Honeypot: Conceitos gerais e implementação de um Honeytoken.

Transcrição

1 Curso de Engenharia de Computação Honeypot: Conceitos gerais e implementação de um Honeytoken. José de Sousa Martins Junior Itatiba São Paulo Brasil Dezembro de 2006

2 ii Curso de Engenharia de Computação Honeypot: Conceitos gerais e implementação de um Honeytoken. José de Sousa Martins Junior Monografia apresentada à disciplina: Trabalho de Conclusão de Curso, do Curso de Engenharia de Computação da Universidade São Francisco, sob a orientação do Professor MS. Sidney Pio de Campos, como exigência parcial para conclusão do curso de graduação. Orientador: Professor Mestre Sidney Pio de Campos Itatiba São Paulo Brasil Dezembro de 2006

3 iii Honeypot: Conceitos gerais e implementação de um Honeytoken José de Sousa Martins Junior Monografia defendida e aprovada em 13 de dezembro de 2007 pela Banca Examinadora assim constituída: Professor Ms. Sidney Pio de Campos (Orientador) USF Universidade São Francisco Itatiba SP. Professor Ms./Dr. André Leon Sampaio Gradvohl USF Universidade São Francisco Itatiba SP. Professor Ms. Rodrigo Chavez Monteiro do Prado USF Universidade São Francisco Itatiba SP.

4 iv Nada sabemos. A única esperança de saber é sabermos todos juntos, é fundir todas as classes no saber e na ciência. A meus pais xxx, sem os quais não chegaria (Leon Tolstoi) até aqui. A minha esposa xxx, que ensinou-me a fé e o amor. A meu filho, xxx, a quem tantas horas de brincadeiras e jogos foram adiadas sem que este compreendesse o porquê de papai está trabalhando. Sou eternamente grato a todos.

5 v Agradecimentos Agradeço a Deus, pelo dom da vida, aos meus pais companheiros presentes e ao Professor Sidney Pio de Campos, meu orientador e amigo, que acreditou em mim, incentivando-me para a conclusão deste trabalho e a realizar mais esta etapa essencial da minha formação acadêmica, face aos inúmeros percalços do trajeto. Aos meus amigos e colegas que conquistei ao longo da minha vida acadêmica. A todos os professores do curso de Engenharia de Computação da Universidade São Francisco, pessoas a quem aprendi a respeitar e a valorizar a cada dia do curso. Agradeço aos que participam de minha vida, direta ou indiretamente, na contribuição para a realização deste trabalho. Eu agradeço fraternalmente a todos.

6 vi Sumário Lista de Siglas...vii Lista de Figuras...viii Resumo...ix Abstract...ix 1 INTRODUÇÃO Descrição inicial do Honeypot Motivação Objetivos A História do Honeypot Organização do texto CONCEITOS Honeypots e Honeynets Honeynets Controle de dados Captura de dados Firewall Roteador Estrutura Honeypot do IFGW Os ataques e as ameaças Atrativos para ataques Honeytokens A definição de Honeytokens Vantagens do uso de Honeytokens Desvantagens de Honeytokens Caso de uso de Honeytokens IMPLEMENTAÇÕES Descrição dos itens aplicados A busca por vulnerabilidades Exploits Tipos de Exploits Sistema de detecção de intrusão (IDS) Implementação com Live-CD Aplicações, testes e resultados obtidos Resultados dos logs de ataques DIFICULDADES ENCONTRADAS CONCLUSÃO Contribuições Extensões REFERÊNCIAS BIBLIOGRÁFICAS... 23

7 vii Lista de Siglas DDOS DMZ DoS FTP IDS IP POP SMTP SO SSH TCP TELNET UDP Distribuited Denial of Service Demilitarized Zone Denial of Service File Transfer Protocol Intrusion Detection System Internet Protocol Post Office Protocol Simple Mail Transmission Protocol Sistema Operacional Secure Shell Transmission Control Protocol Network Terminal Protocol User Datagrama Protocol

8 viii Lista de Figuras FIGURA 1 ARQUITETURA DA PRIMEIRA GERAÇÃO DE HONEYNET...7 FIGURA 2 ARQUITETURA DA SEGUNDA GERAÇÃO DE HONEYNET...7 FIGURA 3 TOPOLOGIA HONEYNET ILUSTRANDO A PONTE TRANSPARENTE...10 FIGURA 4 ESTRUTURA DA IMPLANTAÇÃO COM LIVE-CD...19

