Honeypots & Honeynets

27

mesmo que seja comprometido no afetar no processo de aprendizagem,

j que o IDS capturou os logs que trafegaram at o servidor.
Camada Off-line
Os sistemas normalmente so colocados em modo off-line ou as imagens
dos sistemas so copiadas aps o comprometimento, para anlise das
modificaes.
Tripwire [29] um utilitrio muito usado em honeynets; uma ferramenta
que verifica alteraes no autorizadas na assinatura de arquivos e
diretrios de todo o sistema.

2.3.1.3. Anlise
A anlise a parte mais difcil e demorada de uma honeynet, pois
necessrio a transformao das informaes capturadas em dados teis.
Logs de Firewall
O firewall, como j mencionado, pode ser configurado para enviar e-mails de
alertas sobre tentativas de invaso, minimizando o trabalho do processo de
coleta de dados para anlise, j que os logs sero arquivados para anlise
detalhada.
Em um sistema IDS de uma empresa comum, o nmero de acessos
gigantesco, mas na honeynet, como todo trfego suspeito e direcionado a
ataques, o nmero de acessos no muito grande, por isso, no
sobrecarregar o nmero de alertas enviados.

FATEC Americana

28

Honeypots & Honeynets

Um alerta pode evidenciar o que est ocorrendo na rede, podendo direcionar

a anlise mais detalhada no trfego que o sniffer do IDS capturou.
interessante

manter

arquivados

os

endereos

IP

as

atividades

manifestadas em um ataque, a fim de definir as tendncias e direcionar a

segurana na rede administrativa.
Anlise do IDS
Os alertas enviados pelo IDS tambm so armazenados em um banco de
dados; os pacotes podem ser armazenados em um arquivo de log binrio; e
acumula os logs de ASCII detectados na carga til dos pacotes, como os
pressionamentos de teclas, por exemplo.
Parece redundante enviar novamente alerta para os administradores da
rede, mas o firewall, no alerta, pode informar somente a tentativa de
conexo, j o do IDS, relata o que o invasor est executando, atravs de um
banco de dados que contm informaes de como um ataque e de como
ele detectado, dando informaes que permitem a definio de anlise
mais detalhada nos arquivos de log binrio.
Como j afirmado, imprescindvel a captura de dados em camadas, pois o
firewall pode dar um alerta de conexo para fora da honeynet e no ser
identificado nenhum alerta proveniente do IDS, pois pode no estar
armazenado informaes sobre esse tipo de comportamento em seu banco
de dados de assinatura.
Se o atacante no estiver fazendo uso de criptografia, a anlise do arquivo
de log ASCII pode ser bastante til, j que mostra os pressionamentos de
tecla que originaram uma determinada situao.
Muitas vezes, aps o comprometimento da rede, os invasores iniciam
comunicaes entre sua comunidade, atravs do IRC (Relay Chat da
FATEC Americana

Honeypots & Honeynets

29

Internet), por exemplo, que tambm so capturadas no log binrio do IDS.

Muitas informaes valiosas podem ser conseguidas nessas conversas.
Logs de Sistema
Os logs do sistema identificam as assinaturas dos ataques, registram o
caminho do invasor pelos sistemas e tambm as reinicializaes realizadas.
Muitas vezes, os logs do sistema so apagados pelo atacante, por isso
necessrio fazer uma comparao do que foi armazenado remotamente no
servidor e no arquivo de logs do honeypot comprometido, identificando
realmente o que o invasor modificou.

2.3.2. Tcnicas Adicionais de anlise

2.3.2.1. Obteno Passiva de Impresses Digitais

Obteno de Impresses digitais [33] uma tcnica utilizada para identificar
diferenas entre sistemas operacionais que, tradicionalmente, feita atravs
de ferramentas ativas, como Queso e Nmap [32].
Toda pilha IP e todos os aplicativos do sistema operacional possuem
particularidades, que so exploradas pela ferramenta. Cada sistema
operacional responde de forma diferente para diversos tipos de pacotes,
fazendo utilizao de um banco de dados possvel fazer uma comparao
com os resultados obtidos, descobrindo a identificao do sistema utilizado,
dos servios e muitas vezes at o aplicativo utilizado pelo atacante.

FATEC Americana

Honeypots & Honeynets

30

Em honeynets, essa ferramenta pode ser utilizada de modo passivo, atravs

dos rastros do sniffer gerados pelo sistema remoto. A honeynet captura
todos os pacotes que trafegam, tornando possvel essa anlise sem que o
atacante perceba.
A obteno passiva de impresses digitais no perfeita, pois alguns
aplicativos no produzem a mesma assinatura do sistema operacional, e
essas informaes podem ser alteradas facilmente. Em compensao,
permiti agir em todas as camadas do TCP/IP, podendo ser detectado em
tempo de operao.
Caractersticas da Pilha de Protocolos TCP/IP
Exemplos de caractersticas que podem ser observadas para determinar o
sistema operacional [1]:
TCP/IP (Protocolo de Controle de Transmisso / Protocolo da Internet)
-

TTL (time-to-live) tempo de vida de um pacote, ou seja, nmero de

saltos de roteamento permitidos at seu destino.

Tamanho da Janela medida de controle de fluxo de dados interno,

que varia de um S.O. para outro.

DF bit Dont Fragment (no fragmentar) do IP

ICMP (Protocolo de Controle de Mensagens da Internet)

O ICMP relata informaes de controle e de erros ocorridos na
comunicao, enviando mensagens de controle quando necessrio.
O ping, muito usado pelos invasores, leva identificao clara do S.O.; a
mensagem gerada pelo ICMP via ping em S.O. da Microsoft de
aproximadamente 60 bytes, para os semelhantes a UNIX de 84 bytes de
comprimento, por exemplo.

