Honeypot: Conceitos gerais e Implantação com software livre de baixa interatividade

Transcrição

1 Curso de Engenharia de Computação Honeypot: Conceitos gerais e Implantação com software livre de baixa interatividade Raphael Franco Gatti Itatiba São Paulo Brasil Dezembro de 2009

2 Curso de Engenharia de Computação Honeypot: Conceitos gerais e Implantação com software livre de baixa interatividade Raphael Franco Gatti Monografia apresentada à disciplina de Trabalho de Conclusão do Curso de Engenharia de Computação da Universidade São Francisco, sob a orientação do Professor. Ms. Carlos Eduardo Pagani, como exigência parcial para conclusão do curso de graduação. Orientador: Professor Mestre Carlos Eduardo Pagani Itatiba São Paulo Brasil Dezembro de 2009

3 Honeypot: Conceitos gerais e Implantação com software livre de baixa interatividade Raphael Franco Gatti Monografia defendida e aprovada em 10 de Dezembro de 2009 pela Banca Examinadora assim constituída: Prof. Ms. Carlos Eduardo Pagani (Orientador) USF Universidade São Francisco Itatiba SP. Prof. Dr. Alencar de Melo Júnior USF Universidade São Francisco Itatiba SP. Prof. Ms. Silvia Elisabeth Sauaia Lopes USF Universidade São Francisco Itatiba SP.

4 Dedico esta monografia aos meus pais, Valter e Telma pelo apoio e dedicação em todos esses anos de estudo e que sem eles jamais teria chegado até aqui. Aos meus irmãos, Lucas e Rafaela pela sua paciência. A minha namorada Adriana, que me deu força nas horas difíceis e que ainda se dispôs das horas que poderíamos estar juntos para que eu pudesse finalizar este projeto. E a todos que sempre me apoiaram.

5 .Agradecimentos Agradeço aos meus pais Valter Luiz Gatti e Telma Franco Gatti, pelo carinho, amor e pela educação dada tanto dentro de casa quando na vida escolar. Aos meus dois irmãos Lucas e Rafaela pela sua compreensão, amor, carinho e muita paciência. A minha namorada Adriana, pelo seu amor, pelo seu apoio durante os momentos difíceis e por me entender o quanto foi importante terminar mais esta etapa de minha vida. Aos meus amigos e colegas, que me deram apoio e companheirismo durante todo o curso. A todos os professores do curso de Engenharia de Computação da Universidade São Francisco, por compartilharem seus conhecimentos e pela sua contribuição na minha formação acadêmica, aonde aprendi a respeitar e a valorizar a cada dia do curso. Ao meu orientador, Carlos Eduardo Pagani, que acreditou em meu trabalho, pelo valioso, grandioso apoio e paciência dispensada ao longo deste trabalho. E a todos aqueles que, de algum modo, me ajudaram. v

6 Sumário Lista de Siglas... viii Lista de Figuras... ix Lista de Tabelas... x Resumo... xi Abstract... xi 1 INTRODUÇÃO Contextualização Motivação Objetivos Como surgiu o Honeypot Estrutura do texto CONCEITOS Vantagens e Desvantagens de Honeypots Tipos de Honeypots Classificação dos Honeypots Localização dos Honeypots Honeynets Controle de Dados Captura de Dados Análise de Dados Firewall IDS - Sistemas de Detecção de Intrusão Tipos de Detecção e Reação Tipos de Atacantes e Ameaças Riscos que um Honeypot poder trazer IMPLEMENTAÇÕES Estrutura do Honeypot na USF Honeyd HoneydSum Configuração do Honeypot na USF Coleta de Dados Análise e Resultados Obtidos DIFICULDADES ENCONTRADAS CONCLUSÃO Contribuições vi

7 5.2 Trabalhos futuros REFERÊNCIAS BIBLIOGRÁFICAS APÊNDICE A - Honeyd.conf vii

8 Lista de Siglas DHCP DMZ DNS DOS FTP HIDS HTML HTTP ICMP IDS IIS IP IPS NIDS POP SMTP SNMP SO SSH TCP TELNET UDP Dynamic Host Configuration Protocol Demilitarized Zone Domain Name System Disk Operating System File Transfer Protocol Host-Based Intrusion Detection System HyperText Markup Language Hyper Text Transfer Protocol Internet Control Message Protocol Intrusion Detection System Internet Information Services Internet Protocol Intrusion Prevention System Network Intrusion Detect System Post Office Protocol Simple Mail Transmission Protocol Simple Network Management Protocol Sistema Operacional Secure Shell Transmission Control Protocol Network Terminal Protocol User Datagrama Protocol viii