9 ix Resumo Esta monografia apresenta os conceitos gerais e principais de um Honeypot, suas funcionalidades com teorias e práticas. Os Honeypots são recursos que trazem subsídios aos profissionais de segurança para a realização de estudos e soluções de problemas que podem prejudicar a privacidade de uma rede. E os Honeynets que são sistemas agregados às redes de computadores, com o intuito de serem atacados e posteriormente comprometidos. Por fim apresenta uma aplicação com o intuito de mostrar os conhecimentos e a funcionalidade e utilidade do Honeypot. PALAVRAS-CHAVE: 1. Segurança em redes 2. Honeypots 3. Honeynets Abstract This monograph presents the general and main concepts of the Honeypots, their functionalities with theories and practices. The Honeypots are resources that bring support to the professionals of information security for the accomplishment of studies and solutions of the problems that can harm the privacy of the networks. And the Honeynets are systems aggregated to computer networks, with the purpose of being attacked and consequently compromised. Finally it presents application with the intention to show the knowledge, the functionality and a utility of the Honeypot. KEY WORDS: 1. Security in the networks. 2. Honeypots. 3. Honeynets.

10 1 1 INTRODUÇÃO Nos dias atuais, com a amplitude da Internet, os sistemas de redes estão sempre abertos e expostos a diversos tipos de ataques e a segurança se tornou uma preocupação diária e fundamental para os administradores de redes, que, precisam estar atualizados para evitar esses tipos de problemas. Com o grande fluxo de informações e dados navegando pelo mundo, os sistemas de segurança são implementados a cada momento. Os Honeypots são tecnologias voltadas para ajudar os administradores de redes, principalmente para a proteção desses dados como um recurso que permite, em seu ponto fundamental, estudar e descobrir formas que um invasor trabalha e ao mesmo tempo desenvolver técnicas, métodos e ferramentas para estudos contra invasão e proteção. 1.1 Descrição inicial do Honeypot A tradução de Honeypot do inglês para o português é pote de mel, ou seja, uma forma de atrair abelhas para um pote. Assim o Honeypot pode ser: Um Recurso Computacional cujo valor está em sua sondagem, ataque ou comprometimento por atacantes [Spitzner, 2003]. O Honeypot pode ser uma aplicação real, fora de uma rede de produção com serviços reais ou uma aplicação que através de uma rede podemos criar ou emular serviços como SMTP, POP3, TELNET, FTP, WEB, softwares especializados como banco de dados ou sistemas operacionais, nesses casos teoricamente falsos, com a finalidade, nos dois casos, tanto no real como no falso, é de atrair ataques de invasores e enganá-los, fazendo acreditar em um ambiente em que esta navegando é de uma produção real e pense que esta com o total domínio da situação. Nas aplicações podemos citar logo abaixo: Detecção de intrusos na rede; Estudo dos hábitos e motivações de ataques hacker; Captura de assinaturas de determinado ataque; Captura de novos exploits e ferramentas maliciosas; Combate ao SPAM.

11 2 Nas aplicações podemos distinguir e classificar dois tipos interatividade conforme os níveis de ataques: Os de baixa interatividade: O atacante interage remotamente com o Honeypot através de serviços de rede emulados, sem invadi-los. São instaladas ferramentas para emular sistemas, softwares e serviços, conforme dito anteriormente seriam uma rede com serviços falsos. Os de alta interatividade: O atacante invade o Honeypot, conseguindo acesso total ao sistema operacional (geralmente com privilégios de root) e um exemplo de Honeypot de alta interatividade é o Honeynet. Conforme dito anteriormente esse é o caso de uma rede real, mas fora de uma rede de produção. Os Honeypots podem ser definidos como recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. E os Honeynets podem ser definidos como redes compostas de uma sub-rede de administração e de uma sub-rede de Honeypots, juntamente com o Firewall para limitação e log de tráfegos. A tecnologia crescente e em desenvolvimento do Honeypot é um ponto positivo e uma somatória de um nível a mais em segurança. Podemos definir conforme as palavras de Spitzner: Um recurso de segurança preparado para ser sondado atacado ou comprometido [Spitzner, 2003]. 1.2 Motivação Novos conhecimentos são necessários a cada dia e a busca de novos desafios é extremamente importante para aprimorar as novas idéias. Para grandes analistas e estudiosos em segurança de redes espalhados pelo mundo, os novos projetos de proteção são fundamentais, principalmente com o aumento no uso da Internet, onde os alvos estão cada vez mais propícios a invasões e ataques. Com a necessidade de verificar se os dados de uma rede estão realmente seguros e protegidos é importante estar atento aos diversos tipos de ataques nas vulnerabilidades existentes. O Honeypot se caracteriza em ser uma ferramenta para ajudar a adquirir conhecimentos que são úteis nos estudos, funcionando para ser alvos de ataques.