FATEC Americana

Honeypots & Honeynets

31

As caractersticas relacionadas a ICMP podem trazer informaes como:

-

tamanho do retorno da solicitao;

contedo da carga til de dados do retorno;

nmero de identificao usada;

nmeros de seqncia.

2.3.2.2. Anlise de Argumentao

O processo de argumentao pode recuperar processos, arquivos ou
ferramentas utilizadas pelos invasores, recriando seus passos. uma
tcnica muito complexa.
As unidades de disco devem ser totalmente limpas, eliminando todos os
registros de instalaes anteriores. Os dados de cada honeypot so
copiados antes da instalao, para permitir comparao com o sistema
comprometido. Antes da anlise tambm feita outra cpia, para garantir
que um erro no modifique os dados originais. Essas cpias devem ser
precisas, byte a byte.
Para sistemas UNIX, a ferramenta The Coroners Toolkit disponibiliza muitos
recursos teis, como coleta de dados automatizada, recuperao de
arquivos excludos e reconstruo de eventos baseados nos horrios de
MAC (Modify / Access / Change).

2.3.3. Tipos de Honeynets

2.3.3.1. Honeynet Clssica
composta por sistemas reais (fsicos), com instalaes especficas;
podendo utilizar sistemas operacionais variados e independentes.
FATEC Americana

Honeypots & Honeynets

32

Figura 5 Honeynet Clssica [10]

Vantagens:
-

dispositivos reais;

mais segurana pela descentralizao dos honeypots.

Desvantagens:
-

custo elevado;

dificuldades na instalao e administrao;

complexidade para manuteno;

espao alocado muito grande.

2.3.3.2. Honeynet Virtual

uma mquina que executa sistemas operacionais mltiplos ao mesmo
tempo, executados atravs do uso de emuladores, criando uma rede virtual.

FATEC Americana

Honeypots & Honeynets

33

Figura 6 Honeynet Virtual [10]

Vantagens:
-

custo reduzido;

gerenciamento facilitado;

facilidade na instalao e administrao;

menor gasto de energia eltrica, devido menor quantidade de

mquinas utilizadas.

Desvantagens:
-

limitao nos tipos de sistemas operacionais oferecidos pelos

softwares de virtualizao. A maioria dos softwares baseada na
arquitetura dos chips Intel X86;

possibilidade de comprometimento do software de virtualizao,

levando o invasor a controlar todos os sistemas e at mesmo
determinar os sistemas operacionais que sero executados pelo
ambiente virtual;

instabilidade pelo uso exaustivo de memria.

FATEC Americana

Honeypots & Honeynets

34

2.3.4. Importncia de uma Honeynet

A segurana de informaes sempre foi de origem defensiva; as falhas e
vulnerabilidades so detectadas para ento depois reagir a essas
imperfeies.
O propsito de uma honeynet colecionar informaes para revelar as
ameaas existentes, proporcionando a descoberta de novas ferramentas,
determinando os padres de ataque e motivos do invasor estudado. Assim,
as organizaes podem parar um ataque ou corrigir falhas antes que algo
errado acontea.
Honeynets tambm podem conter os mesmos sistemas e aplicativos que
uma empresa esteja utilizando em seu ambiente de produo, que esteja
querendo testar ou distribuir, identificando seus reais riscos.
Em uma honeynet, todo o trfego suspeito, qualquer conexo efetuada
deve ser monitorada, caracterizando intruso, assim a deteco de riscos
facilitada, pois no h uma sobrecarga de dados ocasionada pelo trfego
normal da rede.
Essas redes projetadas melhoram a capacidade de deteco, reao,
recuperao e anlise dos sistemas que foram comprometidos, pois a cada
ataque h um aperfeioamento das tcnicas utilizadas. Ocorre uma
aprendizagem sobre os invasores e sobre os prprios recursos de
segurana disponveis como logs, IDS, anlise de trfego de rede,
fortalecimento de sistemas, entre outros [3].

FATEC Americana

35

Honeypots & Honeynets

3. Projetos

3.1. Honeynet Project

O Honeynet Project uma organizao de pesquisa no lucrativa de
profissionais da rea de segurana de informao, dedicado a aprender as
ferramentas, tticas e motivos dos atacantes, compartilhando todas as lies
aprendidas.
Esse projeto teve incio no ano de 1999, com listas de e-mail de um grupo
informal, evoluindo em junho de 2000, para o oficial Honeynet Project.
O projeto composto de trinta membros de diversos pases, empenhados
em desenvolver a tecnologia de honeynet atravs de seus prprios recursos.
Em 2002, surgiu a Honeynet Research Aliance que adicionou organizaes
de vrios pases ao projeto, inclusive o Brasil; essa incluso aumentou
drasticamente a possibilidade de pesquisa e de

resultados em mbito

global.
Organizaes Ativas :
-

Florida Honeynet Project

Paladion Networks Honeynet Project - India

Internet Systematics Lab Honeynet Project - Greece

AT&T Mexico Honeynet

NetForensics Honeynet

Azusa Pacific University Honeynet

Brazilian Honeynet Project

FATEC Americana

36

Honeypots & Honeynets

Irish Honeynet Project

Honeynet Project at the University of Texas at Austin

Norwegian Honeynet Project

UK Honeynet Project

West Point Honeynet Project

Pakistan Honeynet Project

Essas

organizaes

pretendem

conscientizar

das

ameaas

das

vulnerabilidades existentes na Internet; prover informaes para assegurar a

segurana dos sistemas; e fornecer essa mesma tecnologia desenvolvida
para entidades interessadas.

