Escolar Documentos
Profissional Documentos
Cultura Documentos
83 312 1 PB PDF
83 312 1 PB PDF
Belm - PA
2006
DATA: ____/____/____
CONCEITO: ______
_________________________________________________
Orientador(a)
Prof MSc. Joo Ferreira Santanna Filho
Instituto de Estudos Superiores da Amaznia IESAM
__________________________________________________
Prof MSc. Fabio Cesar Salame
Instituto de Estudos Superiores da Amaznia IESAM
__________________________________________________
Prof Dr. Jos Felipe Almeida
Instituto de Estudos Superiores da Amaznia IESAM
Belm - PA
2006
AGRADECIMENTOS
RESUMO
ABSTRACT
This monograph has as object to do a study about honeypots tool of security, the
honeypot used was the Honeyperl.
The Honeypots are tools that posses many functions, that can be implement to do a
specific object. Honeypots can be very useful in your network, because this tool has as main
function to delude a hacker, to do the hacker think that he is invading e using the systems
service without someone controlling his actions, but all his actions are resgistried, for
example, what kind of attack, the tools used, IP of hacker. After the collect, a valuation is
made on the informations in the log file, to valuation what the vulnerability of network, and
the administrator can to reinforce the method of security based on the informations collected.
In this study, we approach about the advantages and disadvantages, what kind of
honeypot that are famous and a little about the history.
LISTA DE FIGURAS
IDS
IP
DoS
TCP
FTP
NIDS
HIDS
DTK
DMZ
SMTP
HTTP
POP3
SUMRIO
SEGURANA DE REDES UTILIZANDO HONEYPOT....................................................2
1 INTRODUO
Nos ltimos anos, a segurana no mundo das redes vem ganhando uma grande
importncia, devido ao crescimento dos sistemas computacionais e ao grande fluxo de
informaes e sua importncia dentro de uma rede, no importando se de uma grande ou
pequena empresa. Alm disso, o nmero de usurios vem crescendo a cada ano que passa, e
por muitas vezes, esses usurios podem ser mal intencionados, ou seja, preocupados apenas
em roubar essas informaes, e com isso lesando outros usurios, portanto aumentando o
nmero de ataques contra redes de grandes e pequenas empresas e instituies. Devido a esse
quadro, de grande importncia contar com ferramentas que possam ajudar a manter as trocas
de informaes dentro de uma relao de confiana entre usurios de uma rede ou at mesmo
de redes diferentes.
10
Honeypots consiste em uma classe de ferramentas que tem como funo coletar essas
ocorrncias, ou seja, ela intencionalmente vulnervel para que seja atacada. O objetivo
maior do uso dessa ferramenta para fazer a coleta de informaes sobre invases atravs de
simulaes de servios de rede. Com isso, possvel fazer um estudo sobre o comportamento
dos atacantes e os tipos de ataques que ele usa. Depois de fazer uma anlise minuciosa de
tudo que foi coletado, chegada hora de definir estratgias de seguranas com o objetivo de
dificultar novas invases a sua rede. Essa ferramenta pode ser usada em ambientes de estudo e
tambm em ambientes de produo, alm de ser bastante interessante sua utilizao em uma
rede corporativa.
1.2 JUSTIFICATIVA
1.3 OBJETIVOS
11
Espera-se que os resultados obtidos no estudo dessa ferramenta, possam ser utilizados
para solues de problemas em ambientes de necessitam de segurana.
12
13
ferramentas forem usadas em conjuntos, para que uma possa suprir o ponto fraco da outra e
dar mais confiabilidade para a rede.
A segurana apenas ganhou tanto espao no mundo da computao em virtude do
crescimento de ataques contra redes de grandes empresas e instituies, alm de ataques
contra usurios normais que s utilizam computadores para enviar e-mail e fazer transaes
envolvendo dados importantes, e que so lesados por fraudes e falsificao de senhas de
acesso. No decorrer deste captulo vamos conceituar os diversos tipos de ataques conhecidos.