12 3 A rede implementada para os estudos e a realização desse trabalho é uma aplicação de alta interatividade localizada no IFGW Instituto de Física Gleb Wataghin na Unicamp que está completamente monitorada e ativa, tornando assim os estudos de intrusão uma forma segura e altamente real. 1.3 Objetivos Esse tema foi elaborado e escolhido, principalmente para demonstrar o funcionamento e serviço de um cliente real com mais atrativos para a invasão e acrescentar na metodologia de um Honeynet já criado, como forma de aprimorar e vencer desafios estabelecidos. Esse projeto é para estudar e conhecer as formas de ataques e principalmente para detectar as atividades maliciosas na rede, conhecendo melhor o perfil do invasor, ou dos invasores. E é justamente no que o trabalho está focado: no estudo dos conceitos do Honeypot e na implementação de um cliente com atrativos para ataques no intuito de criar idéias e soluções para problemas reais vividos dentro dessa área de redes e tecnologia. 1.4 A História do Honeypot O primeiro surgimento de uma implementação de um mecanismo de monitoração de atividade intrusiva foi realizado em meados do ano de 1988 por Clifford Stoll, que durante 10 meses localizou e encurralou o hacker Hunter, que fez a monitoração das atividades desse invasor. A prática foi feita de uma forma diferente na época, ou seja, ao invés de fechar as portas de acesso para o intruso, decidiu tomar um caminho oposto e iniciou o processo de monitoração, rastreando a origem do ataque. O Honeypot veio a publico realmente em 1991 com a publicação dos artigos The Cucko s Egg de Clifford Stoll que tornou pública a história da invasão ocorrida nos sistemas do Lawrence Berkeley Laboratory. Em 1992 o especialista Bill Cheswick, que durante meses estudou as técnicas, criou armadilhas para o hacker Berferd, onde foram lançadas as bases do projeto e a primeira análise de um ataque. Publicou então um artigo chamado An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied onde descreve a invasão e os resultados do acompanhamento de invasões em um dos sistemas da AT&T, projetado especialmente para fins de ataques.

13 4 Em 1997 o primeiro Honeypot real foi implementado por Fred Cohen, que desenvolveu e aplicou no ano de 1998 o DTK Deception Tookit, a primeira ferramenta de código aberto cujo objetivo é iludir o invasor. E logo em seguida no ano de 1998, Martin Roesch criador do SNORT, desenvolveu um Honeypot para o governo dos EUA. No ano de 1999, surgiu o Honeynet Project, criado por Lance Spitzner em uma entidade formada por cerca de 50 especialistas de segurança. Com o objetivo de criar ferramentas de defesa contra ataques. Um dos resultados foi lançamento do Honeyd, uma ferramenta com solução em software livre de Honeypot, no qual o objetivo é revelar as ferramentas, táticas e motivações dos invasores. Este, sem dúvida, foi o grande passo que ganhou repercussão mundial ao demonstrar a importância do estudo do comportamento dos invasores de uma rede para o desenvolvimento de novas ferramentas e sistemas de defesa. Em 2001 diversas empresas começam implementando os Honeypots para capturar worms e por fim no ano de 2002 provou seu valor capturando o primeiro exploit desconhecido. No mesmo ano foi laçado o Honeyd. 1.5 Organização do texto Este trabalho encontra-se dividido em 6 etapas e podemos encontrá-lo de uma forma organizada com: A primeira etapa já mostrada com a introdução realizada, a segunda etapa que contêm os conceitos gerais do trabalho, explicando todas as necessidades para o entendimento do que é o Honeypots assim como as suas diversidades, variações e níveis de interação, até chegar ao ambiente mais complexo chamado de Honeynets, suas estruturas, funcionalidades e todos os conhecimentos para as configurações e implantações. A terceira etapa com as implementações práticas e teóricas, com as explicações e resumos bibliográficos, sobre as pesquisas já desenvolvidas no atual Honeypot ativo no Instituto de física da UNICAMP e os desenvolvimentos. Na quarta etapa estão às dificuldades encontras durante o processo prático e também no processo teórico na obtenção de informações. E por fim, a quinta etapa conclui o trabalho e mostra as contribuições, os comentários finais e as perspectiva para os futuros projetos e extensões para esse trabalho e logo em seguida, na sexta etapa, as referências bibliográficas para realização desta monografia.