9 Lista de Figuras FIGURA 1: LOCALIZAÇÃO A FRENTE DO FIREWALL... 6 FIGURA 2: LOCALIZAÇÃO ATRÁS DO FIREWALL... 7 FIGURA 3: LOCALIZAÇÃO NA DMZ... 7 FIGURA 4: ARQUITETURA DE UM HONEYNET DE SEGUNDA GERAÇÃO... 9 FIGURA 5: LOCALIZAÇÃO DE UM FIREWALL NA REDE ADMINISTRATIVA FIGURA 6: POSICIONAMENTO DE IDS FIGURA 7: ARQUITETURA DA REDE DO HONEYPOT FIGURA 8: HONEYD SIMULA VÁRIOS HONEYPOTS AO MESMO TEMPO FIGURA 9: RECURSOS MAIS ACESSADOS FIGURA 10: RECURSOS MAIS ACESSADOS - GRÁFICO DA CERT.BR FIGURA 11: MEDIÇÃO DO TRÁFEGO NA REDE DA USF ix

10 Lista de Tabelas TABELA 1: NÍVEIS DE INTERATIVIDADE DOS HONEYPOTS... 6 TABELA 2: NÚMERO DE CONEXÕES POR PROTOCOLO TABELA 3: HORÁRIOS DE MEDIÇÕES DE TRÁFEGO x

11 Resumo Este trabalho apresenta os conceitos gerais de um Honeypot e suas funcionalidades na parte pratica e teórica. Nos dias atuais devemos nos preocupar mais com a segurança já que no dia a dia a conexão com a Internet é essencial para a comunicação pessoal e profissional. O Honeypot é um conceito que traz subsídios aos profissionais de segurança para a pratica de estudos e soluções de problemas que podem prejudicar a privacidade de uma rede. Este projeto teve por objetivo a implantação de ferramentas e testes de um Honeypot de baixa interatividade em software livre para análise de ataques. PALAVRAS-CHAVE: Segurança em redes, Honeypots, Honeynets. Abstract This paper presents the general concepts of a Honeypot and its features in the practical and theoretical. Nowadays we should be concerned more with security as the day to day Internet connection is essential for personal and professional communication. The Honeypot is a concept that brings benefits to security professionals for the practice of study and solve problems that can harm the privacy of a network. This project was aimed at the implementation of tools and tests of a low-interaction Honeypot free software to analyze attacks. KEY WORDS: Security in the networks, Honeypots, Honeynets. xi

12 1 INTRODUÇÃO Hoje com o aumento do uso da Internet cresce o número de ataques em sistemas de redes de Tecnologia da Informação, tornando-se uma preocupação para os administradores de redes que estão criando redes vulneráveis para entender os ataques e entender os invasores, com isso está sendo utilizado o sistema de segurança Honeypot. Segundo Spitzner (2003, apud Marcelo 2005) Um Honeypot é um sistema que possui falhas de segurança, reais ou virtuais, colocadas de maneira proposital, a fim de que seja invadido e o fruto dessa invasão possa ser estudado. O trabalho foi abordado em todos os aspectos relacionados a esta ferramenta de software livre, com conceitos, implantação e funcionamento de um Honeypot em um sistema de rede. 1.1 Contextualização Ao longo do tempo pode-se notar que todas as publicações feitas sobre o tema segurança em geral foca apenas na proteção dando o ar defensivo, com isso os profissionais de segurança criaram um método para aperfeiçoar as suas defesas tendo que obter informações mais precisas sobre os seus invasores. Este método é o Honeypot, que tem a finalidade de atrair os ataques e enganar os invasores deixando-os acreditar que estão no comando da situação. O Honeypot pode ser uma aplicação real, fora de uma rede com serviços reais ou podemos criar ou emular através de uma rede serviços falsos como: FTP, SMTP, POP3, TELNET, WEB, HTTP, SO, etc. Os principais pontos do uso do Honeypot envolvem: Sistema Detecção de intrusos na rede; Estudar o atacante (hacker) como a motivação e suas técnicas, antes e após uma invasão bem sucedida; Captura completa de todos os pacotes e assinaturas envolvendo um ataque; Utilização de diversas ferramentas com o objetivo de capturar informações relevantes. 1