14
Esse tipo de ataque caracterizado pela falta de viglia junto aos recursos, ou seja,
neste ataque o atacante fica apenas monitorando as mensagens que circulam na rede, apenas
15
colhendo informaes. Dois tipos comuns de ataques passivos so: anlise de contedos de
mensagens e analise do trafego da rede (SANTANNA,2006).
Esse tipo de ataque diferentemente do passivo mais fcil de ser rastreado, pois
envolve mudana de dados ou criao de stream no autorizados ou falsificados. Este tipo de
ataque dividido em quatro tipos: mascaramento, replay, modificao de mensagens e Denial
of Service (DoS) (SANTANNA,2006).
2.2.2.1 MASCARAMENTO
Neste tipo de ataque ativo, o atacante simula ser uma entidade autorizada a acessar os
recursos de um sistema. Geralmente, ele assume a identidade da mquina de um cliente
verdadeiro que tentou se conectar ao sistema, ou seja, ele captura as informaes necessrias e
faz a entrada no sistema a partir das informaes capturadas (SANTANNA,2006).
2.2.2.2 REPLAY
Neste tipo de ataque ativo, o atacante captura os dados e faz transmisso subseqente
para tentar ganhar acesso ao sistema (SANTANNA,2006).
16
Neste tipo de ataque ativo, o atacante captura os dados e faz alteraes ou reordenar os
dados para com isso ganhar acesso no autorizado ao sistema (SANTANNA,2006).
Neste tipo de ataque ativo, o atacante realiza uma sobrecarga, atravs de uma
quantidade excessiva de solicitaes de servios, com isso inibindo ou impedindo o
funcionamento normal do sistema. Isso feito devido o atacante invadir as mquinas do
sistema e instalar nelas programas zumbis, esses programas ao serem acionados bombardeiam
o servidor alvo de solicitaes e com causando grande lentido ou at mesmo
indisponibilizando qualquer comunicao com esse computador (SANTANNA,2006).
guardar a sua identidade e senha quando voc vai de uma pgina para outra;
17
personalizar sites pessoais ou de notcias, quando voc escolhe o que quer que
seja mostrado nas pginas;
manter a lista das pginas vistas em um site, para a estatstica ou para a retirar
as pginas que voc no tem interesse dos links.
2.3.3 VULNERABILIDADES
18
2.3.4.1 VRUS
2.3.4.2 WORMS
19
2.3.4.3 BACKDOORS
Uma backdoor se trata de qualquer processo referente a uma futura entrada no sistema
de forma no autorizada, sendo inserido clandestinamente e criando um acesso na maioria das
vezes irrestrito ao invasor, o mesmo pretendendo controlar o sistema conforme sua vontade
(PAXSON; ZHANG, 2000).
.
Existem diversos modelos funcionais. Conforme seu grau de ocultao com relao ao
administrador do sistema eles podem variar, tentando se esconder para evitar ser rastreada e
fechada a porta de conexo para com o atacante. Com isto, existem aquelas que trabalham em
user-space (backdoors mais simples) onde se trata apenas de um processo em execuo, e
kernel-space, sendo um pouco mais complexa e se escondendo como um mdulo do kernel do
sistema operacional afetado.
20
2.3.4.5 SPYWARES
2.3.4.6 ROOTKITS
Um rootkit um trojan que busca se esconder de softwares de segurana e do usurio
utilizando diversas tcnicas avanadas de programao.
21
22
3.2 FIREWALL
Firewall uma ferramenta de segurana com cada vez mais importncia no mundo da
computao. medida que o uso de informaes e sistemas maior, a proteo destes requer
a aplicao de ferramentas e conceitos de segurana eficientes (ALECRIM, 2004).
Firewall literalmente, seria uma parede corta-fogo, como se fosse uma proteo,
colocada entre o seu computador e a Internet, tendo como fogo os ataques e outros perigos da
Internet, onde o Firewall tem como funo bloquear esses perigos (BATTISTI, 2005).
