HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Transcrição

1 HoneyPot e HoneyNet Reginaldo Campos Segurança em Redes de Computadores

2 Motivação Para se defender do inimigo, primeiro é preciso conhecê-lo, ou seja, conhecer seus métodos de ataque, suas ferramentas, táticas e objetivos.

3 Motivações para um ataque Ganhos financeiros; i Vingança; Necessidade de aceitação ou respeito; Idealismo; Curiosidade ou busca de emoção; Anarquia; Aprendizado; Ignorância;

4 Entidades d mais vulneráveis Instituições financeiras e bancos; Provedores de Internet; Companhias farmacêuticas; Governo e agências de defesa; Empresas multinacionais;

5 Problemas de configuração dos sistemas Configurações default; Programas vulneráveis; Atalhos administrativos; Relacionamento de confiança; Verificação de senha; Uso de Sniffers em redes desprotegidas; Computadores remotos desprotegidos

6 Mudança do paradigma de segurança Aumento e sofisticação dos incidentes de segurança; Dificuldade d de se detectar novas formas de ataques; Necessidade d de se conhecer o perfil do invasor; HoneyPot é uma alternativa ao uso de firewall e IDS;

7 HoneyPot São recursos computacionais dedicados a serem sondados, atacados ou comprometidos; O ambiente deve permitir o registro e controle dessas atividades;

8 HoneyPot Honeypot é um único sistema conectado a uma rede de produção. O Honeypot pode ser uma máquina emulada ou uma máquina real na rede; Oferece falhas facilmente exploráveis para encorajar hackers a desperdiçarem di seu tempo explorando essa rede fictícia.

9 Objetivos do HoneyPot Detectar atividades maliciosas na rede; Um honeypot pode servir para dois propósitos: Atrair um hacker para uma área longe dos dados importantes e isolá-los; Estudar os métodos e técnicas de um hacker, para se defender deles;

10 Objetivos do HoneyPot Coleta de códigos maliciosos i Identificar varreduras e ataques Acompanhamento das vulnerabilidades Descobrir as motivações dos atacantes Auxílio aos sistemas de detecção de intrusão Manter atacantes afastados de sistemas importantes

11 Tipos de HoneyPots Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores. Honeypot de pesquisa: Servem para monitorar e estudar o p comportamento dos atacantes.

12 HoneyPot na rede de Produção

13 Vantagens do HoneyPot Como Honeypot é isolado, o fluxo de informações para análise é pequeno comparado com a uma rede de produção; Acaba com os falsos alertas gerados pelos sistemas de detecção de intrusos; Firewall e IDS não são sobrecarregados com grande tráfego; Exigência de recursos mínimos; Captura tráfego criptografado; Descoberta de novas ferramentas e táticas dos hackers;

14 Desvantagem do HoneyPot Visão limitada de tráfego; Risco de ser invadido e utilizado para prejudicar outros sistemas; Ausência de tráfego implica em gastos sem retorno, já que nada foi monitorado;

15 Níveis de interação Nível de atividade que o honeypot permite ao atacante: Honeypots de baixa interação Honeypots de alta interação

16 HoneyPots de baixa interação Apenas emulam serviços e sistemas operacionais; Fácil instalação; Riscos mínimos; Quantias de capturas de informações limitadas; Fácil descoberta por hackers qualificados;

17 HoneyPots de alta interação Sistemas operacionais e serviços reais; Permite capturar mais informações; Instalação mais complexa; Risco maior; Os honeypots de produção normalmente têm um nível baixo de interação, e de pesquisas têm um alto nível.

18 Níveis de Interação Baixa Interatividade ti id de Alta Interatividade ti id de Emulam sistemas e serviços Executam as versões reais Simples. Fácil gerenciamento Atacante não tem controle Ações limitadas, captura de tráfego Difíceis de iludir atacantes avançados/determinados Cuidados na instalação e configuração. Controle total Captura de mais informações, incluindo ferramentas e comandos Difícil de distinguir de um sistema de produção

19 Localização de um HoneyPot Em frente ao firewall Atrás do firewall (Intranet) DMZ (Demilitarized Zone)

20 HoneyPot na DMZ

21 Legalidade d do HoneyPot Necessário considerar três pontos: Armadilha; Privacidade; Responsabilidade; >>

22 Armadilha Coagir ou induzir alguém a fazer algo que normalmente não faria; Instigar a prática de um delito; Pode acarretar processo judicial.