13 Esta recente tecnologia com o conceito de Honeypot está em desenvolvimento e é um ponto positivo e um nível a mais em segurança. Pode ser definido segundo Spitzner: Um Honeypot é um recurso de rede cuja função é ser atacado e comprometido (invadido). (Spitzner, 2002). 1.2 Motivação Este trabalho foi realizado com o intuito de criar um sistema de monitoramento de Honeypot, para estudar, se aprimorar e futuramente criar novas ferramentas para impedir invasões, pois devido a amplitude da Internet o número de hackers cresce a cada dia, tornando os sistemas de informações cada vez mais vulneráveis. Este projeto também poderá contribuir para reflexão e discussão deste tema, bem como dos dados levantados, para novas pesquisas sobre o assunto. A rede implantada para estudo e realização deste projeto é uma aplicação de baixa interatividade localizada na USF Universidade São Francisco em Itatiba, que está sendo monitorada, tornando os estudos de intrusão real e seguro. 1.3 Objetivos O objetivo é estudar os conceitos e implementar um Honeypot, com atrativos para um ataque e com isso estudar e conhecer as formas, principalmente para detectar as atividades maliciosas na rede, conhecendo melhor o perfil dos invasores e mantendo-os afastados de sistemas importantes, entre outros. O intuito é criar idéias e soluções para problemas reais vivenciados dentro dessa área de redes e tecnologia. No caso de objetivos específicos, serão realizadas as seguintes metas: Estudar as ferramentas utilizadas na implantação do Honeypot de baixa interação; Conhecer a respeito de ataques; Detectar a intrusão e utilizar os dados coletados para gerar estatísticas de ataques; Analisar tráfego de rede com Honeypot ativo/desativado. 2

14 1.4 Como surgiu o Honeypot O Honeypot foi criado por Clifford Stoll em meados de 1988, que durante 10 meses estudou o hacker Hunter, realizou monitoração, rastreamento e as origens dos ataques, ficando conhecido por todos através da publicação dos artigos The Cucko s Egg que relatou a invasão no sistema do Lawrence Berkeley Laboratory. (Marcelo & Pitanga, 2003) O especialista Bill Cheswick também estudou e criou armadilhas durante meses para o hacker Berferd no Laboratório Bell do sistema da AT&T e publicou no artigo An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied. Em 1997 Fred Cohen criou o primeiro Honeypot chamado DTK (Deception Tookit) que era aberto e gratuito. No ano de 1999 foi criado o Honeynet Project, por Lance Spitzner em uma entidade criada por 50 especialistas que deu origem ao Honeyd, uma solução em software livre de Honeypot, este foi o ponto para gerar uma grande repercussão mundial e grande interesse para estudos e desenvolvimento de novas ferramentas de defesa. 1.5 Estrutura do texto Os capítulos estão organizados e divididos da seguinte forma: O primeiro capítulo já mostrado com a introdução. O capítulo 2 contém a parte conceitual necessária para o completo entendimento do que é um Honeypot e abordando também os itens como: Honeynets, tipos de ataques e ameaças, Firewalls, sistemas de detecção de intrusão. O capítulo 3 descreve a implantação da parte prática e do conhecimento adquirido no capítulo anterior e mostra o Honeypot ativo no ambiente construído no laboratório da USF com ferramentas de software livre com simulação de um sistema operacional. Em seguida é feita uma análise dos dados coletados e assim gerando estatísticas para a conclusão do projeto. O capítulo 4 mostra as dificuldades encontradas durante o projeto. Finalmente, no último capítulo, são feitas conclusões do trabalho com algumas contribuições e perspectivas para trabalhos futuros. 3