O Firewall tem outras caractersticas e funes, como a de ser utilizado para bloquear
determinados tipos de trfegos a partir do seu computador para a Internet. Mais precisamente,
o Firewall um mecanismo que atua como "defesa" de um computador ou de uma rede,
controlando o acesso ao sistema por meio de regras e a filtragem de pacotes.
23
24
este tipo de Firewall mais voltado para redes de mdio e grande porte, alm de ser
necessrio uma maior experincia na configurao do mesmo (ALECRIM, 2004).
que
sejam
considerados
25
Este tipo de IDS bem mais comum e utilizado. Nele as tentativas de ataque so
capturadas e analisadas por meio de vrios pacotes de rede, este monitoramento envolve as
diversas estaes ligadas na mquina que hospeda os sensores IDS.
26
Este foi o primeiro sistema IDS que surgiu, possuindo um funcionamento bem simples
de ser implementado e configurado. Sua funcionalidade se baseia no monitoramento de um
nico host, podendo coletar dados minuciosamente, gerando assim dados ricos em detalhes.
As grandes vantagens dos HIDS se justificam devido facilidade de se configurar e de
uma menor probabilidade de ser descoberto em um eventual ataque, alm do mais, ele pode
operar em ambientes onde haja trfego criptografado. As desvantagens so poucas, como por
27
4 HONEYPOTS
Nos dias atuais imprescindvel ter uma ferramenta para fazer a anlise de ataques
dentro de uma rede. Utilizando-se ferramentas desse tipo podemos ter noo dos riscos que
corremos ao estamos compartilhando arquivos na rede, pois voc pode saber todo o
procedimento que ocorrer durante uma invaso e descobrir todas as atitudes tomadas pelo
invasor dentro do seu sistema. Os Honeypots uma ferramenta com uma grande utilidade,
podendo ser usada em diversas situaes, dependendo da necessidade do usurio. A
28
ferramenta serve para fazer a anlise das atitudes tomadas por atacantes dentro de um sistema,
onde aps o estudo dessas anlises possa ser tomadas medidas que possam prevenir futuros
ataques. Geralmente so utilizados em conjunto com outras ferramentas de segurana, como
Firewalls que controlam o trfego de entrada e sada de uma rede e como os IDS (Sistema de
Deteco de Intrusos), que so sensores com a funo de monitorar o trfego da rede e
identificar atitudes suspeitas. A figura 07 abaixo mostra a arquitetura de uma rede utilizando
Honeypot como uma das ferramentas de segurana.
Figura 07 Honeypot
29
30
4.2 VANTAGENS
31
4.3 DESVANTAGENS
Uma das desvantagens a viso limitada ao trfego, pois a ferramenta pode detectar
somente os ataques direcionados a ele, sendo assim ignorando as atividades relacionadas a
outros sistemas. Portanto, ele no consegue detectar roubo de arquivos confidenciais feitos de
usurios da prpria rede e no consegue detectar ataques contra seu prprio servidor de
servios da rede, e devido a isso a ferramenta apenas consegue detectar as aes realizadas em
sua rota (WEB,2003).
A principal desvantagem se o inimigo conseguir descobrir qual a ferramenta,
invadi-la e us-la para prejudicar outros sistemas dentro da rede e at mesmo o atacante
manipular
as
informaes,
(SPTIZNER,2002).
fazendo
com
que
concluses
falsas
sejam
feitas
32
Este tipo de Honeypot menos utilizado pelos administradores de rede por serem mais
complexos e exigirem maior tempo e esforo. Como o prprio nome j diz, seu grande
objetivo de pesquisar as possveis ameaas, as ferramentas utilizadas num ataque, a origem
dele e as ferramentas utilizadas. Esta facilidade em monitorar devido ao acompanhamento
real de cada passo do atacante (SPTIZNER,2002).
33
Nesse nvel de interatividade o sistema tolera atacantes que possuem mais habilidades
de interagir com o mesmo, logo precisa de um tempo maior para sua implementao, devido
ao nvel maior de complexidade (SPTIZNER,2002).