14 5 2 CONCEITOS Essa etapa se resume em mostrar os conceitos do Honeypot, seu funcionamento, as configurações e os componentes que estão trabalhando em conjunto para melhorar os atrativos do Honeypot e sua evolução na formação de uma rede que seriam os Honeynets. 2.1 Honeypots e Honeynets O Honeypot estudado é um de alta interatividade, um recurso a ser sondado, que não tem valor produtivo, coletando informações relevantes sobre ameaças à segurança de redes, tais como padrões de ataque e vulnerabilidades. Honeypots oferecem duas vantagens em relação aos modelos tradicionais de segurança de informação: por serem sistemas não produtivos, qualquer interação com um Honeypot é uma ameaça em potencial, o que reduz significativamente o número de falsos positivos e negativos. As informações coletadas por esses sistemas provêm unicamente dessas ameaças, o volume mínimo de dados permite identificar tendências mais facilmente e com maior eficácia. Para entender melhor os benefícios de um Honeypot, dividi-se em duas categorias: Honeypots de produção e os de pesquisas. Os da primeira categoria, chamados Honeypots de produção, têm como objetivo principal aumentar a segurança e são baseados em sistemas operacionais virtuais e em serviços emulados, mas ao mesmo tempo real, simulando uma rede produtiva de verdade. Pode se dizer também que são de baixa interatividade, porque um intruso tem suas ações restritas ao nível de emulações oferecidas por serviços. E os Honeypots de pesquisa, por sua vez, não emulam serviços. Honeypots têm, contudo, duas desvantagens. Em primeiro lugar, seu alcance é limitado, uma vez que esses sistemas capturam e respondem somente as informações dos ataques dirigidos a eles. Em segundo, um fator comum a todos os outros modelos de segurança: toda tecnologia oferece certo fator de risco; por serem um sistema não produtivo um Honeypot comprometido pode ser usado para atacar sistemas produtivos, portanto os Honeypots não substituem as técnicas de segurança de informação já existentes, devendo ser usados para complementar as técnicas já existentes e consagradas mundialmente.

15 6 Já para os Honeypots de alta interatividade, estudado nesse trabalho, utilizamos os Honeynets com o objetivo de criar um ambiente real de rede composto por Firewall, roteadores e IDS. São Honeypots com alto nível de interação e fornecem maior riqueza de informações, mas, em contrapartida, representam um risco significativamente maior Honeynets A Honeynet é um tipo de evolução do Honeypot, ou seja, é uma rede preparada para ser comprometida. Seriam múltiplos Honeypots em conjunto com um Firewall, formando assim uma rede. A idéia inicial foi de Lance Spitzner, analista de segurança da Sun Microsystem, que resolveu conectar uma máquina Linux à Internet e os resultados obtidos não tiveram grandes sucessos iniciais, mas com o passar do tempo as novas pesquisas realizas em cima dele foram desenvolvidas e dois elementos foram cruciais para a criação e manutenção bem sucedida de um Honeynet. Que são: contenção e captura de dados. Honeynet é um tipo de Honeypot de pesquisa basicamente. São redes de sistemas para serem atacados, onde nenhum serviço é emulado. Utilizam sistemas operacionais reais em instalações semelhantes às de produção com a intenção de que o atacante tenha êxito em sua tarefa, mas que todas as suas atividades sejam devidamente capturadas e controladas sem o seu conhecimento. O maior desafio em construir uma Honeynet está na falta de uma solução pronta. Tais ambientes constituem, na prática, em uma arquitetura. E basicamente, sistemas vulneráveis são distribuídos em uma rede controlada, isolada da rede produtiva, que contém diversos sistemas operacionais distintos oferecendo os serviços variados, onde é possível acompanhar tudo o que está acontecendo com esses sistemas alvos. Ao longo de pesquisas pode-se notar que a Honeynet não é um produto que você simplesmente instala o software de um CDROM e o deixa de lado. A Honeynet é uma arquitetura, uma rede controlada e usada para conter, analisar as ferramentas e os motivos dos ataques. A seguir apresentam-se duas gerações de Honeypots, mas é interessante notar a de segunda geração das ferramentas de pesquisa, onde Honeynet é baseada e combinada com velhas e novas tecnologias, acrescenta flexibilidade, comodidade e segurança às Honeynets, possuem particularidades em relação à primeira geração, entre elas o conceito Honeywall, que é um mecanismo de administração com o foco no gerenciamento de rede e