3.1.1. Fases do Projeto

O Honeynet Project dividido em quatro fases:
Fase I (1999 - 2001)
A finalidade do projeto na Fase I foi identificar e divulgar as ameaas mais
comuns s instalaes. Implementam controle e captura de dados simples,
mas efetivos.
A rede foi dividida em trs partes: Honeynet, Internet e Rede Administrativa;
todos os pacotes trafegam atravs do firewall e roteador. A tecnologia
empregada na honeynet fase I foi citada na definio do funcionamento de
uma honeynet.

FATEC Americana

Honeypots & Honeynets

37

Figura 7 Honeynet Fase I [3]

Fase II (2002 - 2003)

Essa fase visa a melhoria e simplificao da tecnologia empregada em
honeynets, apresentando mtodos mais avanados para controlar as
atividades dos invasores e tornando mais difcil a descoberta do
monitoramento, alm da reduo no risco de ataques a outras redes. Foi
dado mais flexibilidade aos atacantes, proporcionado maior aprendizagem.
O processo de controle, captura e coleo dos dados so feitos em um nico
dispositivo, tornando a honeynet de mais fcil administrao. O gateway,
dispositivo que separa as redes, denominado Honeywall; possui uma
camada com duas bridge, permitindo integrao e verificao de ameaas
tambm nas redes internas.

FATEC Americana

38

Honeypots & Honeynets

C
A

Interface A camada
segmentando a rede
administrativa.
Interface B camada
segmentando a rede de
honeypots.

Interface C camada
para
administrao
remota do gateway.

Figura 8 Honeynet Fase II [3]

Como as interfaces interna e externa (A e B) so atravs da bridge, no

possuem endereo IP atribudo; j a interface C, contm pilha de IP atribuda
a ela (10.1.1.1.).
As conexes no so mais bloqueadas quando alcanam o nmero
preestabelecido, feito um monitoramento inteligente, identificando a
atividade e analisando o que deve ser realmente impedido.
Essa arquitetura permite modificar bits do cdigo enviado pelo atacante,
desativando sua funcionalidade e retornando alguns pacotes. A emisso de
respostas forjadas faz com que o atacante no desconfie do motivo do

FATEC Americana

39

Honeypots & Honeynets

insucesso de seu ataque a uma rede externa, continuando a fornecer dados

para a pesquisa.
A captura de dados tambm sofreu alteraes para reter dados
criptografados, capturando dados do kernel.
Fase III Comeando em 2003
O objetivo dessa fase o desenvolvimento de um CD-ROM de boot,
contendo a tecnologia adotada na Fase II. As organizaes devem inicializar
o CD-ROM e colocar seus sistemas atrs do gateway; os registros podero
ser

enviados

para

um

sistema

central

depois

disponibilizados

publicamente. Isso padronizar as honeynets e permitir o desenvolvimento

de sistemas distribudos.
Fase IV Incio estimado para 2004
A expectativa desenvolver um sistema de coleta de dados centralizado
para captar os resultados das honeynets distribudas.

Figura 9 Honeynet Fase IV [5]

FATEC Americana

Honeypots & Honeynets

40

Pretendem criar interfaces para o usurio, permitindo anlise dos ataques

em tempo real, com anlise do trfego e extrao da carga til dos pacotes;
e anlise dos dados de vrias honeynets, armazenados em um banco de
dados nico, permitindo verificao das tendncias.

3.2. Honeynet.BR
A Honeynet.BR, organizao mantida por especialistas do INPE e pelo
NBSO, teve sua fase de projeto iniciada em dezembro de 2001, entrando em
operao em maro de 2002.
O projeto comeou como um laboratrio do curso de Ps-graduao em
Segurana de Sistemas de Informao do INPE, migrando para um projeto
maior, envolvendo alunos de mestrado e doutorado no desenvolvimento de
pesquisas.
Em junho de 2002, trs meses aps seu incio, o projeto Honeynet.BR foi
adicionado a Honeynet Research Alliance, pelo engajamento em pesquisas
relacionadas a honeynets.
O projeto brasileiro comeou com equipamentos doados pelo INPE, de
membros do projeto e do Ministrio da Cincia e Tecnologia (MCT).

3.2.1. Diferenciais do Honeynet.BR

O sistema operacional utilizado pelo projeto brasileiro o OpenBSD, pela
segurana, por possuir filtro de pacotes de qualidade e suporte para a
implementao de uma bridge transparente. O filtro de pacotes utilizado
possui implementao de regras de trfego de entrada e sada, descartando
o trfego malicioso de sada; clareza na especificao de regras complexas;
FATEC Americana

Honeypots & Honeynets

41

normalizao de trfego; e limitao de banda para inibir ataques externos

fora de controle.
Alguns tipos de ataques utilizam sobreposio, ordem invlida de
fragmentos ou conjuntos invlidos de flags de TCP para enganar o IDS e o
firewall. O filtro de trfego normaliza o fluxo, remontando os fragmentos e
descartando cdigo malicioso.
Os principais mecanismos de conteno e gerao de alertas foram
desenvolvidos por membros do projeto, como sessionlimit, mecanismos de
alerta e sistema de monitorao de atividades.

Figura 10 Topologia da Honeynet.BR [6]

FATEC Americana

Honeypots & Honeynets

42

Segundo STEDING-JESSEN, do NBSO, o sessionlimit foi desenvolvido para

interagir com o filtro de pacotes, inserindo e retirando regras de filtragem
conforme necessrio. Essa ferramenta demonstrou-se muito til em barrar
seletivamente ataques e tentativas de DoS contra outras redes, sem
interferir, contudo, em outras atividades dos invasores, como download de
ferramentas e troca de informaes. [13]
Utilizam tambm uma ferramenta chamada hogwash, que descarta pacotes
com assinaturas de ataques j conhecidos.