15 2 CONCEITOS Honeypot é um recurso computacional de rede com o intuito de sofrer ataque (o denominado hacker) e levantar informações relevantes sobre o atacante, bem como ferramentas e técnicas utilizadas. A palavra Honeypot teve origem ao termo pote de mel, na qual atrai os invasores e desvia a atenção do hacker. 2.1 Vantagens e Desvantagens de Honeypots Como o conceito do Honeypot é que não há um recurso de valor produtivo e os seus serviços não são críticos e nem reais, qualquer tráfego que entra e sai será considerado como suspeito ou malicioso sendo diferente de outros dispositivos de segurança onde se gera um volume de dados muito maior e nem sempre com valor significativo. Sendo assim o uso do Honeypot é mais aprimorado para a detecção, análise e formatação dos dados com informações mais precisas e com isso mais rápido e simples. Outra vantagem é de não haver nenhuma necessidade de um algoritmo complexo para se desenvolver e se manter uma base de assinaturas. Desta forma essa aplicação estará complementando a segurança da rede. Outro ponto forte é que, não se faz parte da produção e assim podendo ser retirado da rede a qualquer instante para uma análise dos dados ou até caso tenha sido danificado, pode ser recolocado sem haver algum tipo de prejuízo para o sistema de produção. No caso o Honeypot só é capaz de ver atividades que são direcionados especificamente para ele, assim não conseguirá determinar se está ocorrendo algum ataque em outra parte da rede. Devido a isso se deve ter dados de grande interesse para atrair e enganar um atacante, podendo capturar as informações valiosas a respeito do mesmo. Outra desvantagem não menos importante é por ser uma ferramenta que interage com o atacante, é algo extremamente arriscado ser for mal implantado. Caso o invasor perceba que está atacando um Honeypot ele pode simplesmente focar em outros pontos da rede da organização ou utilizar isso como uma plataforma para novos ataques, inclusive poderá ter acesso total ao ambiente e explorá-lo livremente, apagando os registros de suas ações. Com tudo isso a idéia é não impedir uma invasão como os sistemas de detecção de intrusão ou de Firewalls, mas sim de usar como auxílio na coleta de informações de acesso 4

16 não-autorizados e que deve ser utilizado como um complemento de segurança e não como uma ferramenta substituta. 2.2 Tipos de Honeypots Os Honeypots se dividem em dois tipos: Produção: este tem por objetivo proteger a organização e ao mesmo tempo diminuir os riscos da rede, pois ele simula uma rede produtiva e com isso auxilia na resposta de um ataque. Pesquisa: tem por objetivo acumular o maior número de informações possíveis sobre o atacante, colhendo dados mais precisos de tipos de ameaça que existem e de como combatê-las, porém tornando a rede mais vulnerável. 2.3 Classificação dos Honeypots O nível de interatividade do Honeypot é importante, pois este que vai definir a liberdade que o atacante vai ter na interação com o sistema. Existem dois tipos de interatividade: Baixa interatividade: este possui apenas alguns serviços falsos, ou seja, simula serviços, portanto o perigo é mínimo, como se limita os serviços também se limita à coleta de informações. Alta interatividade: este possui um verdadeiro sistema e permite um acesso total a máquina, permitindo coletar mais informações e acompanhar todos os passos do hacker, porém tendo um risco muito maior. A tabela 1 resume as principais características de cada tipo: (Hoepers & Jessen & Chaves, 2007). 5

17 Características Tabela 1: Níveis de interatividade dos honeypots Honeypot de baixa Honeypot de alta interatividade interatividade/honeynet Instalação fácil mais difícil Manutenção fácil trabalhosa Risco de comprometimento baixo alto Obtenção de informações limitada extensiva Necessidade de mecanismos de contenção não sim Atacante tem acesso ao S.O. real não (em teoria) sim Aplicações e serviços oferecidos emulados Reais Atacante pode comprometer o honeypot não (em teoria) sim 2.4 Localização dos Honeypots A localização do Honeypot pode ser realizada em qualquer local que tenha um servidor, porém deve ser levado em consideração que alguns locais são mais apropriados conforme a finalidade e política de segurança. O Honeypot pode ser colocado tanto para Internet ou para a intranet, conforme o serviço a ser oferecido. Ele pode ser posicionado em três lugares diferentes, conforme descreve (Marcelo & Pitanga, 2003): A frente de Firewall - Nesta localização o risco é menor, porém a quantidade de informações indesejáveis é muito maior, tal como portscans (sniffing de portas) e padrões de ataque. A grande desvantagem é a dificuldade de pegar intrusos na rede interna devido à grande quantidade de informações, como ilustra a figura 1: Figura 1: Localização a frente do Firewall 6