Neste caso, eles so compostos por sistemas operacionais e servios reais e facilitam
que os atacantes interajam com o sistema. Possibilitando uma vasta coleta de dados sobre os
atacantes (ROJAS,2003). Devido complexidade de sua arquitetura, eles levam mais tempo
para serem implementado, alm de apresentar um grande risco para a empresa, pois oferece
acesso livre ao sistema operacional (SPTIZNER,2002).
34
Este caso emulado servios reais, usados para obter uma melhora no nvel de
gerao de alertas e histricos de registros do sistema.
Estas ferramentas trabalham como iscas, emulando servios para que o atacante
possa pensar que esta em um sistema real. No decorrer da tentativa de um ataque, a
ferramenta estabelece uma conexo com o atacante e tenta ganhar tempo utilizando todos os
seus recursos, com o objetivo maior de adquirir dados sobre o atacante e tambm sobre o tipo
de ataque. Depois de feita a captura dos dados, eles sero armazenados em um banco de dados
para que posteriormente sejam feitas as analisem comparativas de novas tentativas de ataque,
alm de poder ser utilizadas em ataque posteriores.
Geralmente a ferramenta instalada na intranet ou na internet, de acordo com o
objetivo a ser alcanado, podendo ser localizado (BAUMANN; PLATTNER, 2002):
35
Em frente ao Firewall, ou seja, fora da rede, no existindo risco para a rede interna e
tambm no gerando logs do Firewall e do IDS. No caso do atacante descobrir a
isca e dominar o sistema, no ser possvel controlar o trfego, portanto no
comprometendo o funcionamento de outras redes.
Quando utilizado na DMZ (Demilitarized Zone), que a rede adicionada entre uma
rede interna e outra externa, a fim de fornecer uma camada adicional de segurana,
utilizando o Firewall para fazer o controle de entrada / sada e isolando o Honeypot
da rede de produo. Pode ser denominada rede de permetro.
Na figura 08 abaixo podemos visualizar as trs localizaes possveis do Honeypot,
36
Apesar de ser uma ferramenta bastante interessante e com um objetivo muito bom, ela
pode causar vrios incidentes, pois se o atacante descobrir a utilizao da ferramenta, ele pode
utiliz-la para fazer ataques, podendo se infiltrar e danificar outros sistemas da rede ou at
mesmo roubar dados importantes, atravs da manipulao da ferramenta. Porm, todos esses
riscos podem ser diminudos se for feita uma boa implementao da ferramenta (SPITZNER,
2002).
A eficcia do Honeypot dentro de uma organizao depende muito da poltica de
segurana adotada pela empresa, j que elas demonstram a maneira que as empresas
trabalham, como os servios so acessados, a implementao e aplicao de medidas, com o
objetivo maior de amenizar os possveis riscos que podem ocorrer.
No Brasil existe o projeto HoneynetBR, que foi fundado e mantido por especialistas
do Instituto Nacional de Pesquisas Espaciais (INPE) em associao com o grupo brasileiro de
resposta a incidentes de segurana (NBSO) para capturar dados sobre as atividades da
comunidade blackhat. O projeto usa Honeypots de alta interao com sistemas reais, mas
usando algumas modificaes que ajudam a fazer a captura de todos os dados, at mesmo os
criptografados. Tempos depois, o projeto recebeu um importante reconhecimento, ele se
tornou membro da Honeynet Research Alliance, que se trata de um grupo de pases de vrias
37
5 HONEYNETS
Honeynet uma ferramenta de pesquisa, cujo o objetivo projetar uma rede que seja
comprometida, ou seja, permanentemente atacada, onde por meio dela sero capturados dados
sobre ataques e atacantes para posteriormente ser feita a anlise dos mesmos.O
comportamento do atacante dentro do sistema monitorado fazendo identificao das
ferramentas utilizadas, as vulnerabilidades exploradas e o tipo de ataque utilizado. Essa
ferramenta de anlise composta de outras ferramentas de segurana, como por exemplo:
Firewalls, Honeypots e IDSs, onde juntas formam uma Honeynet, como mostra a figura 03.
