Manual. Honeypots e honeynets

Transcrição

1 Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor, ou melhor, uma iguaria para um hacker. Um honeypot é um recurso de rede cuja função é de ser atacado e comprometido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido, Se compararmos com os IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão), um honeypot tem a vantagem de não criar falsos alertas quando detecta tráfego suspeito. Assim, o sistema regista cada byte que passa na rede de e para o honeypot.depois da recolha é mais fácil desenhar o perfil de um ataque e do próprio atacante (sistema informático utilizado; endereço IP/localização; modo de operar). Categorias Produção - Elemento de distracção ou dispersão, é usado para ajudar a migrar o risco dentro de uma organização. Pesquisa - Acumular o máximo de informações dos atacantes e suas ferramentas. Recursos - Um honeypot é um recurso que pretende ser comprometido, o tráfego relacionado com um honeypot representa actividade não autorizada. Normalmente a quantidade de logs gerados é razoavelmente baixo, pois a máquina em questão não inclui sistemas/aplicações de produção. Tornando a análise dos dados muito mais simples. É possível especificar uma gama de endereços IP na rede em questão e configurar um daemon associado ao honeypot que responde, por exemplo ao comando Ping. A máquina comporta-se como se esse endereço IP existisse em rede. Um utilizador autorizado sabe que tal sistema não existe na sua rede; ou de outra forma, as aplicações instaladas na máquina não possuem qualquer configuração de rede associada a tal IP. Níveis de Honeypots Honeypot de reduzido envolvimento É um honeypot de baixa interactividade, são instaladas ferramentas para emular sistemas operativos e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operativo real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. O tráfego pode ser facilmente reconhecido e armazenado, não existe um verdadeiro sistema operativo ao dispor do intruso o que minimiza o risco de forma significativa porque a complexidade do sistema operativo é eliminada. Pode ser uma desvantagem pois não será possível observar o invasor a interagir com o sistema operativo, são apenas utilizados para produzir logs e alertas, se os pacotes de entrada coincidirem com determinados padrões. Honeypot de médio envolvimento - O intruso é iludido por um falso sistema operativo e tem maiores possibilidades para interagir e testar o sistema alvo, são mais elaborados e

2 manifestam um comportamento/conhecimento mais profundo dos serviços que disponibilizam ao mesmo tempo aumentando o risco, proporciona um maior nível de interacção, mas continua a não revelar o verdadeiro sistema operativo subjacente, a probabilidade de um hacker encontrar um buraco na segurança ou vulnerabilidade do honeypot aumenta com a complexidade do próprio, devido a um maior nível de interacção, são possíveis ataques com recurso a técnicas mais complexas, podendo portanto ser registados em logs e analisados. Honeypot de elevado envolvimento - Nos honeypots de alto envolvimento os atacantes interagem com sistemas operativos, aplicações e serviços reais, o invasor tem que comprometer o sistema para conseguir este ter privilégios de root e poderá fazer tudo o que quiser no sistema invadido que deixa de ser seguro, incluindo a totalidade da máquina. Este facto será de menor importância, se considerarmos um único sistema físico como suporte de múltiplos sistemas virtuais. Honeynet Uma Honeynet é uma ferramenta de pesquisa, que consiste numa rede projectada especificamente para ser comprometida, e que contém mecanismos de controlo para prevenir que seja utilizada como base de ataques contra outras rede, normalmente contém um segmento de rede com honeypots e firewalls de diversos sistemas operativos e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controlo, além de sistemas para captura e recolha de dados, para geração de alertas. Honeypot simples Honeynet

3 Numa honeynet os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de recolha de informações, são físicos. Para exemplificar, uma honeynet real pode ser composta pelos seguintes dispositivos: Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operativo, aplicações e serviços reais instalados; Um computador com um firewall instalado, actuando como mecanismo de contenção e de recolha de dados; Um computador com um IDS instalado, actuando como mecanismo de geração de alertas e de recolha de dados; Um computador actuando como repositor dos dados colhidos As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais. As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado. Honeynet virtual Uma honeynet virtual baseia-se na ideia de ter todos os componentes de uma honeynet implementados num número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operativo instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) ou o UML (User Mode Linux). Os softwares de virtualização permitem executar diversos sistemas operativos com aplicações e serviços instalados, ao mesmo tempo. As vantagens das honeynets virtuais são: manutenção mais simples; necessidade de menor espaço físico para os equipamentos, e custo final tende a ser mais baixo. As principais desvantagens são: alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados num único ponto); o software de virtualização pode limitar o hardware e sistemas operativos utilizados; o