3.2.2. Resultados
O projeto detectou que grande parte do nmero de ataques foi executado
atravs de worms automatizados, normalmente destinados a servidores
Web; e grande procura por servidores de e-mail com configuraes
vulnerveis para serem utilizados para envio de spam.
Foi reafirmado de que cada vez mais o uso de cdigo criptografado
utilizado em ataques, dificultando a coleta de informaes e a atualizao de
ferramentas de segurana.

3.3. Wireless Honeynet Project

Uma rede sem fio (wireless) um conjunto de sistemas que estabelecem
comunicao com a utilizao de portadoras de rdio ou infravermelho; os
dados so modulados e transmitidos atravs de ondas eletromagnticas.
As redes sem fio esto se difundindo rapidamente por todo o mundo, pela
extrema facilidade de instalao e uso. O ponto de acesso recebe o sinal e

FATEC Americana

Honeypots & Honeynets

43

retransmite aos demais aparelhos, assim as mquinas ganham mobilidade

podendo se conectar a rede de qualquer ponto no alcance da antena.

Figura 11 Exemplo de uma rede wireless [39]

Existem questes de segurana importantes relacionadas com as redes

wireless; um laptop, uma placa wireless e uma antena so suficientes para a
deteco de redes sem fios com brechas, podendo ser utilizada para meio
de navegao ou mesmo para atividade maliciosa.
Uma honeynet pode ser projetada para capturar e controlar toda atividade
wireless existente. Essas informaes podem ser analisadas para a
deteco das tticas, tcnicas e motivos dos atacantes de redes sem fio,
possibilitando desenvolvimento de procedimentos mais eficientes de
segurana.
Os ns so conectados atravs de pontos de acessos comercias e
residenciais de redes sem fio, interligados a fim de criar uma rea de
controle grande para o gerenciamento remoto.

FATEC Americana

Honeypots & Honeynets

44

O enfoque o desenvolvimento de resposta a incidentes, deteco de

intruso, e metodologias de anlise para assegurar as redes sem fio,
elaborando tambm estatsticas dos acessos acidentais e intencionais.

3.3.1. Fases do Projeto

O Projeto da honeynet sem fio segue os padres do projeto honeynet
convencional:
Fase I
Honeynet usa computadores mltiplos para imitar uma rede para o atacante.

Figura 12 Wireless Honeynet Fase I [38]

FATEC Americana

Honeypots & Honeynets

45

Fase II
Honeynet usa os mesmos componentes de uma honeynet padro, mas
sendo capaz de executar sistemas operacionais virtuais.

Figura 13 Wireless Honeynet Fase II [38]

FATEC Americana

Honeypots & Honeynets

46

4. Alguns Honeypots disponveis

4.1. Honeypots Comerciais
4.1.1. Mantrap [36]
Mantrap um sistema comercial desenvolvido para atuar na plataforma
Solaris, sendo utilizado tanto para segurana externa quanto interna.
Ele cria quatro ambientes, chamados de jaulas, podendo assim suportar at
quatro sistemas operacionais. Com apenas uma mquina so criados quatro
sistemas visveis na rede, cada um com sua prpria interface, podendo
emular qualquer aplicativo compatvel com o sistema operacional da jaula. O
Mantrap somente limita aqueles aplicativos que interagem como o kernel.
Os ambientes so isolados, sendo personalizados distintamente. O mdulo
de gerao de contedo gera, por exemplo, mensagens de e-mail utilizando
nomes conhecidos da instituio, diferentes para cada ambiente criado.
Cada instalao deve possuir uma interface de rede administrativa, a fim de
no permitir que o fluxo de dados seja visvel aos atacantes que esto
concentrados dentro das jaulas.
Todas as atividades relevantes ocorridas dentro de cada jaula so
armazenadas localmente ou no servidor remoto de logs, alm de possuir
uma ferramenta grfica de anlise de eventos.
Classificao: alta interao / pesquisa
FATEC Americana

Honeypots & Honeynets

47

4.1.2. Specter [35]

Specter projetado para ambiente Windows, para organizaes comerciais
de pequeno e grande porte. Pode monitorar at quatorze portas de TCP,
sendo sete de armadilhas e sete de servios. As armadilhas bloqueiam e
registram as tentativas de ataques; as portas de servios interagem com o
invasor, emulando o aplicativo de acordo com o servio utilizado.
Armadilhas: DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2 e genrica
Servios: FTP, TELNET, SMTP, HTTP, NETBUS e POP3

Figura 14 Tela do Specter [35]

Pode emular at quatorze sistemas operacionais diferentes (Windows 98,
Windows NT, Windows 2000, Windows XP, Linux, Solaris, Tru64 (Digital
Unix), NeXTStep, Irix, Unisys Unix, AIX, Maos, MacOS X, FreeBSD), mas
no consegue emular na pilha IP, assim um atacante fazendo uso de uma
FATEC Americana

48

Honeypots & Honeynets

ferramenta de obteno de impresses digitais ativa pode detectar o

honeypot.
Possui grande variedade de configurao, caractersticas de notificao,
banco de dados dos incidentes, alm da facilidade no uso.
Classificao: baixa interao / produo

4.1.3. NetBait [44]

NetBait uma soluo de segurana de rede que redireciona ataques contra
espaos de IP no utilizados para fazendas de honeypots, anulando o
intruso pelo uso da iluso.