A Honeynet pode ser utilizada em diversos tipos de sistemas operacionais e arquiteturas
variadas, portanto facilitando a observao e anlise de atacantes de diversas plataformas.
38
39
A Honeynet aps ser comprometida, os dados devem ser controlados sem que o
atacante perceba, tambm necessrio garantir que o sistema no seja usado para prover
ataques em outros sistemas.
Para fazer o controle de fluxo de entrada e sada de dados, utiliza-se um Firewall em
sua arquitetura, tendo como objetivo a passagem de dados da prpria Honeynet ou de uma
rede externa, como podemos visualizar na figura 04 (SPITZNER, 2002).
40
A captura nada mais que a coleta de dados, ou seja, todas as atividades que so
geradas a partir do seu comprometimento. O risco para fazer essa coleta de dados pode ser
muito alto, pois podem ocorrer falhas, por isso usa-se um conjunto de vrios sistemas para
realizar a captura, como logs de Firewall, alertas de IDS, alm dos prprios sistemas, para que
os registros apresentem um melhor contedo de informaes (SPITZNER, 2002).
Nessa captura, a forma de armazenamento dos dados deve ser de feita de forma
segura, em sistema confivel, e no apenas de forma local no sistema comprometido, j que
so informaes relevantes para a segurana, pois se o atacante tiver acesso aos registros, o
mesmo poder destru-los ou fazer um ataque de modificao (SPITZNER, 2002).
41
Essas informaes devem ser capturadas de forma eficaz e inteligente, para que o
principal propsito de uma Honeynet seja alcanado, que a deteco das vulnerabilidades de
uma organizao, e, alm disso, fazer a utilizao de ferramentas mais robustas, com a
tentativa de combater novos ataques (SPITZNER, 2002).
Uma Honeynet clssica ou real formada por sistemas reais, onde cada um possui
suas instalaes especficas, neste tipo de Honeynet podem ser utilizados diferentes tipos de
sistemas operacionais de forma totalmente descentralizada, ou seja, tornando as mquinas
(Honeypots) independentes uma das outras.
Uma
Honeynet
real
composta
dos
seguintes
dispositivos
(HOEPERS;JESSEN;CHAVES, 2005):
42
As vantagens desse tipo de Honeynet que ela utiliza de dispositivos reais e tambm
possui maior segurana pois utiliza Honeypots descentralizados, portanto um dispositivo no
est dependendo do outro. Alm disso, mais tolerante a falhas e os atacantes interagem com
ambientes reais. Porm, sua desvantagem esta no custo elevado, nas grandes dificuldades de
instalao e administrao, manuteno mais difcil e trabalhosa, necessidade de mais espao
fsico para os equipamentos (SPTIZNER,2002), como mostra a figura 05.
A implantao dessa ferramenta interessante em organizaes que possuem um
capital elevado e que tenha como foco principal a segurana de todas suas informaes, pois
sero necessrios treinamentos de funcionrios para aprender a lhe dar com essa tecnologia e
alm do mais o alto custo dos equipamentos que sero utilizados.
43
Uma Honeynet virtual uma mquina onde podem ser executados sistemas
operacionais mltiplos ao mesmo tempo, tudo isso devido ao uso de emuladores, criando
assim uma rede virtual.
As grandes vantagens de se usar este tipo de Honeynet devido ao seu custo final ser
mais baixo, gerenciamento ser mais simples, manuteno mais simples, facilidade de
instalao e administrao, necessidade de menor espao fsico para os equipamentos, baixo
gasto de energia eltrica, j que se utiliza de um nmero menor de mquinas. Porm suas
desvantagens esto na limitao dos tipos de sistemas operacionais oferecidos pelos softwares
virtuais, baixa tolerncia falhas (muitos componentes concentrados em um nico ponto),
pode haver instabilidade devido ao uso exagerado de memria e o atacante pode obter acesso
a outras partes do sistema, pois tudo compartinha os recursos de um mesmo dispositivo, com
isso, existe a possibilidade do atacante perceber que est interagindo com um ambiente virtual
(SPITZNER, 2002).