4 atacante pode obter acesso a outras partes do sistema, pois tudo partilha os recursos de um mesmo dispositivo (no caso da categoria de auto-contenção), e possibilidade do atacante descobrir que está a interagir com um ambiente virtual. Topologias de rede e honeypots Se a preocupação principal for a Internet, o honeypot poderá ser colocado em dois locais: antes da firewall (Internet) na Demilitarized Zone: um segmento de rede que só é parcialmente acessível da Internet atrás da firewall (intranet) Ao colocar o honeypot frente a uma firewall (honeypot 1), o risco para a rede interna não é acrescido: o perigo de ter um sistema comprometido atrás da firewall é eliminado. Um honeypot irá necessariamente atrair e gerar uma quantidade apreciável de tráfego indesejado, tal como portscans (sniffing de portas) e padrões de ataque. Colocando um honeypot na zona exposta de uma firewall, tais eventos não serão registados por esta, não se produzirão quaisquer alertas e um possível sistema IDS também não irá gerar qualquer tipo de aviso.este cenário não constitui ameaça para a rede interna não introduzindo portanto novos factores de risco. A desvantagem de colocar o honeypot em frente à firewall é a dificuldade de localizar e apanhar intrusos na rede interna, especialmente se a firewall limitar o tráfego outbound, limitando portanto o tráfego para o honeypot. Colocar o honeypot dentro de uma DMZ (honeypot 2) parece ser uma boa solução, desde que outros sistemas dentro da DMZ possam ser protegidos contra o honeypot. As maiorias das DMZs não são totalmente acessíveis pois só os serviços necessários poderão atravessar a firewall. Neste caso, é aconselhável colocar o honeypot na zona pública da firewall, já que abrir todas as portas correspondentes na firewall consome tempo e introduz riscos.

5 Colocar um honeypot atrás de uma firewall (honeypot 3) pode criar novos riscos para a segurança, especialmente se a rede interna não estiver protegida contra o honeypot através de firewalls adicionais. Este cenário pode constituir um problema especial se os endereços IP forem usados para efeitos de autenticação. Ao colocar o honeypot atrás de uma firewall teremos ajustar as políticas de segurança desta, se o acesso a partir da Internet for permitido. O maior problema surge quando o honeypot interno é comprometido por acção de um atacante: este adquire a possibilidade de aceder à rede interna. O tráfego não é bloqueado pela firewall pois é interpretado como tráfego para o honeypot apenas, que por sua vez o concede. Com um honeypot interno é também possível detectar uma firewall mal configurada, que encaminha tráfego indesejado da Internet para a rede interna. A principal razão para colocar um honeypot atrás de uma firewall deveria ser a detecção de ataques internos. a melhor solução seria dispor de um honeypot na sua própria DMZ, com uma firewall preliminar: a firewall poderia ser ligada directamente à Internet ou à intranet, dependendo do objectivo. Esta abordagem permite um controlo apertado bem como um ambiente flexível com segurança máxima. Recolha de informação baseada em hosts Os mecanismos de recolha de informação podem ser basicamente agrupados em duas categorias: Componentes que geram streams de informação (todas as teclas digitadas por um hacker no honeypot) Componentes que oferecem ao administrador a possibilidade de pesquisa/escolha e recolha de informação sobre um determinado estado do sistema honeypot (utilização do processador, ou a lista dos processos em execução). Quando não são utilizados sistemas virtuais, existe sempre o perigo de um atacante descobrir alterações no sistema. Poderemos circunscrever essas alterações ou até fazer uma utilização abusiva das mesmas Uma das maneiras de utilizar abusivamente será o flooding de um mecanismo de logging até que este se recuse a funcionar normalmente).

6 É mais seguro armazenar a informação sobre um agressor num lugar remoto (seguro significa que o visado não tem acesso). Obviamente, o agressor ainda tem a possibilidade de gerar falsos logs (ou interromper o processo de registo) se descobrir o mecanismo de logging, mas não será certamente capaz de apagar eventos se a informação já não estiver presente no honeypot. O armazenamento contínuo de dados em locais remotos pode ser feito localmente com recurso a ligações série, paralela, USB, Firewire; ou por interface de rede. O sistema de recolha de informações baseado em host está, como vimos, no próprio host sendo assim vulnerável à detecção e uma vez detectado poderá ser inibido. O método de recolha de informações baseado na rede não tem de estar sediado no próprio host Este método é mais seguro, mais difícil de detectar e praticamente impossível de interromper. Alguns dados poderão ser recolhidos pela firewall preliminar.

7 Podemos configurá-la para que certos pacotes, ou todos, possam ser registados. Com a ajuda de um IDS, a detecção de tráfego suspeito é mais fácil. Alguns protocolos, como o Telnet, FTP, SMTP ou pedidos DNS, podem ser descodificados e registados em texto corrente, o que simplifica bastante a sua pesquisa/investigação. Ligações encriptadas As ligações encriptadas são consideradas seguras e foram introduzidas para impedir a possibilidade de interceptar e farejar (sniffing) tráfego de rede. Usando ligações encriptadas ainda é possível escutar e registar o tráfego, mas deixa de fazer muito sentido já que os pacotes encriptados impedem a sua interpretação. Para resolver o problema das ligações encriptadas, existem várias abordagens: Ataque Man in-the-middle Desencriptação Brute Force Daemons sshd modificados kernel personalizado Fim Luís Silva nº11

8