Rede Real

Iluso causada ao atacante

Figura 15 Iluso causada pelo NetBait [25]

FATEC Americana

49

Honeypots & Honeynets

NetBait cria esses ambientes projetando um desvio da rede real, assim os

ns da rede ficam cercados por mltiplos ns falsos; cada n falso pode ser
configurado com qualquer combinao de sistemas operacionais, servios e
aplicativos. Possui gerenciamento remoto centralizado e configurao de
comportamento dinmico.
Classificao: baixa interao / produo

4.1.4. Smoke Detector [47]

Smoke Detector emula at dezenove sistemas operacionais por mquina
entre Linux, Solaris8, HP-UX, AIX4, FreeBSD4, AS400, WindowsNT4 e
Windows2000, confundindo e estendendo o tempo de resposta ao invasor.

Antes

Depois

Figura 16 Funcionamento do Smoke Detector [25]

FATEC Americana

Honeypots & Honeynets

50

Ele usado para disfarar servidores importantes, enviando alerta de

tentativas de invaso ao administrador da rede, para permitir o bloqueio dos
recursos reais em tempo hbil.
Classificao: baixa interao / produo

4.1.5. KFSensor [46]

KFSensor um honeypot utilizado em plataforma Windows, projetado
principalmente para proteo. Ele preparado para bloquear ataques de
recusa de servio e estouro de buffer; registra os logs do atacante, podendo
ser filtrado de vrias maneiras para facilitar a anlise em determinada porta
ou protocolo. um honeypot comercial, mas disponibiliza cpias para
avaliao.
Classificao: baixa interao / produo

Figura 17 Monitoramento do KFSensor [46]

FATEC Americana

Honeypots & Honeynets

51

4.2. Honeypots Free / OpenSource

4.2.1. BackOfficer Friendly [34]

um programa para Windows que emula alguns servios bsicos de rede,
como TELNET, FTP, SMTP, POP3. Quando o BackOfficer Friendly recebe
conexo para um dos servios citados, gera algumas respostas falsificadas,
distraindo o invasor e proporcionado tempo para o bloqueio do ataque. Ele
somente consegue monitorar sete portas por vez.
indicado para iniciantes que desejam verificar o funcionamento de um
honeypot.
Classificao: baixa interao / produo

Figura 18 Tela do BackOfficer Friendly [8]

4.2.2. Honeyd [53]

Honeyd um dos principais aplicativos utilizados na construo de
honeypots, sendo projetado para sistemas Unix. Ele emula centenas de
sistemas operacionais, podendo simular aplicaes no espao de endereos
IP no utilizados, utilizando vrios simultaneamente.
FATEC Americana

Honeypots & Honeynets

52

Pode assumir a identidade de um IP que no esteja sendo utilizado e

interagir com um atacante, respondendo suas requisies e registrando seu
ataque; pode monitorar todas as portas baseadas em UDP e TCP. Grande
facilidade de configurao.
Honeyd OpenSource, ou seja, permite alterao no cdigo fonte, podendo
surgir novos scripts que emulam novos servios.
Classificao: baixa interao / produo

Figura 19 Rede com endereos IP no utilizados [54]

Figura 20 Honeyd monitorando endereos IP no utilizados [54]

FATEC Americana

Honeypots & Honeynets

53

4.2.3. LaBrea Tarpit [43]

LaBrea Tarpit um honeypot OpenSource desenvolvido para sistemas
Windows ou Unix, projetado para diminuir a velocidade ou parar um ataque.
LaBrea um programa que cria um tarpit (poo de piche), assumindo o
comando de endereos de IP novos em uma rede e criando mquinas
virtuais que respondem a tentativas de conexo. As respostas forjadas
enviadas pelo honeypot so utilizadas para manter uma conexo aberta com
o atacante, diminuindo a velocidade ou at parando o ataque automatizado.
Classificao: baixa interao / produo

4.2.4. Deception ToolKit [45]

Deception Toolkit utilizado para simular que um sistema possui um grande
nmero de vulnerabilidades, atendendo as entradas do atacante e
fornecendo respostas personalizadas falsas. So utilizadas rotinas para
registrar todos os passos do atacante.
um produto para plataformas Linux; exige um compilador de C e um
interpretador de PERL.
Foi um dos primeiros honeypots desenvolvidos de forma completa, sendo
bastante interessante para estudo.
Classificao: baixa interao / produo

FATEC Americana

Honeypots & Honeynets

54

4.2.5. Tiny Honeypot [48]

Tiny Honeypot um software OpenSource, desenvolvido para plataforma
Linux. Simula servios de TELNET e FTP.
O honeypot monitora todas as portas e prov uma srie de respostas falsas
aos pedidos do atacante. A meta no enganar atacantes qualificados, e
sim deixar o processo mais difcil com uso de servios falsos.
Classificao: baixa interao / produo

FATEC Americana

55

Honeypots & Honeynets

5. Outros Nveis de Honeypots

5.1. Honeytoken
Tradicionalmente

os

honeypots

honeynets

so

associados

computadores, recursos fsicos utilizados para monitorar e/ou bloquear

ataques; a real definio de um honeypot, apresentada no incio desse
trabalho, a de ser um recurso de segurana criado para ser sondado,
atacado ou comprometido, no o restringindo a um item fsico. Qualquer
informao que possa ser plantada nos processos de informao, que
colabore com o objetivo inicial de um honeypot, pode ser chamada como tal.
Esse tipo de honeypot no fsico foi convencionado por honeytoken.
Um honeytoken pode ser uma conta de usurio com falsos privilgios, uma
planilha ou uma abertura em um banco de dados.
Qualquer uso de informao disponibilizada atravs de um honeytoken
uma atividade no autorizada. uma tcnica antiga e extremamente
simples, sendo indicada principalmente para deteco de ameaas internas.
Uma conta aparentemente privilegiada, contendo senha fraca, pode ser
disponibilizada na rede; se os sistemas de monitoramento e deteco de
intrusos estiverem preparados, o uso de tal conta pode ser imediatamente
detectado, ajudando a identificar algum tentando usar uma conta / acesso
no permitido. [24]
Honeytokens,

no

entanto,

possuem

muitos

empecilhos,

pois

caracterizao do uso indevido feita atravs de sistemas de deteco de

FATEC Americana

56

Honeypots & Honeynets

contedo, e uso de criptografia ou compactao de dados atrapalham essa

anlise.