16 7 que trabalha na segunda camada de rede. A figura 1 apresenta a arquitetura de primeira geração de Honeynet e a figura 2 apresenta a arquitetura de segunda geração da Honeynet. Figura 1 Arquitetura da Primeira Geração de Honeynet Figura 2 Arquitetura da Segunda Geração de Honeynet Uma Honeynet está baseado em dois importantes requisitos: controle de dados e captura de dados, que serão explicados logo a seguir. O objetivo do primeiro é reduzir os riscos, garantindo que o Honeypot comprometido não seja utilizado para atacar sistemas produtivos, já o segundo procura certificar todas as atividades desenvolvidas pelo atacante ou intruso no ambiente, sendo detectado e capturado. Esses requisitos devem ser satisfeitos sem que o intruso note que seus passos estão sendo monitorados e controlados.

17 8 O Honeywall é o principal componente da arquitetura. Esse computador isola o tráfego da Honeynet através de uma ponte transparente que possui capacidade de filtragem. Assim, a ponte pode ser usada como um Firewall transparente entre a Honeynet e o restante da rede, elemento crucial para o controle dos dados no ambiente. Este computador também roda um sistema de detecção de intrusos de rede, o IDS, que analisa e registra em log todo o tráfego da ponte, gerando alertas quando potenciais ameaças são encontrados. Os logs do sistema de detecção de intrusos são usados por uma ferramenta que gera relatórios contendo estatísticas sobre as ameaças mais comuns e informações sobre os intrusos, que são emitidos diariamente via cron e enviados por para o root da máquina. Para garantir a integridade dos arquivos de sistemas, é utilizado um sistema local de detecção de intrusos para gerar um banco de dados inicial com as informações sobre os arquivos de sistema. Em caso de suspeita de invasão, um novo banco de dados é gerado e comparado com o banco inicial para saber se algum arquivo de sistema foi modificado. O acesso ao Honeywall é feito exclusivamente através da interface administrativa via SSH, restrito pelo Firewall a um pequeno conjunto de computadores. Nenhum acesso externo é autorizado, e somente o tráfego gerado pelo sistema de captura de dados dos Honeypots é permitido e os restantes são negados Controle de dados Uma maneira eficaz de separar os Honeypots da rede produtiva é isolar através de uma ponte transparente. Como a ponte trabalha na camada de enlace de dados, não há decremento do tempo de vida dos pacotes, roteamentos ou endereços físicos que possam servir como impressões digitais da Honeynet. Assim, força-se todo o tráfego destinado aos Honeypots a passarem por um equipamento invisível, permitindo que os intrusos acessem os sistemas que são alvos sem praticamente nenhuma restrição, mas controlando tudo o que sai da Honeynet para o restante da rede. O principal objetivo do controle de dados é, portanto, permitir qualquer atividade iniciada a partir da Honeynet, mas impedir que esta cause danos. Uma opção é permitir todas as conexões entrantes, mas descartar todas as conexões iniciadas a partir da Honeynet. Contudo, isso reduz o nível de interação do intruso e facilita a identificação do ambiente. Uma alternativa implementada nas Honeynets da primeira geração é limitar o