23 Pontos de reflexão Honeypot não induz ninguém, até porque muitas vezes é emulação do sistema de produção da empresa; Os ataques são por iniciativa do invasor; Os honeypots não estão sendo usados para processar ninguém, e sim como meio para novas descobertas. Volta

24 Pi Privacidadeid d O sistema que o atacante está usando não pertence a ele; A monitoração realizada no sistema não pode caracterizar quebra de privacidade; id d Volta

25 Responsabilidade d Se o honeypot for comprometido e utilizado para prejudicar outras redes pode acarretar processo civil; Volta

26 Honeynet Não é um sistema único; Constitui-se de uma rede de sistemas e aplicativos múltiplos; l A rede é projetada para ser comprometida e observada;

27 Histórico i das Honeynets Honeynet Project (1999) Grupo de pesquisadores e profissionais da área de segurança; Objetivo: revelar ferramentas, táticas e motivações dos invasores The Honeynet Project (2002) Aprender com os atacantes Ambiente para capturar os dados Ferramenta de pesquisa

28 Histórico i das Honeynets

29 Histórico i das Honeynets Honeynet Research Alliance (2002) Instituições envolvidas com pesquisa de honeynets Honeynet.BR (2002) Atividades maliciosas na Internet brasileira

30 Características ti das Honeynets É uma rede altamente t controlada onde todo pacote que entra ou deixa a honeynet é monitorado, capturado, e analisado. Qualquer tráfego que entra ou deixa a Honeynet é suspeito por natureza. Honeynet é um tipo de honeypot de alta interação, utilizada principalmente para pesquisa.

31 Exemplos de Honeynet É criado um ambiente que reflete uma rede de produção real; Nada é feito para tornar os sistemas inseguros;

32 Exemplo de Honeynet

33 Objetivos da Honeynet Conhecer o inimigo i i (Blackhats), suas ferramentas, suas táticas e suas motivações; Coletar dados e analisar ferramentas para aperfeiçoamento de sistemas de detecção de intrusão; Controle das ações intrusivas;

34 Componentes de uma honeynet Formada por diversos elementos, que podem ser divididos em: Componentes alvos: são os honeypots; Componentes de interconexão e contenção de fluxo; Componentes de captura, armazenamento e análise; >>

35 Componentes de Interconexão e contenção de fluxo Roteador Componente de interconexão e tem por função decidir qual o caminho que os pacotes que lhe são enviados deverão seguir Firewall Componente de contenção de fluxo de dados que separa, restringe e analisa datagramas IP que passam por ele. Volta

36 Componentes de captura, armazenamento e análise Sistemas de Detecção de Intrusão (IDS) Componente de captura e análise de fluxo de dados, auxiliando na monitoração do tráfego da rede. Logserver Componente de armazenamento, onde os registros possuem informações sobre os eventos ocorridos, possibilitando verificação ou análise.

37 Importância dos logs Fornecem uma visão das atividades id d que estão ocorrendo nos sistemas; Podem fornecer dados para análises de detecção de problemas ou falhas de segurança nos sistemas; Podem ser utilizados como evidências de um incidente de segurança.

38 Logservers Volta

39 Funcionamento de uma Honeynet Tornar a rede ativa: Criar contas de usuários; Enviar s entre eles; Forjar documentos em alguns diretórios; Utilizar FTP ou TELNET; Utilizar alguns comandos que serão Utilizar alguns comandos que serão armazenados em histórico

40 Controle de dadosd O fluxo de tráfego deve ser controlado; O controle de acesso é obtido com a utilização firewall invisível; Necessário definir que qualquer conexão da Internet para a honeynet é autorizada; Que toda conexão de um honeypot para Internet é controlada; A honeynet e a rede administrativa não possuem nenhum tipo de comunicação direta.