5.2. Honeyfarm
Em ambientes corporativos grandes, com milhares de redes distribudas pelo
mundo, o uso de honeypots invivel pelo custo exigido nos recursos e
profissionais. O desafio aumenta ainda mais se for utilizado honeynets.
Os honeypots de baixa interao capturam poucos dados, de grande valor
sem dvida, mas nada comparado as honeynets, que so mais flexveis,
poderosas e tambm mais complexas, consumindo muitas horas de
trabalho, principalmente na anlise de argumentao. O acompanhamento
de milhares de pontos de honeynet de uma rede consumiria tempo
excessivo.
Uma soluo vivel a utilizao do conceito de honeyfarm, que em vez de
espalhar

inmeros

honeypots

pela

rede,

simplificaria

processo

concentrando-os em uma nica posio.

Toda atividade sem autorizao redirecionada, assim os atacantes so
encaminhados para um honeypot contido na honeyfarm, achando que esto
interagindo com um ponto de uma rede local.
A distribuio proposta facilita a manuteno, pois se torna mais
simplificada; os riscos diminuem, j que o controle de dados efetuado em
uma nica posio.
Honeypots, j citados nesse trabalho, como Honeyd e NetBait, so capazes
de implementar esse recurso.

FATEC Americana

Honeypots & Honeynets

57

Figura 21 Conceito de redirecionar atacantes para honeyfarm [22]

5.3. Dinamic honeypot

SPITZNER (2003) lanou idias que tornariam o uso de honeypots muito
mais facilitado, chamados de Honeypots Dinmicos.
Hoje, o uso de honeypots bastante trabalhoso, no importando qual tipo
utilizado, de baixo ou alto nvel, real ou virtual. A configurao exige bastante
conhecimento e disponibilidade, pois tudo manual; necessrio analisar
quais sistemas operacionais sero anexados e se sero os mesmos da rede
corporativa. A definio de quais os servios que sero permitidos de igual
importncia, j que erros podem tornar sua rede suspeita e sem efeito.

FATEC Americana

Honeypots & Honeynets

58

O acompanhamento dos honeypots inevitvel, pois exige atualizaes

constantes; novos sistemas so adicionados, antigos so modificados ou
removidos e os honeypots devem acompanhar tais modificaes para refletir
corretamente a rede de produo.
SPITZNER sugeriu que fosse desenvolvido um honeypot plug-and-play, que
automaticamente identifique uma rede de produo com seus sistemas
operacionais e servios. Por exemplo, quando Linux fosse adicionado rede
de produo, Linux automaticamente seria incorporado ao honeypot; quando
ocorresse a remoo de Novell, este desapareceria do honeypot.
Essa implementao tem muitos pontos crticos:
-

como o honeypot mapearia sua rede corporativa;

ele poderia omitir um sistema e todas as tentativas enviadas ao

sistema no teriam retorno;

as atualizaes no poderiam ser em tempo real, e sim em um

intervalo de tempo pr-determinado.

No mapeamento poder ser utilizada uma ferramenta de obteno de

impresses digitais passivo, que determinaria o nmero de sistemas, os
tipos de sistemas operacionais, os servios oferecidos, como esto se
comunicando e com qual freqncia.
A ferramenta OpenSource p0f [55] tem muitas das capacidades relatadas, o
problema como fazer com que o honeypot utilize as informaes
fornecidas pelo software de forma adequada na criao de honeypots
virtuais. O software Honeyd, j citado no trabalho, cria honeypots virtuais e
tambm OpenSource, assim a combinao deste com p0f seria um passo
grande ao rumo do sonhado honeypot dinmico. A concretizao disso no
est to distante.

FATEC Americana

59

Honeypots & Honeynets

6. Concluso
Honeypots

so

recursos

de

segurana

planejados

para

serem

comprometidos, com o propsito de colecionar informaes sobre quem os

ataca, suas tcnicas, motivos e ferramentas utilizadas, levando ao
desenvolvimento de tecnologias; podem ser utilizados tambm para desviar
a ateno dos destinos reais.
Embora sejam de grande valor, os honeypots no devem substituir nenhuma
tcnica de segurana ativa na rede de uma empresa.
Com o desenvolvimento dessa pesquisa foi possvel compreender que esses
sistemas devem ser monitorados constantemente e que o administrador
possua conhecimentos profundos sobre o honeypot ou honeynet utilizado,
para que o objetivo inicial seja alcanado e que, em caso de desajustes, este
no seja utilizado como meio de ataque para outras redes.
A comunidade de segurana sempre esteve a um passo do inimigo, e com a
disseminao dessa tcnica, a cada dia o distanciamento menor. A
exposio dos resultados obtidos, como feita pelas organizaes aqui
mencionadas, de grande utilidade pblica, pois permite que as empresas
preparem suas redes e diminuam os riscos, baseando-se nas tendncias e
tcnicas divulgadas.
Hoje, o uso correto de honeypots, como j afirmado, requer conhecimentos
aprofundados sobre a rede, mas indcios de que isso ser bastante facilitado
j foram lanados: criao do honeypot dinmico,

no requerendo

excessivas configuraes e acompanhamentos, agraciando os profissionais

de segurana.
FATEC Americana

60

Honeypots & Honeynets

6.1. Propostas para Trabalhos Futuros

-

A semente sobre os honeypots dinmicos foi lanada por Spitzner,

fica aqui a sugesto para tentativa de unio do honeypot Honeyd e a
ferramenta

de

obteno

de

impresses

digitais

p0f,

ambos

OpenSource. Certamente ser de grande valor para toda comunidade

de segurana.
-

O trabalho apresentou a tcnica, os tipos e os honeypots disponveis

no mercado; a documentao de um processo de monitorao, com
todos os dados coletados atravs do uso de um dos honeypots
mencionados complementaria este trabalho de graduao.