18 Atrás do Firewall - Nesta localização as políticas de segurança devem ser modificadas, para que o nível de segurança seja maior, devem ser feitas também alterações nas assinaturas do sistema de detecção de intrusos, para não ter alertas desnecessários. Esta localização tem uma grande vantagem, ela consegue identificar atacantes internos e identificar má configuração do Firewall, como ilustra a figura 2: Figura 2: Localização atrás do Firewall Na zona desmilitarizada (DMZ) - Esta localização tem o papel de evitar que o hacker fuja pela Internet, ao gateway de acesso ou para rede interna, porém deve se levar em consideração que as regras e assinaturas do sistema de detecção de intrusão devem estar bem definidas nesta área de defesa, como ilustra a figura 3: Figura 3: Localização na DMZ 7

19 2.5 Honeynets Uma evolução dos Honeypots seriam as Honeynets, onde é criada uma rede para ser comprometida e com múltiplos Honeypots juntamente com um Firewall. Isso começou em 1999, vindo de uma idéia de Lance Spitzner, um analista de segurança da Sun Microsystem, que conectou uma máquina Linux a Internet com a finalidade de que os invasores lhe mostrassem como era a exploração do sistema, bem como o modo que atacava e agia; infelizmente os resultados obtidos não foram satisfatórios. Depois disso Lance Spitzner continuou suas pesquisas e criou um ambiente estruturado onde foram desenvolvidos dois elementos decisivos para a sua manutenção bem sucedida de um Honeynet. Que são: contenção e captura de dados. Para conter e capturar dados dos invasores foi criado então o Honeynet que é um Honeypot de alta interatividade, em um ambiente real, onde nenhum serviço é emulado, que oferece ao atacante uma grande variedade de ações, com a intenção que o atacante tenha êxito em sua tarefa, mas todas as suas atividades vão ser capturadas e controladas sem o seu conhecimento. Possui também um mecanismo de controle para prevenir que seja utilizada como base de ataques contra outras redes. A Honeynets também é definida basicamente como uma ferramenta de pesquisa onde são redes de sistemas com ambiente real completo, com várias ferramentas de segurança como o Firewall, ferramentas de gerência, sistemas de detecção de intrusão, entre outros dispositivos, alem do próprio Honeypots, deixando o ambiente mais realista e com maior flexibilidade para a interação do atacante permitindo-lhe várias ações sem quaisquer restrições. (O Projeto Honeynet, 2002) Uma Honeynet está baseado em dois importantes requisitos como citados acima e que serão explicados logo a seguir. Com o decorrer do tempo, naturalmente foram surgindo evoluções de novas arquiteturas para implementação do Honeynet, estas evoluções são chamadas de Gerações. Sua arquitetura é composta por vários dispositivos, cada um com um papel específico dentro da rede. Nos modelos de arquitetura inicialmente propostos foram classificados como de primeira Geração, em seguida com novas funcionalidades levou para a segunda Geração. A alteração que se teve entre as duas Gerações foi à introdução de um dispositivo que lida ao mesmo tempo com os mecanismos de controle de dados e captura de dados chamados de Honeywall, ficou também mais fáceis de implantar e mais difíceis de serem detectados. A arquitetura de uma Honeynet está ilustrada na figura 4 (The Honeynet Project, 2006). 8

20 Figura 4: Arquitetura de um Honeynet de Segunda Geração O Honeywall é um mecanismo de administração com o foco no gerenciamento de rede e que trabalha na segunda camada de rede e que é o principal componente da arquitetura. Para se ter acesso ao Honeywall é através de uma interface administrativa via SSH, restrito pelo Firewall a um pequeno conjunto de computadores (The Honeynet Project, 2005). Somente será permitido o tráfego gerado pelo sistema de captura de dados dos Honeypots e o restante será negado e nenhum acesso externo é autorizado Controle de Dados Após um Honeypot ser comprometido, devemos tomar certas atitudes para que ele minimize a possibilidade do sistema ser usado para atacar outras redes fora da Honeynet. O principal objetivo do Controle de Dados é permitir que atividades sejam iniciadas a partir da Honeynet, mas garantindo que outros sistemas da rede não sejam afetados. O importante de um Honeynet é proporcionar a interação ao invasor e devido a isso é complicado definir um limite para esta interação, com isso o risco é aceitável, então por este 9