18 9 número de conexões iniciadas na Honeynet. Embora isso aumente a interatividade, não diminui a chance de detecção. Uma segunda opção, utilizada nas Honeynets de segunda geração, é acrescentar uma segunda camada de segurança, um sistema de prevenção de intrusos IPS. Esse sistema tem a mesma capacidade de detectar ataques de um IDS, mas pode bloquear ataques quando são identificados, descartando os pacotes, alterando-os ou até mesmo inserindo regras de filtragem de pacotes na ponte. Entretanto, como esses sistemas são baseados em regras e assinaturas, um ataque desconhecido pode passar por mais essa camada de segurança. Portanto, mesmo que alguma atividade não seja detectada pelo IPS, deve-se garantir que toda a ação foi devidamente registrada pelo ambiente, pois identificando o padrão de ataque, há a possibilidade de disseminar a informação e criar os meios de proteger os outros sistemas Captura de dados Para ser eficaz na captura de dados, uma Honeynet deve dispor de métodos de captura. A princípio, somente a seqüência de teclas pressionadas parece suficiente para determinar as intenções do intruso no sistema, mas isso não é verdade. Se, por exemplo, um script for executado, não saberemos que modificações foram realizadas no sistema. Obter o script é, portanto, tão importante quanto registrar a seqüência de teclas. Logo, a captura de dados deve abranger diversas camadas do sistema. A primeira camada é a ponte transparente. O sistema de detecção de intrusos que identifica e bloqueia os pacotes suspeitos também escuta e grava cada pacote. Com esses registros podemos obter informações valiosas, tais como: contas, senhas e arquivos transferidos. Mesmo quando os protocolos são criptografados, podemos ao menos determinar qual o sistema usado pelo ofensor pela assinatura dos pacotes e possivelmente localizá-lo. A segunda camada são os logs do Firewall, que registram todas as conexões que atravessam a ponte. A primeira fornece detalhes importantes da atuação do intruso porque pode revelar quais foram os métodos usados contra o sistema, sua eficácia e motivo por qual falhou, especialmente em casos de scans e ataques de força bruta. Já as conexões de saída podem revelar o intuito do ofensor. Podendo ser que a máquina tenha sido invadida com o propósito de hospedar um servidor de s que enviará milhares de SPAMs por dia, ou então como um micro para um ataque de DDOS.

19 10 E por fim, registrar as teclas pressionadas pelo atacante. Embora essa pareça ser a mais simples das camadas, existe uma dificuldade: criptografia. Atualmente, protocolos criptografados são amplamente utilizados para acesso remoto. Mesmo quando esses serviços não estejam instalados em uma máquina comprometida, é comum que o intruso instale uma versão própria. Para superar essa dificuldade, as Honeynets contam com uma série de modificações para o kernel dos sistemas alvo, que permite registrar todas as atividades do intruso nessas máquinas, tais como teclas pressionadas e arquivos transferidos, mesmo quando protocolos criptografados são utilizados. Além disso, permitem que essas informações sejam transferidas pela Honeynet sem que o intruso note para serem armazenadas em uma máquina protegida Firewall O Firewall está a cada dia se tornando um recurso de rede altamente sofisticado na segurança. Firewall é uma barreira inteligente, um componente de contenção de fluxo de dados com importante papel, que faz a intercomunicação e a filtragem dos dados entre distintas redes. Um diferencial apresentado nesse trabalho é a tecnologia bridge, que tem a finalidade de tornar o Firewall transparente. Uma bridge existe fisicamente, mas não serve como gateway de saída da rede. Tornando assim, uma técnica que faz com que ele passe despercebido, ou seja, não detectável por um ataque externo, uma vez que não insere passo de rota e os pacotes que passam pela bridge não podem ser traçados. A figura 3 ilustra a topologia da ponte transparente na arquitetura Honeynet. Figura 3 Topologia Honeynet ilustrando a ponte transparente

20 11 A implementação de uma ponte transparente é um diferencial, o funcionamento inicial foi com o ARP desabilitado nas interfaces-membro, para evitar conflitos de IP com a interface administrativa Roteador O roteador nada mais é que uma peça chave que faz a interconexão e decide o caminho a seguir do pacotes, baseando-se nas suas configurações internas, utilizando protocolos de roteamentos que decidem, através de tabelas das rotas, os caminhos para onde serão enviados os pacotes. 2.2 Estrutura Honeypot do IFGW A Honeynet do IFGW iniciou suas instalações no primeiro semestre do ano de 2006 e com a utilização de apenas programas open source e equipamentos que não estavam em reais produções foram reativados. Inicialmente a Honeynet contou com somente um sistema alvo e hoje está sendo ampliado com esse trabalho através de sistemas com mais vulnerabilidades. Baseados na arquitetura das Honeynets de segunda geração. O Honeywall está sendo utilizado conectando os Honeypots à rede administrativa através de uma ponte transparente que é denominada if_bridg, onde o tráfego é controlado por um Firewall. Um sistema de detecção de intrusos baseado em rede, analisa a atividade de rede emitindo alertas e registrando todo o tráfego. O Honeywall é quem centraliza as funções de captura e controle de dados, utiliza o sistema operacional FreeBSD, versão 6.1. E utiliza os modos de interfaces a seguir: Interface interna: é a interface-membro da ponte transparente onde os Honeypots serão conectados. Interface externa: é a interface-membro da ponte transparente que será conectada à rede institucional. Interface administrativa: interface exclusiva para administração. O Firewall padrão do FreeBSD é denominado ipfw2 e faz a filtragem do tráfego da ponte transparente. O processo é feito em cada uma das interfaces-membro da ponte