A pesquisa sobre invases em redes wireless ainda escassa;

implementao de mais honeynets nesse tipo de transmisso
permitir conhecer as vulnerabilidades para desenvolvimento de
tecnologias de segurana mais consistentes.

FATEC Americana

Honeypots & Honeynets

61

Referncias Bibliogrficas
[1] The Honeynet Project. Conhea seu inimigo O Projeto Honeynet.
Editora Makron Books, So Paulo, 2002.
[2] CRONKHITE & MCCULLOUGH. Hackers, Acesso Negado. Editora
Campus, Rio de Janeiro, 2001.
[3] The Honeynet Project. Acesso em 02/06/2003.
http://www.honeynets.org
[4] Intrusion Detection, Honeypots and Incident Handling Resources. Acesso
em 02/06/2003. http://www.honeypots.net/
[5] Honeypots: Tracking Hackers. Acesso em 22/06/2003.
http://www.tracking-hackers.com
[6] Honeynet.BR. Honeynet.BR: Desenvolvimento e Implantao de um
Sistema para Avaliao de Atividades Hostis na Internet Brasileira. Acesso
em 25/05/2003.
http://www.lac.inpe.br/security/honeynet/papers/hnbr_ssi2002.pdf
[7] IEEE Computer Society. The Honeynet Project: Trapping the Hackers.
Acesso em 22/06/2003. http://computer.org/security/sp2003/j2015abs.htm
[8] Reto Baumann, Christian Plattner. Honeypots. Acesso em 24/06/2003.
http://security.rbaumann.net/download/diplomathesis.pdf
[9] Lance Spitzner. Honeypots, definitions and value of honeypots. Acesso
em 22/06/2003. http://www.tracking-hackers.com/papers/honeypots.html
[10] Reto Baumann, Christian Plattner. White Paper: Honeypots. Acesso
em 22/07/2003. http://security.rbaumann.net/download/whitepaper.pdf
[11] Jarbas Peixoto. Honeynet: Um ambiente para anlise de intruso.
Dissertao, Unesp, So Jos do Rio Preto, 2002.
[12] Alexandre Andrucioli. Honeypots.
Dissertao, UFRJ, Rio de Janeiro, 2003.
[13] Modulo Security. Acesso em 27/07/2003.
http://www.modulo.com.br
FATEC Americana

Honeypots & Honeynets

62

[14] Hisham Kotry. Building a virtual honeynet. Acesso em 22/06/2003.

http://www.linuxsecurity.com/feature_stories/feature_story-100.html
[15] Ricky M. Magalhaes. Understanding Virtual Honeynets. Acesso em
01/08/2003.
http://www.windowsecurity.com/articles/Understanding_Virtual_Honeynets.ht
ml
[16] Lance Spitzner. The Value of Honeypots, Part Two: Honeypot Solutions
and Legal Issues. Acesso em 22/06/2003.
http://www.securityfocus.com/infocus/1498
[17] Michael Clark. Virtual Honeynets. Acesso em 27/07/2003.
http://www.securityfocus.com/infocus/1506
[18] Lance Spitzner. Open Source Honeypots: Learning with Honeyd.
Acesso em 21/09/2003. http://www.securityfocus.com/infocus/1659
[19] Lance Spitzner. Specter: a Commercial Honeypot Solution for
Windows. Acesso em 26/08/2003.
http://www.securityfocus.com/infocus/1683
[20] Lance Spitzner. Honeypots: Are They Illegal?. Acesso em 22/06/2003.
http://www.securityfocus.com/infocus/1703
[21] Lance Spitzner. Honeytokens: The Other Honeypot. Acesso em
25/08/2003. http://www.securityfocus.com/infocus/1713
[22] Lance Spitzner. Honeypot Farms. Acesso em 20/08/2003.
http://www.securityfocus.com/infocus/1720
[23] Lance Spitzner. Dynamic Honeypots. Acesso em 21/09/2003.
http://www.securityfocus.com/infocus/1731
[24] Augusto Barros. Honeytokens O Prximo Nvel dos Honeypots
Acesso em 25/05/2003.
http://www.augustobarros1.hpg.ig.com.br/artigos.html
[25] Lance Spitzner. Honeypots The Future. Acesso em 20/09/2003.
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-spitzner.pdf
[26] Cristiano Gerlach. Tcnicas adotadas pelos crackers para entrar em
redes corporativas e redes privadas. Acesso em 19/06/2003.
http://www.rnp.br/newsgen/9903/crackcorp.shtml
[27] RNP. Entidades mais vulnerveis a um ataque. Acesso em
19/06/2003. http://www.rnp.br/newsgen/9903/vitimas.shtml
FATEC Americana