A arquitetura de funcionamento desse tipo de Honeynet pode ser mais bem entendida
fazendo-se uma analise da figura 06. Este tipo de arquitetura no acarreta muitos custos s
empresas interessadas em proteger o ativo de suas informaes, apesar de que para isso
precise superar alguns problemas como, limitao de sistemas operacionais e sobrecarga de
memria.
44
A segurana de informao sempre foi tratada de maneira defensiva, pois sempre era
preciso primeiro detectar as falhas e vulnerabilidades para que depois fosse feito algo pra
corrigir essas imperfeies.
A ferramenta Honeynet importante por ser possvel detectar e estudar as diversas
tcnicas utilizadas em um ataque, pois toda e qualquer atividade considerada suspeita por
natureza dentro de uma Honeynet, tal fato possvel devido ao monitoramento intenso na
rede, portanto a deteco de riscos facilitada, pois no ira existir sobrecarga de dados
ocasionada pelo trfego normal de uma rede.
45
Uma Honeynet uma ferramenta de anlise bastante flexvel, que pode ser utilizada
tanto como Honeypot de pesquisa como de produo.A grande vantagem da ferramenta
poder funcionar na maioria de todos os sistemas de aplicao e sistemas operacionais.
Geralmente a Honeynets so pouco usadas como Honeypots de produo, pois muito
mais complexo e requer muito mais recursos e tempo para serem implementadas, mas ela
muito mais eficaz quando utilizada como Honeypot de pesquisa, assim podendo atuar em
diversas reas.
Como Honeypot de pesquisa, as Honeynets fazem captura dos ataques j conhecidos
e dos desconhecidos, utilizando-se da base de dados das assinaturas existentes para analisar os
dados, podendo assim descobrir novas vulnerabilidades e com isso evitando ataques futuros
(FONSECA;PITANGA,2001).
A ferramenta faz a captura de informaes sobre os ataques baseando-se nas atitudes
dos atacantes, mostrando passo a passo a atitude deles dentro do sistema e o motivo pelo qual
levou ao ataque, apenas usando ferramentas para sondar e explorar a vulnerabilidade dos
sistemas.
Ferramentas desse tipo, no so produtos que se instalam muito menos um
instrumento que se pode baixar em sua rede para auxiliar na segurana, mas sim uma
arquitetura que tem como funo auxiliar no controle da rede, na qual pode ser implantado
qualquer sistema ou aplicao, portanto sua arquitetura bastante complexa, e possui trs
elementos crticos: controle de dados (a circunstncia de risco), captura de dados (registro de
atividades do atacante) e a coleta de dados (centralizar a captura e agrupar todas as
informaes coletadas dentro da Honeynet), (SPTIZNER,2002).
Essas ferramentas permitiram o registro de domnio do nome da mesma, atraindo
assim o cliente que se deseja pesquisar. Existe um alto nvel de risco ao usar a ferramenta,
pois os atacantes no se preocupam com os limites e fazem o que bem entendem no sistema,
46
j que utilizam as Honeynets para compilar cdigos maliciosos, lanar ataques ou distribuir
ferramentas. Uma possibilidade para banir ataques o controle de dados fora dos Honeypots,
outra vulnerabilidade da ferramenta a variedade de tecnologias envolvidas e o fato de serem
utilizadas para a captura e controle de atividades esperadas (SPTIZNER,2002).
47
48
Segundo (MARCELO,2005):
O Honeyperl um software de fcil instalao e configurao desenvolvido em Perl.
Pode ser obtido no site do projeto HoneypotBR e instalado de maneira bem rpida. Trata-se
de um Honeypot de mdia interatividade que simula os seguintes servios: Squid, Apache,
servidores de e-mail (Sendmail, Postfix, Qmail e MSExchenge), FTP, Echo e POP3.
49
Ele ainda capaz de capturar assinaturas de vrus num pequeno Tarpit (poo de piche)
implementado. A nica dependncia que o Perl (verso 5.6.0 ou superior) esteja instalado
no sistema. Para configurar o Honeyperl basta executar a seguinte seqncia de comandos:
50
Um endereo de e-mail de sua escolha para aparecer como contato nas respostas falsas
que os servios iro emitir. Recomendamos um endereo falso ou uma conta especialmente
selecionada para isso.
###########################################################################
# Usurio utilizado
#
# ususario=root
#
###########################################################################
Usurio para execuo do Honeyperl. Deixe-o com o root.
###########################################################################
# #Deseja ver as mensagens no terminal?
#
#opcoes: (sim/yes) / (nao/no)
#
# terminal=sim
#
###########################################################################
Mostra as mensagens referentes a ataques em tempo real no terminal, permitindo
assim seu acompanhamento.
###########################################################################
# Deseja ativar firewall
#
# opes: (sim/yes) / (nao/no)
#
# firewall=no
#
###########################################################################
Essa opo tem que ser manipulada com muito cuidado. Estando ativa, o Honeyperl
ira gerar um arquivo de regras de firewall baseado no iptables, no subdiretrio firewall e
atualizara a tabela do iptables. Alguns usurios tiveram problemas com bloqueio de
endereos.
###########################################################################
# Sistemas de firewall disponveis.
#
# Pode-se ter linux22, linu24 ou openbsd
#
# openbsd : trabalha com PF
#
#linux24 : IPTables
#
#linux22 : ipchains
#
# so=linux24
#
###########################################################################
51
Com essa opo, podemos definir se o firewall vai ser feito usando o PF,do OpenBSD
, o ipchains ou o iptables.
A segunda seo do arquivo de configurao que determina os servios falsos(os
fakes) a serem executados. Dependendo da simulao desejada podemos ativar ou no
determinado fake.
###########################################################################
# ###############
#
# # Secao2
#
#
# ###############
#
#
#
#
#
# Fakes a serem iniciados
#
# fakesquid:squid:conf/fakesquid.conf:3128:Squid Emul
#
# fakesmtp:smtp:conf/fakesmtp.conf:25:Smtp Emul
#
# fakehttpd:httpd:conf/httpd.conf:80:Httpd Emul
#
# fakepop3:pop3:conf/pop3.conf:110:Pop3 Emul
#
# fakeecho:echo::7:Echo emul
#
# fakeftp:ftp:conf/fakeftp.conf:21:Ftp Emul
#
# fakepit:pit::20001:Pit Emul
#
###########################################################################
A estrutura da definio de um fake a seguinte:
###########################################################################
# nomedofake:modulo(service):arquivo de config:porta TCP:comentario
#
###########################################################################
Colocar uma cerquilha(#) na frente de qualquer um dos parmetros impede a execuo
daquele servio. Recomendamos ao usurio no modificar esse parmetros de inicializao. A
configurao dos fakes pode ser feita modificando seus artigos de configurao
correspondentes, encontrados no subdiretrio conf. So eles:
52
(registro) do
Para finalizar o projeto, criaremos um pequeno script de iptables para nosso honeypot
(o script esta no anexo).
Esse script ir liberar o acesso s portas dos servios executados pelo honeypot.
53
54
Vamos deixar nosso sistema pronto para execuo do honeypot logo aps a
inicializao. Edite o arquivo /etc/rc.d/rc.local para que se parea com o mostrado na
listagem 4. Agora, reinicie seu computador. Aps o login, digite o comando: perl /diretoriodohoneyperl/honeyperl.pl e nosso honeypot estar pronto para o trabalho.
7. CONSIDERAES FINAIS
55
56
possam ser feita a implementao de Firewalls, IDs e Honeypots, com o objetivo de prover a
segurana dentro de uma grande rede, a partir do resultado desse experincia.
REFERNCIAS BIBLIOGRFICAS
ALECRIM,
Emerson.
Firewall:
conceitos
tipos.
Disponvel
em
57
BACE, Rebeca. MELL, Peter. NIST Special Publication on Intrusion Detection Sustems.
Disponvel em <http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf>. Acesso em:
07.maio.2006.
BATTISTI, Jlio Cesar Fabris. Tutorial de TCP/IP Parte 17 IFC Internet Firewall
Conection (Windows XP). Disponvel em <http://www.linhadecodigo.com.br/artigos.asp?
id_ac=651&pag=1>. Acesso em: 03.abr.2006.
BAUMANN,
Reto.
PLATTNER,
Christian.
Honeypots.
Disponvel
em
BEAL, V. The Difference Between Adware & Spyware. 2004. Disponvel em:
<http://www.webopedia.com/DidYouKnow/Internet/2004/spyware.asp>. Acesso em: 22 mar.
2006.
CERT.BR. Cartilha de Segurana para internet Parte II: Riscos Envolvidos no uso da
internet e mtodos de preveno. Disponvel em: <http://cartilha.cert.br/>. Acesso em:
24.out.2006
CHESWICK, Bill. An Evening with Berfered in wich a Cracker is Lured, Endured, and,
Studied, 1991.
58
COHEN, Fred. The Deception Toolkit Home Page and Mailing List. Disponvel
em:<http://www.all.net.dtk/dtk.html>. Acesso em: 25.ago.2006.
FONSECA, Antonio Marcelo Ferreira da. PITANGA, Marcos. A Arte de Iludir Hackers.
1.ed. So Paulo:Brasport,2001.
GRIFFIN, B. An Introduction to Viruses and Malicious Code, Part One: Overview. 2000.
Disponvel em: <http://www.securityfocus.com/infocus/1188>. Acesso em: 08 mar. 2006.
MARCELO,
Antnio.
Honeypots
no
Linux.
Disponvel
em:
MICROSOFT. What you can do about spyware and other unwanted software. 2005.
Disponvel em: <http://www.microsoft.com/athome/security/spyware/spywarewhat.mspx>.
Acesso em: 22 mar. 2005.
59
PEREIRA, Leandro Tofino. Enganando invasores com Honeyperl. Disponvel em: <http://
www.vivalinux.com.br/artigos/verartigo.php?codigo=53258pagina=2>
Acesso
em:
10.nov.2006
ROHR,
Altieres.
Rootkit.
Disponvel
em:
SPITZNER, Lance. Traching Hackers. 1.ed New York: Addison Weslly, 2004.
STOLL, Cliff. The Cuckoos Egg. New York: Pockte Books Nenfiction, 1990.
60
WEB,
Reseller.
Armadilha
para
os
Hackers.
Disponvel
em:
61
[ANEXO]
###########################################################################
#### Secao1 ####
#Dominio que sera utilizado pelas fakes
#dominio=teste.com.br
#Email utilizado nos fakes
#email=admin@honeypot.com.br
#Usuario utilizado
#usuario=root
#Deseja ativar firewall
#firewall=nao
#Os sistemas disponiveis para utilizacao de firewall:
#pode-se ter linux22, linux24 ou openbsd
#openbsd : trabalha com PF
#linux24 : IPTables Kernel 2.4 e 2.6
#linux22 : ipchains Kernel 2.2
#so=linux24
#### Secao 2 ####
#Fakes a serem iniciados
#fakesquid:squid:conf/fakesquid.conf:3128:Squid Emul
#fakesmtp:smtp:conf/fakesmtp.conf:25:Smtp Emul
#fakehttpd:httpd:conf/httpd.conf:80:Httpd Emul
#fakepop3:pop3:conf/pop3.conf:110:Pop3 Emul
#fakeecho:echo::7:Echo emul
#fakeftp:ftp:conf/fakeftp.conf:21:Ftp Emul
#fakepit:pit::20001:Pit Emul
###########################################################################
62
63