21 motivo que o Controle de Dados deve ser considerado de grande importância no planejamento da Honeynet. Uma das alternativas que foram implantadas é limitar o número de conexões iniciadas, isso aumenta a interatividade, mas também aumenta as chances de ser detectado. Outra alternativa usada é acrescentar uma segunda camada de segurança, um sistema de prevenção de intrusos IPS onde tem a mesma capacidade de detectar ataques de um IDS. Este pode descartar os pacotes, bloquear ataques quando são identificados e até mesmo inserindo regras de filtragem de pacotes, com isso, estes sistemas são baseados em regras e assinaturas padrões, onde um ataque desconhecido pode passar por mais essa camada de segurança. Se ainda assim não for detectada pelo IPS deve-se garantir que toda a ação foi devidamente registrada pelo ambiente, e com isso identificar o seu padrão de ataque possibilitando a distribuição desta informação e criar novos meios de proteger os outros sistemas Captura de Dados A captura de dados é uma atividade de monitoração e coleta de dados dentro do Honeynet para análise posterior. A princípio fazendo somente com uma única camada é muito arriscado e pode ocorrer falha como, por exemplo, só registrando a seqüência de teclas pressionadas poderemos perder mais detalhes do que foi realizado, se um script for executado. Para ser eficaz deve se dispor de métodos de captura, abrangendo diversas camadas como: A primeira camada é a ponte transparente. Serve para capturar e analisar os pacotes que trafegam na rede. Onde o sistema de detecção de intrusão IDS é usado para identificar e bloquear os pacotes suspeitos e também escutar e gravar cada pacote. Esses registros dos ataques podem obter informações valiosas, tais como: senhas, arquivos transferidos e contas. Devem ser armazenados de tal maneira que depois seja fácil a sua análise. Na segunda camada são os logs do Firewall. Onde são registradas todas as conexões que passam por ele. Todo o tráfego que entra e sai da rede do Honeynet é suspeito e é onde fornece detalhes importantes da atuação do intruso podendo revelar quais foram os métodos usados contra o sistema. Um problema 10

22 desta camada é que apenas o tráfego que passa pelo dispositivo é registrado e não as atividades dentro do Honeynet. Na terceira camada é captura das teclas. As capturas do pressionamento das teclas podem parecer simples, mas existe uma dificuldade na criptografia, pois mesmo que estes serviços não estejam instalados em uma máquina comprometida, é comum que o intruso instale uma versão própria. A maneira encontrada para superar esta dificuldade foi usando um patch no kernel dos sistemas ativos, assim permitindo registrar todas as atividades do intruso.um detalhe importante é que estas capturas não podem ser armazenadas no mesmo local do sistema comprometido e sim colocar em um sistema confiável e seguro sem que o atacante tenha acesso. A quarta camada é a Off-Line. Nesta camada é feita uma imagem do seu Honeypot antes de ser colocada em atividade, na qual quando for comprometido o sistema será feita uma comparação entre a imagem anterior com a imagem atual para identificar as modificações ocorridas Análise de Dados Na análise dos dados é onde ocorre o processo mais importante que é levantar as informações relevantes capturadas, porque é capturado um grande volume de informações sendo muitas sem relevância. Após levantar as informações estas são transformadas em úteis e de fácil compreensão para análise e pesquisa, mas para isso existem três tipos de camadas principais, conforme relatado no Projeto Honeynet (O Projeto Honeynet, 2002). Nesta primeira camada, os alertas do Firewall são de tempo real sobre as atividades realizadas pelo hacker e gerando uma quantidade muito grande de informações, mas neste caso como é um Honeynet não se gera muito, já que não é um sistema de produção. Na parte do IDS também são geradas informações onde o aconselhável é manter tudo em um arquivo com os IP e os registros de ataques manifestados, para que possa depois definir quais foram as reais intenções e enfatizar a segurança na rede administrativa. 11

