Instructions for Authors of SBC Conferences

Papers and Abstracts

Luciana P. Nedel1, Rafael H. Bordini2, Flávio Rech Wagner1, Jomi F. Hübner3
1Instituto de Informática – Universidade Federal do Rio Grande do Sul (UFRGS)
Caixa Postal 15.064 – 91.501-970 – Porto Alegre – RS – Brazil

Department of Computer Science – University of Durham

2

Durham, U.K.

Departamento de Sistemas e Computação

3

Universidade Regional de Blumenal (FURB) – Blumenau, SC – Brazil

{nedel,flavio}@inf.ufrgs.br, R.Bordini@durham.ac.uk, jomi@inf.furb.br

Abstract.

Resumo.

Honeynet
Honeynets são arquiteturas altamente controladas cujo objetivo é conter e analisar
invasores de redes, observando como são usadas as ferramentas dessas ameaças e
detectar tipos de padrão de comportamento na rede.
Para implementar uma Honeynet é necessário definir como irão funcionar alguns
eventos que serão apresentados a seguir. Primeiro, é necessário definir como estará
disposta a arquitetura da rede. Em segundo lugar, para evitar que os invasores tirem
vantagem da honeynet, é necessário implementar um controle de dados. O objetivo
principal, ou seja, a essência do honeynet está na captura de informações dos invasores,
logo é necessário desenvolver formas seguras de capturar os dados e enviar para os
administradores da rede alertas informando os tipos de ataques que estão ocorrendo ou
padrões de comportamento na rede. Finalmente, antes de implantar a honeynet é
primordial que sejam realizados testes na arquitetura desenvolvida para que erros de
desenvolvimento nas etapas anteriores não comprometam a rede após a implantação.

Arquitetura
O elemento chave em uma honeynet é o gateway, também conhecido como honeywall.
Esse dispositivo trabalha na camada 2 da pilha TCP/IP, mas outras formas de
implementação colocam o gateway para trabalhar na camada 3. No trabalho pesquisado,
o honeywall é configurado para trabalhar na camada 2, pois nessa configuração é
possível detectar ameaças, não só exteriores, como também, interiores à rede.
Como apresentado na Figura 1, o honeywall possui 3 interfaces de rede: externa,
interna, e uma para propósitos administrativos que permite um controle remoto do
gateway, transferindo as informações coletadas para um ponto central fora da rede. É
preferível instalar o Sistema Operacional Linux no honeywall devido à segurança desse
sistema contra vírus e ataques.

Figura 1. Arquitetura de uma Honeynet

Controle de Dados
O propósito do controle de dados é prevenir que os invasores utilizem um honeypot
para prejudicar o restante da rede. É importante que a pessoa que esteja implementado a
honeynet defina um ponto de equilíbrio para a abertura que será dada ao invasor quando
ele entrar no sistema. Quanto mais permissão for dada ao invasor, mais informação
pode ser extraída dele, contudo, mais chance haverá para ele destruir o sistema.
Com o intuito de definir esse ponto de equilíbrio são utilizadas duas tecnologias: a
contagem de conexões (connection counting) e o sistema de prevenção à intrusos (NIPS
– Network Intrusion Prevention System).
A contagem de conexões consiste em utilizar o log da Tabela de IPs para verificar
quantos acessos ao exterior da rede foram feitas e, quando um limite de conexões pré-
estabelecido é atingido, as conexões daquele honeypot são bloqueadas. A tabela de IPs,
então, reinicializa permitindo apenas um número de conexões estabelecido de acordo
com uma escala (ex. 1 conexão exterior a cada 5 minutos).
Outra observação é que se o tipo de conexão que excedeu o limite for TCP, por
exemplo, apenas esse é bloqueado e as outras formas, como UDP ou ICMP continuam
liberados.
Com a contagem de conexões implementada, o próximo passo é definir como identificar
e bloquear os ataques conhecidos. Para isso é utilizada uma versão modificada
(diferente base de regras) do Snort, o Snort_inline, cuja diferença para o Snort padrão é
que o foco é capturar ataques externos. Com esse intuito são monitorados todos os
pacotes que passam pelo gateway.
O Snort_inline adota duas abordagens quando um ataque é identificado: a eliminação ou
modificação dos ataques. Na primeira, quando o ataque é identificado, o Snor_inline
bloqueia ou “joga fora” aquele pacote contaminado. A segunda abordagem torna mais
difícil a identificação da ocorrência de algum tipo de processo de controle pelo invasor,
pois o pacote é interceptado e seu conteúdo é modificado retirando apenas a ameaça.

Captura de Dados e Alertas

A captura de dados é o maior objetivo do honeynet. O intuito é capturar a maior
quantidade possível de informação de todas as camadas. Para isso, é feito um log de
todas as atividades realizadas pelo invasor. Há três lugares de coleta de informações que
são considerados os mais importantes: os logs do firewall, o tráfego de rede e o próprio
honeypot.
São nos logs do firewall onde se encontra a primeira indicação de que está havendo uma
invasão, e, além disso, é possível saber quando uma invasão começou. Segundo
[XXXX] esses logs têm se mostrados críticos na identificação de novos ou
desconhecidos ataques. Existem quatro tipos diferentes de tráfego: TCP, UDP, ICMP e
tráfego não-padrão de IPs (non-standard IP traffic). Neste último, é muito provável que
esteja ocorrendo algum tipo novo de ataque ou método não publicado antes. No sítio
http://old.honeynet.org/scans/scan22 é possível encontrar os 22 ataques mais bem
documentados do mês.
O segundo elemento é a captura de pacotes (apenas a carga útil - payload) que entram e
saem da honeynet. Apesar da possibilidade de utilizar-se o Snort_input utiliza-se outra
forma de captura: o Snort padrão. É importante que esse farejador seja colocado da
interface de rede feita com os honeypots, e segundo os desenvolvedores esse ponto é
crítico. Caso o sniffer seja colocado na interface externa os dados coletados serão
poluídos com dados externos. As informações de interesse são apenas as que entram e
saem da honeynet.
Segundo os desenvolvedores, a atividade mais desafiadora está em capturar os dados do
invasor no próprio honeypot. Antigamente era muito simples. Bastava apenas capturar a
atividade do teclado (keystrokes) do invasor. Contudo, atualmente, os invasores utilizam
encriptação dos dados o que dificulta essa captura.
Para eliminar essa dificuldade, é utilizada uma ferramenta chamada Sebek, cujo
objetivo é fazer a decriptação dos dados no próprio sistema operacional do honeypot, ou
seja, ela será executada no núcleo do sistema operacional. Esses dados são, então,
encaminhados para outra máquina (sniffing machine) através de UDP.
Quando ataques são detectados é necessário que alertas sejam encaminhados para os
administradores de rede de forma automatizada. Para isso, é utilizada a ferramenta
Swatch, the Simple Watcher. Os alertar (Figura 2) são enviados através de e-mail,
celular, ou até dispara a execução de outros programas.
 Figura 1. Mensagem de Alerta enviada por e-mail

Testes
Após a configuração de todas as etapas anteriores, é necessário realizar testes para
verificar se a implantação foi realizada de forma correta. É selecionado um nó da rede
de produção (nó comum) que irá realizar atividades internas e externas, com isso, é
possível identificar problemas no controle de dados. Em seguida, é importante verificar
se o Snort_inline, o Snort e os logs contêm as devidas informações.

Referências
Honeynet Project. Disponível em: http://www.honeynet.org. Acesso em 27/11/2010.