Honeypots & Honeynets

63

[28] CESET Unicamp. Ataques de Recusa de Servio. Acesso em

27/08/2003. http://www.ceset.unicamp.br/servicos/sdos.htm
[29] Carl Constantinev. Tools of the Trade: Part 2. Acesso em 28/08/2003.
http://linux.oreillynet.com/pub/a/linux/2001/06/29/tools_two.html
[30] Michael Anuzis. Basic Methods of Allowing Access to Your Honeynet.
Acesso em 23/07/2003.
http://www.anuzisnetworking.com/whitepapers/hpaccess/
[31] Bridge. Acesso em 18/08/2003.
http://student.dei.uc.pt/~jsilva/informaticabasica/comunicacoes/redes/
[32] Andr Guerra. Usando o Nmap. Acesso em 31/08/2003.
http://www.invasao.com.br/coluna-andre-05.htm
[33] Fyodor. Remote OS detection via TCP/IP Stack FingerPrinting.
Acesso em 30/08/2003.
http://www.insecure.org/nmap/nmap-fingerprinting-article.html
[34] BackOfficer Friendly. Acesso em 22/09/2003.
http://www.nfr.com/resource/backOfficer.php
[35] Specter. Acesso em 22/09/2003.
http://www.specter.com
[36] Mantrap. Acesso em 20/08/2003.
http://www.orbit2000.com/mantrap.asp
[37] Mantrap. Acesso em 24/09/2003.
http://www.trtec.com.br/pages/mantrap.html
[38] Wireless Honeynet Project. Acesso em 18/09/2003.
http://www.dfwwireless.org/honeynet.htm
[39] Marcelo Martins. Protegendo Redes Wireless 802.11b. Acesso em
26/09/2003.
http://www.xsecurity.ws/documentacao/papers/geral/wireless_mmartins.pdf
[40] Galileu (2003). A nova brecha da Internet. Maro. Editora Globo.
[41] Kecia Gubbels. Hands in the Honeypot. Acesso em 27/07/2003.
http://www.sans.org/rr/paper.php?id=365
[42] Talisker Security Wizardry. Honeypots. Acesso em 28/08/2003.
http://www.networkintrusion.co.uk/honeypots.htm

FATEC Americana

Honeypots & Honeynets

64

[43] LaBrea. Acesso em 23/09/2003.

http://scans.bizsystems.net/paged_report.plx
[44] NetBait. Acesso em 23/09/2003.
http://www.netbaitinc.com/
[45] Deception Toolkit. Acesso em 24/09/2003.
http://www.all.net/dtk/dtk.html
[46] KFSensor. Acesso em 14/09/2003.
http://www.keyfocus.net
[47] Smoke Detector. Acesso em 17/09/2003.
http://palisadesys.com/products/smokedetector
[48] Tiny Honeypot - resource consumption for the good guys. Acesso em
20/09/2003. http://www.alpinista.org/thp/
[49] Verdade Absoluta. Acesso em 20/09/2003.
http://www.absoluta.org/index.htm
[50] Symantec. Honeypots de olho na empresa. Acesso em 23/09/2003.
http://www.symantec.com/region/br/enterprisesecurity/content/
[51] OpenlySecure. Memoirs of an Invisible Firewall. Acesso em
06/09/2003.
http://www.openlysecure.org/openbsd/how-to/invisible_firewall.html
[52] Interagir. Acesso em 08/09/2003.
http://www.geocities.com/interagir1/redes/bridge-firewall.zip
[53] Honeyd. Acesso em 28/08/2003.
http://www.citi.umich.edu/u/provos/honeyd/
[54] The Honeynet Project. Virtual Honeypots. Acesso em 28/07/2003.
http://niels.xtdnet.nl/papers/honeynet/
[55] What is p0f v2?. Acesso em 23/09/2003.
http://lcamtuf.coredump.cx/p0f.shtml

FATEC Americana

Honeypots & Honeynets

Glossrio

dispositivo que interliga redes locais que usam o mesmo

Bridge

protocolo, identificando a origem e o destino dos pacotes

(ponte).

Buffer
Bug
Default
Emular

local de armazenamento temporrio de informaes.

erro em um programa (software) ou mesmo em um
equipamento (hardware), que provoca uma ao inesperada.
configurao padro utilizada automaticamente pelo sistema.
capacidade de um programa ou dispositivo para imitar outro
programa.
dispositivo constitudo pela combinao de software e

Firewall

hardware, utilizado para dividir e controlar o acesso entre

redes de computadores.
firewall configurado para atuar como uma bridge: no possui

Firewall

IP nas suas interfaces e no decrementa o TTL (Time to

Invisvel

Live) dos pacotes IP que o atravessam, tornando as chances

de ataques bem menores.

Flag
Gateway
Host
Kernel
Log

bits do registro de estado (status).

dispositivo que conecta redes que normalmente no se
comunicam, permitindo a transferncia de informaes.
qualquer computador de uma rede.
ncleo do sistema operacional.
Registro das ocorrncias.

OpenSource aplicativo que permite alterao no cdigo fonte.

Recusa
de Servio

bombardeamento

de

mensagens

atravs

do

correio

eletrnico, podendo incapacitar temporariamente uma rede.

FATEC Americana

Honeypots & Honeynets

Coleo de softwares projetados para no deixar pistas de

Rootkit

um invasor e fornecer portas de fundo para futuras invases

no sistema.
dispositivo de uma rede que recebe dados e os envia aos

Roteador

pontos de destino, sempre usando as rotas mais curtas e

livres disponveis.

Sniffer

ferramenta de software que registra o trfego da rede e

remete a quem instalou.
modificao

Spoofing

de

endereo

IP

de

origem

simulando

provenincia de outros sistemas ou redes, dificultando a

identificao dos atacantes; normalmente utilizado para
ataques de recusa de servio.

Tripwire

ferramenta que verifica alteraes no autorizadas na

assinatura de arquivos e diretrios de todo o sistema.

Outros trabalhos em:

www.ProjetodeRedes.com.br

FATEC Americana