23 Na segunda camada, o IDS tem uma grande importância nas capturas de informações como os alertas gerados, o tráfego gerado na rede armazenado em um arquivo binário e os históricos de acionamento de teclas feitos pelo hacker da sessão ASCII (American Standard Code for Information Interchange) sendo uma carga útil do pacote. Na terceira e última camada, é onde se possui todos os logs do sistema e nos diz quais foram as atividades realizadas no mesmo. Tem uma grande importância para uma análise do comportamento e procedimentos feitos pelos hackers dentro da Honeynet. 2.6 Firewall O Firewall surgiu para dar mais segurança ao tráfego de informações que ocorre na rede, ele permite controlar o que entra e sai na rede interna. A sua funcionalidade é como uma porta de fogo, na qual isola o fogo impedindo que se alastre em caso de incêndio. Firewall é uma combinação de hardware e software que isola a rede interna de uma organização da Internet em geral, permitindo que alguns pacotes passem e bloqueiem outros. Um Firewall permite que um administrador de rede controle o acesso entre o mundo externo e os recursos da rede que administra gerenciando o fluxo de tráfego de e para esses recursos (Kurose & Ross, 2006). É sugerido que os Firewall devem estar sempre presentes em servidores e estações de trabalho. Abaixo na figura 5 mostra a posição do Firewall na rede administrativa. Figura 5: Localização de um Firewall na rede administrativa 12

24 2.7 IDS - Sistemas de Detecção de Intrusão O IDS é uma tecnologia que iniciou na década de 80 e foi produzindo uma grande variedade de estratégias de soluções fazendo com que venha sendo usada cada vez mais para detecção de ataques diversos. A idéia do IDS (Intrusion Detection Systems Sistemas de Detecção de Intrusão) é diferente com relação ao Firewall e que um serve como complemento do outro deixando a política de segurança mais confiável. No escopo do Firewall a sua localização é na margem da rede, onde a conexão está entre uma rede e outra, enquanto no IDS deve ficar acoplado dentro da rede para enxergar todos os pacotes que trafegam no meio. Outro fator interessante que o Firewall busca evitar ataques e no IDS tem como base que haverá algum tipo de ataque que ira burlar o Firewall e deve detectar esta intrusão e agir conforme as configurações e emitir o alarme. Um IDS é um sistema de segurança que monitora informações em busca de anomalias ou uso inadequado, com o intuito de proteger, gerando alarmes e informando sobre as ações que estão violando as políticas de uma organização. (Marcelo & Pitanga, 2003). O IDS tem as seguintes metas: Identificação: Identificar as atividades mal intencionadas. Atribuição de responsabilidade: identifica os responsáveis pelas ocorrências de eventos e atividades. Resposta: Cria ações para comunicar usuários do ataque e limitar recursos para bloquear ataques. Podem ocorrer problemas se acaso o IDS for configurado errado como: Falso Positivo: O sistema acusa uma intrusão, porém é apenas uma situação diferente das até então encontradas. Este tipo de problema acaba gerando custos desnecessários e compromete a confiabilidade do sistema. Falso Negativo: Neste caso o sistema não detecta a invasão, ele é percebido como ocorrência normal e o ataque deixa de ser identificado. 13

25 2.7.1 Tipos de Detecção e Reação Existem diversos mecanismos de detecção de intrusão, conforme abaixo: Anomalia: Neste método ele mapea as atividades e tráfego da rede durante um tempo informando tudo que é padrão, tudo que foge deste padrão é gerado um alerta, neste método a rede deve ser bem definida. Segundo Marcelo e Pitanga neste método existem vantagens e desvantagens: -Vantagens: Este sistema identifica todo o comportamento não comum à sua estrutura e é capaz de detectar sintomas de um ataque sem necessariamente conhecer os detalhes. Os detectores de anomalias produzem informações que podem ser usadas para definição de assinaturas de ataques. -Desvantagens: Este método produz um grande número de alarmes falsos devido a comportamentos imprevisíveis de usuários e das redes. É extremamente cansativo criar uma tabela comparativa entre tráfegos comuns e anormais. Assinaturas: Este método é baseado nas assinaturas de ataques que ficam armazenados na base de dados e estes são comparados com os dados coletados na rede, se estes dados baterem gera um alarme; este método deve estar em constante atualização, para assim buscar as invasões mais modernas. Este procedimento é muito preciso e dificilmente gera alarmes falsos, a vulnerabilidade deste método depende da constituição da base de dados de assinaturas e da exploração de falhas. Após ser detectada a intrusão o IDS pode reagir de duas formas: Passiva: Neste caso a reação do IDS é gerar alarmes, traps SNMP e logs mandando alertas ao administrador para que ele tome providências quanto ao ataque. Ativa: Na reação ativa o IDS é atacar o invasor, é um tanto perigosa este tipo de reação devido aos falsos positivos, que pode causar uma negação de serviço na 14