21 12 transparente, o que torna possível utilizar regras distintas para o tráfego de entrada e para o tráfego de saída. E em resumo, as regras de filtragem consistem em: 1. Permitir o tráfego UDP proveniente do kernel modificado dos Honeypots. 2. Negar explicitamente e registrar todo o tráfego restante originado dos Honeypots. 3. Uma regra para cada protocolo, TCP, UDP ou ICMP, de entrada ou de saída, em cada uma das interfaces membro do bridge para cada um dos Honeypots. 4. Permitir DNS, MAIL, SSH, NTPDATE e RIP na interface administrativa. 5. Registrar em log todas as conexões pela ponte. Quando aplicável, o estado da conexão é mantido. A regra padrão é negar todo o tráfego que não satisfazer nenhuma das regras e Firewall inclusivo. E por fim o sistema de detecção e prevenção de intrusos que serve para monitorar a Honeynet, implementado através do snort_inline. O snort_inline é utilizado para o uso em Honeynets como sistema de detecção e prevenção de intrusos. O sistema de detecção é baseado em assinaturas e regras, mas existem plug-ins disponíveis que empregam heurística. A versão utilizada foi a snort_inline , disponível nos ports do sistema. 2.3 Os ataques e as ameaças Segundo Shirey, um ataque corresponde a um comprometimento em nível de sistema de segurança através de um ato inteligente ou deliberado, afetando serviços e violando a política de segurança de um sistema. As ameaças consistem em possíveis violações na segurança de um sistema real, tais ameaças podem ser caracterizadas principalmente por: Interrupções de serviços; Destruição de informações; Modificações de informações; Revelação de informações privadas; Roubos, perdas e remoções de informações diversas ou de outros recursos. Alguns dos principais ataques, que podem ocorrer em um ambiente real, ou seja, em um ambiente de comunicação constante de dados de informação são: Personificação (Masquerade): Uma entidade na qual faz passas por outra, ou seja, uma entidade que possui privilégios limitados pode se fingir de outra para a obtenção de privilégios extras. E é mais conhecida como spoofing.

22 13 Relay: Uma mensagem é interceptada e logo em seguida é transmitida para produzir um efeito não autorizado. Modificações: O conteúdo e a informações de uma mensagem é alterado sem que o sistema consiga detectar a alteração. Recusa ou Impedimento de Serviços: Acontece quando uma entidade não executa sua função apropriadamente ou atua de forma a impedir que outras entidades executem suas funções. O tipo de ataque, dessa linha é o DoS, ou ataque negativo de serviço. Ataques Internos: ocorrem quando usuários legítimos comportam-se de modo não autorizado ou não esperado. Armadilhas (Trapdor): acontece quando uma entidade do sistema é modificada para produzir efeitos não autorizados em respostas a um comando, no caso, emitido pela entidade que está atacando o sistema, ou a um evento, ou seqüência de eventos predeterminados. Cavalo de tróia (Trojan Horses): nesse ataque mundialmente conhecido, uma entidade executa funções não autorizadas, em adição às que estão autorizadas a executar. Um procedimento de login modificado, que, além de sua função normal de iniciar a sessão de trabalho dos usuários, grava suas senhas em um arquivo desprotegido. 2.4 Atrativos para ataques As vulnerabilidades são os maiores atrativos para os ataques, assim como os Bugs, problemas encontrados nos softwares, que também são soldados por invasores e os diversos administradores devem estar atentos e familiarizados com os ambientes em que estão trabalhando. Um cliente cheio de vulnerabilidades, com softwares desatualizados, Bugs e serviços sendo executados diariamente tornam-se um ótimo atrativo em potencial para os invasores. Os atrativos são extremamente importantes para um projeto Honeypot principalmente para chamar o invasor a visitar sua rede. Podemos chamar esses atrativos de Honeytokens e o termo foi definido por Prof. Augusto Paes de Barros no ano de No qual o objetivo dos Honeytokens é um chamariz para o atacante, palavras do autor. E depois aprimorado por Lance Spitzner, trazendo mais conhecimentos e conceitos.