41 Controle de dadosd Quanto mais atividade id d permitir, maior é o risco e também o potencial de aprender; Não limitar as conexões em casos de ataques a outros sistemas (os invasores poderão desconfiar); Deve conter um sistema antispoofing (evitar DoS); Podemos utilizar um roteador fixado entre o Firewall e a Honeynet

42 Captura de dadosd Todas as atividades dos atacantes na honeynet devem ser registradas e capturadas para posterior análise; O d d t d ã d Os dados capturados não devem ser armazenados localmente;

43 Camada de controle de acesso Monitorar atividades id d na honeynet (firewall ou roteador); O firewall poderá estar realizando: Envio de de alerta para os administradores; Armazenar informações sobre varreduras em banco de dados e confrontar com logs do IDS Somente registra tráfego que passa por ele;

44 Análise de dadosd Transformação das informações capturadas em dados úteis Logs de Firewall: Configurado para enviar s de alertas, diminuindo o trabalho do processo de coleta de dados; Um alerta pode direcionar a análise mais detalhada no tráfego que o IDS capturou. Manter arquivados endereços IP e atividades em um ataque;

45 Análise da dadosd Análise do IDS: Alertas também armazenados em banco de dados; IDS relata o que o invasor está executando; Captura de dados em camada; Caso o atacante não utilize criptografia, a análise do arquivo de log ASC II pode ser útil; Comunicações entre os atacantes através do IRC (informações valiosas)

46 Análise da dadosd Logs de sistema: Identifcam as assinaturas dos ataques; Registram o caminho do invasor; Reinicializações realizadas; Os logs geralmente são apagados pelo atacante (comparar o que foi armazenado remotamente no servidor e na honeynet)

47 Tipos de Honeynets Clássica Virtual

48 Honeynet Clássica Clássica: Composta por sistemas reais (físicos); Instalações específicas; Sistemas operacionais variados e independentes;

49 Honeynet Clássica

50 Honeynet Clássica Vantagens: Dispositivos reais; Mais segurança pela descentralização dos honeypots; Desvantagens: Custo elevado; Dificuldades na instalação ação e administração; ação; Complexidade para manutenção; Espaço alocado muito grande;

51 Honeynet Virtual Composta por Honeypots virtuais (máquinas virtuais); Uso de emuladores; Todo ambiente composto por uma única máquina (sistemas operacionais emulados);

52 Honeynet Virtual

53 Honeynet Virtual Vantagens: Custo reduzido; Gerenciamento facilitado; Facilidade na instalação e administração; Menor gasto de energia elétrica, devido à menor quantidade de máquinas utilizadas Desvantagens: Limitação nos tipos de sistemas operacionais oferecidos pelos softwares de virtualização; Possibilidade de comprometimento do software de virtualização; Instabilidade pelo uso exaustivo de memória

54 Honeypots Comerciais i KFSensor (Honeypot real); Specter (Honeypot emulado); BackOfficer Friendly (Honeypot free); HoneyID;

55 KFSensor Requisitos de Sistema Win NT, 2K, XP, 2003 Server; Processador 1.5 Ghz; 500 Mb hard disk space; 512 Mb RAM;

56 KFSensor

57 Custo do KFSensor Software + uma licença = US$ 990,00 Custo por licença = US$ 349,00 Volta

58 Specter É instalado em um único equipamento; Pode emular até 14 Sistemas Operacionais diferentes;

59 Sistemas Emulados Windows 98 Windows NT Windows 2000 Windows XP Linux Solaris Tru64 (former Digital Unix) NeXTStep Irix Unisys Unix AIX MacOS MacOS X FreeBSD

60 Specter Requisitos de Sistema Win 2000 SP2 ou Win XP SP1 Processador 1.7 Ghz 512 Mb RAM

61

62 Custo do Specter Software + uma licença = US$899,00; Custo por licença = US$ 399,00; Volta

63 BackOfficer Friendly Programa Windows; Emula serviços básicos de rede: (Telnet, FTP, SMTP, POP3); Gera respostas falsificadas; Bloqueio do ataque; Monitora somente sete portas por vez; Volta

64 HoneyID Sistemas Unix; Emula vários sistemas operacionais; Pode assumir identidade d de um IP que não esteja sendo utilizado; Pode monitorar todas as portas baseadas em UDP e TCP; Grande facilidade de configuração; OpenSource (permite alteração no código fonte) Volta

65 Atividades id d para os alunos Pesquisar sobre projetos de honeynets: