HoneyPots-Um Projeto Pró-ativo em Segurança de Redes



Documentos relacionados
Projeto Honeypots Distribuídos. Antonio Montes - CenPRA/MCT Klaus Steding-Jessen NBSO/CGIbr Cristine Hoepers NBSO/CGIbr

Honeypots Conhecendo o inimigo

CERT.br Apresentação e Atuação

O Perfil da Segurança na Internet Através da Análise das Estatísticas do Consórcio Brasileiro de Honeypots

SERVIDORES REDES E SR1

Implementação de uma Rede de Honeypots Distribuídos Utilizando OpenBSD e Ferramentas de Software Livre

Manual. Honeypots e honeynets

Ferramenta de. Humberto Sartini

Catálogo de Serviços Tecnologia da Informação

Serviço de Segurança de Middlewares

Diagrama lógico da rede da empresa Fácil Credito

Sistemas de Detecção de Intrusão

Máquinas Virtuais: Windows 2008 Server

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de

SEGURANÇA EM REDES: HONEYPOTS E HONEYNETS

Uso de Honeypots de Baixa Interatividade na Resposta a Incidentes de Segurança

IDS. Honeypots, honeynets e honeytokens.

NORMAS PARA O USO DE SISTEMA DE PROTEÇÃO FIREWALL DE PERÍMETRO NO ÂMBITO DA REDE INFOVIA-MT

Segurança da Internet no Brasil e Atuação do CERT.br Cristine Hoepers

Segurança da Informação

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Resolução de Problemas de Rede. Disciplina: Suporte Remoto Prof. Etelvira Leite

Redes de Computadores II

Luiz Otávio Duarte 1 André Ricardo Abed Grégio 1 Antonio Montes 1,2 Adriano Mauro Cansian 3

SUMÁRIO. Cercando a instituição. 1 Perfil... 7 O que é perfil?... 8 Por que o perfil é necessário?... 9

REDES DE COMPUTADORES HISTÓRICO E CONCEITOS

Conceitos Básicos de Rede. Um manual para empresas com até 75 computadores

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO:

MÓDULO I - INTERNET APRESENTAÇÃO DO CURSO. Prof. BRUNO GUILHEN. Prof. BRUNO GUILHEN. O processo de Navegação na Internet. Aula 01

Network Top: Uma Ferramenta Automatizada para Análise e Gerenciamento de Redes

REDES DE COMPUTADORES

Disciplina: Redes de Comunicação. Curso Profissional Técnico de Gestão e Programação de Sistemas Informáticos. Setembro 2013

O que se tem, na prática, é a utilização do protocolo TCP/IP na esmagadora maioria das redes. Sendo a sua adoção cada vez maior.

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Humberto Sartini

1. Explicando Roteamento um exemplo prático. Através da análise de uns exemplos simples será possível compreender como o roteamento funciona.

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

EA080- Laboratório de Redes de Computadores Laboratório 2 Virtualização (Relatório Individual) Prof. Responsável: Mauricio Ferreira Magalhães

Sistemas Operacionais

ITIL v3 - Operação de Serviço - Parte 1

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Este artigo abaixo foi produzido originalmente para a Network Core Wiki. Reproduzo-a aqui na íntegra. Publicado originalmente em 07/12/2007.

Redes de Computadores. 1 Questões de múltipla escolha. TE090 - Prof. Pedroso. 17 de junho de 2015

8 Threads. 8.1 Introdução

Firewall. Alunos: Hélio Cândido Andersson Sales

Políticas de Segurança de Sistemas

Conceito de Rede e seus Elementos. Prof. Marciano dos Santos Dionizio

Firewalls. Firewalls

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

Manual do Desktop Sharing. Brad Hards Tradução: Marcus Gama

Disciplina de Redes de Computadores Estudo Dirigido para a Prova II Professor Dr Windson Viana de Carvalho

UNIVERSIDADE FEDERAL DE PELOTAS

TERMINAIS LEVES COM LTSP (LINUX TERMINAL SERVER PROJECT) Lucas Queiroz Braga ¹, Hermes Nunes Pereira Júnior ²

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper

Generated by Foxit PDF Creator Foxit Software For evaluation only. Capitulo 1

Segurança em Redes. <Nome> <Instituição> < >

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Capítulo 3 Projeto de Arquitetura

Honeypots e Honeynets: as vantagens de conhecer o inimigo

Introdução a Computação

Identificação e análise de tráfego malicioso através do uso de honeypots

Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo.

Segurança na Internet

Segurança em computadores e em redes de computadores

PIM. Tecnologia em Redes de Computadores. Projeto Integrado Multidisciplinar 2009/02 2º SEM UNIVERSIDADE PAULISTA CURSO

Introdução à Computação: Sistemas de Computação

Ameaças e Contramedidas de Host

No projeto das primeiras redes de computadores, o hardware foi a principal preocupação e o software ficou em segundo plano.

REDES COMPONENTES DE UMA REDE

13/10/11 TIPOS DE UTILITÁRIOS UTILITÁRIOS 0798 INTRODUÇÃO À PROGRAMAÇÃO TIPOS DE UTILITÁRIOS TIPOS DE UTILITÁRIOS

Aula 03-04: Modelos de Sistemas Distribuídos

Curso de Tecnologia em Redes de Computadores

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

Unidade IV GERENCIAMENTO DE SISTEMAS. Prof. Roberto Marcello

Projeto de Redes de Computadores. Projeto do Esquema de Endereçamento e de Nomes

2 Fundamentação Conceitual

Simulação de Redes de Comunicação

NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO.

MF = (M1 * 0,4) + (M2 * 0,6) MF < 6 MF = (MF * 0,6) + (EXA * 0,4)

CERT.br, NIC.br e CGI.br Apresentação e Atuação

Redes de computadores. Redes para Internet

BACHARELADO EM SISTEMAS DE INFORMAÇÃO EaD UAB/UFSCar Sistemas de Informação - prof. Dr. Hélio Crestana Guardia

Professor Esp.: Douglas Diego de Paiva

Transcrição:

Honeypots Um Projeto Pró-ativo em Segurança de Redes Marita Maestrelli Fernando Spencer marita@cbpf.br spencer@cbpf.br 2006 CAT-Informática 1

Prefácio Hoje necessitamos da segurança virtual tanto quanto da segurança física. A computação está em nosso dia a dia e a conexão com a Internet é essencial para a comunicação pessoal e profissional. Várias propostas são lançadas para prover segurança na Internet, como máquinas configuradas com sistemas de análise de fluxo para identificação de tráfego malicioso e possível bloqueio, máquinas com listas de acesso a determinados serviços, e no nosso caso, máquinas rodando sistemas simulados para conseguir o maior número de informações para identificação de intrusos e assim evitá-los em nossos sistemas reais. Esta nota técnica descreve um projeto Nacional de HoneyPots, ou seja, máquinas em diversos ponto da Internet Brasileira coletando informações sobre procedimentos que atrapalham o fluxo de tráfego em nossas redes. CAT-Informática 2

Índice 1. Histórico 04 - Consórcio Brasileiro de Honeypots 04 2. Introdução 06 3. Honeypots e Honeynets 07 4. Projeto Honeypots Distribuídos 09 - Honeypots de Baixa Interatividade 10 5. Resultados(estatísticas) 11 6. Conclusão 16 7. Referências 17 CAT-Informática 3

1. Histórico Cronológico dos Projetos de Honeypots e Honeynets: 1989: The Cuckoo s Egg 1992: An Evening with Berferd 1998: Deception Toolkit (DTK) 1999: The Honeynet Project Rede projetada para ser comprometida Utilizada para observar o comportamento dos invasores 2002: Honeynet Research Alliance 2002: Honeynet.BR - Acompanhamento de atividades hostis na Internet BR 2003: Consórcio Brasileiro de Honeypots - Criado em setembro de 2003, sob a coordenação do Dr. Antonio Montes (CENPRA/MCT), Cristine Hoepers e Klaus Steding-Jessen (CERT.BR/CGIBR). Consórcio Brasileiro de Honeypots Em setembro de 2003 foi criado o Projeto de Honeypots Distribuídos com o objetivo principal de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro. Atualmente conta com 34 instituições participando com pelos menos um ponto em diversos estados brasileiros. A localização desses pontos pode ser observada na figura 1. A página do Projeto e a fonte da figura 1 e da Tabela 1 pode ser acessada através de: http://www.honeypots-alliance.org.br/ CAT-Informática 4

Figura 1 Localização dos Honeypots no território brasileiro Na Tabela 1 estão listadas as Instituições que fazem parte da aliança com seu respectivo número relacionado na figura 1. O CBPF e a RedeRio participam do Projeto desde outubro de 2003 e são pioneiras no Rio de Janeiro, além de incentivar e ajudar as demais instituições do estado. Atualmente conta com 4 (quatro) hosts no projeto. Únicas máquinas da SUN (4) no projeto, 1 modelo Sparc 4, 1 modelo Sparc 5, 1 modelo Ultra 1, e 1 modelo Ultra 2; Os quatro honeypots iniciaram em: 1º. outubro de 2003, 2º. março de 2004, 3º. agosto de 2004 e 4º. julho de 2005; CAT-Informática 5

Tabela 1 Instituições que fazem parte da Aliança # Cidades Instituições 01 São José dos Campos INPE, ITA 02 Rio de Janeiro CBPF, Embratel, Fiocruz, IME, PUC-RIO, RedeRio, UFRJ 03 São Paulo ANSP, CERT.br, Diveo, Durand, UNESP, USP 04 Campinas CenPRA, HP Brasil, ITAL, UNICAMP, UNICAMP FEEC 05 São José do Rio Preto UNESP 06 Piracicaba USP 07 Brasília Brasil Telecom, Ministério da Justiça, TCU, UNB LabRedes 08 Natal UFRN 09 Petrópolis LNCC 10 Porto Alegre CERT-RS 11 Ribeirão Preto USP 12 São Carlos USP 13 Taubaté UNITAU 14 Florianópolis UFSC DAS 15 Americana VIVAX 16 Manaus VIVAX 17 Joinville UDESC 18 Lins FPTE 19 Uberlândia CTBC Telecom 20 Santo André VIVAX 21 Passo Fundo UPF 22 Curitiba PoP-PR 23 Belém UFPA 2. Introdução Situação Atual da Internet: Crescente número de computadores conectados com disponibilidade de banda larga Descuido nas configurações de vários desses computadores A informação é disponibilizada com facilidade Grande quantidade de informações potencialmente maliciosas Necessidade de mecanismos para coibir ou diminuir o tráfego malicioso CAT-Informática 6

Na busca de soluções surgiu o Projeto de Honeypots Distribuídos, com finalidades bem determinadas: Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd), buscando cobrir a maior parte do espaço de endereços IP da Internet no Brasil; Montar um sistema de análise de dados que permita o estudo de correlações e tendências de ataques; Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de Computadores (CSIRTs) na difusão destas informações. 3. Honeypots e Honeynets 3.1. HoneyPots São recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. São implementados de maneira que todo o tráfego destinado a eles seja anômalo ou malicioso, minimizando os falsos-positivos. São classificados de duas maneiras: Honeypots de Baixa Interatividade Os sistemas e serviços de rede são emulados e o sistema REAL é inacessível. São relativamente seguros e podem ser usados como monitoramento em redes de produção. Honeypots de Alta Interatividade Os serviços de rede são legítimos e o atacante pode assumir o controle do honeypot. Proporcionam coleta de inteligência, análise de tendências,novas vulnerabilidades, captura de ferramentas, etc. A tabela a seguir mostra uma comparação entre os dois tipos de Honeypots: CAT-Informática 7

Baixa Interatividade Alta Interatividade Emulam sistemas e serviços Executam as versões reais Simples.Fácil gerenciamento Cuidados na instalação e configuração. Coleta de artefatos Atacante não tem controle Ações limitadas, captura de tráfego e malware Pode ter controle total Captura de mais informações, incluindo ferramentas e comandos Difíceis de iludir atacantesdifícil de distinguir de um avançados/determinados sistema de produção 3.2. HoneyNets São redes compostas de uma sub-rede de administração e de uma subrede de honeypots. Honeynets são ferramentas de pesquisa que consistem de uma rede projetada especificamente para ser comprometida, com mecanismos de controle que impedem que esta rede seja usada como base para lançar ataques contra outras redes. Cristine H., Klaus S.-J., A. Montes As Honeynets podem ser de dois tipos: Honeynets Reais Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos. Para exemplificar, uma honeynet real poderia ser composta pelos seguintes dispositivos: diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados; um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados; um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados; um computador atuando como repositório dos dados coletados; CAT-Informática 8

hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet. As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais. As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado. Honeynets Virtuais Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) ou o UML (User Mode Linux). Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo. As vantagens das honeynets virtuais são: manutenção mais simples; necessidade de menor espaço físico para os equipamentos, e custo final tende a ser mais baixo. As principais desvantagens são: alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados em um único ponto); o software de virtualização pode limitar o hardware e sistemas operacionais utilizados; o atacante pode obter acesso a outras partes do sistema, pois tudo compartilha os recursos de um mesmo dispositivo (no caso da categoria de auto-contenção), e possibilidade do atacante descobrir que está interagindo com um ambiente virtual. 4. Projeto HoneyPots Distribuídos Rede de Honeypots de baixa interatividade com o objetivo de cobrir o maior número de AS da Internet brasileira. Implantado em diversas redes de produção no Brasil, atualmente conta com 44 hps e aproximadamente 10000 ips. Utiliza o aplicativo honeyd para emular diferentes sistemas operacionais e serviços de rede. Logging centralizado. CAT-Informática 9

Capacidade de detecção de incidentes (complementa os SDI). Permite levantar tendências de ataques, coletar artefatos, correlacionar eventos, no ciberespaço brasileiro. Apoio à atuação de grupos de resposta a incidentes de segurança. Configuração de um HoneyPot de baixa interatividade: Sistema real: openbsd com firewall e kernell compacto; Simulador: honeyd Proxy ARP: arpd Programas para registrar as atividades: listeners Geração de logs diários enviados para um servidor central A figura a seguir é uma representação simbólica de um Honeypot no CBPF: Sistema OpenBSD honeyd arpd Estação Sun Sparc Sistema OpenBSD é um sistema operacional livre da família UNIX, multiplataforma. Suas vantagens mais enfatizadas são: padronização, portabilidade, correção e segurança. Honeyd é um programa que cria hosts virtuais em uma rede. Os hosts podem ser configurados como executando serviços arbitrários e podem ser adaptados paracendo rodar em certos sistemas operacionais. Honeyd habilita um único host com múltiplos endereços. Arpd é um programa que escuta pedidos ARP e responde por endereços IP não alocados. Utilizando ARPD em conjunto com HONEYD é possível povoar o espaço de endereço não alocado em uma rede de produção com honeypots virtuias. Estação SUN Sparc máquina com arquitetura robusta e estável. CAT-Informática 10

5. Resultados Estatísticas Os demonstrativos a seguir foram elaborados só com os daods dos HoneyPots do CBPF. A Figura 1 mostra a porcentagem de cada protocolo(tpc, UDP e ICMP) dos pacotes que trafegam nos Honeypots. Protocolos 89% TCP ICMP UDP 7% Total packets: 59934 4% TCP: 53367 ICMP: 4248 UDP: 2319 Figura 1 Protocolos dos pacotes nos Honeypots A Figura 2 mostra os países com mais incidentes de máquinas realizando atividades maliciosas em nossos Honeypots. CAT-Informática 11

Países 700 600 500 400 300 200 100 0 US BR CN CA DE KR MX JP AR TW IPs / País Figura 2 Quantidade de hosts por países que mais atacam os Honeypots A Figura 3 mostra a incidência dos ataques em relação aos sistemas operacionais. Sistemas Operacionais 12000 10000 8000 6000 4000 2000 0 Windows Unknow Linux OpenBSD Solaris Figura 3 Hosts atacantes por Sistema operacional CAT-Informática 12

A Figura 4 mostra as portas TCP mais atacadas nos nossos Honeypots. Cabe lembrar que a incidência em determinada porta retrata uma vulnerabilidade em evidência de determinado serviço. A porta TCP 4899 é para o serviço de Remote Administrator para Windows, Windows 9x/ME/NT4.0/2000/XP/2003; Por padrão esse serviço não pede usuário, apenas senha, e o atacante pode ficar buscando acesso através de senhas fracas. A porta TCP 135 é Microsoft Remote Procedure call, também usado pelo SMB (Server Message Block) para compartilhamento de arquivos e impressoras; Problemas comuns: usuário e senha sem criptografia, permissões erradas Em 2003 worm MS.Blaster, com possibilidade de execução de código arbitrário através de Buffer Overrun. A Figura 4.1 mostra a evolução desse Worm no ano de 2004. Em 2004 worm Welchia Em 2005 - Gaobot.gen, SpyBot, Poxdar, Mytob.AR@mm TODOS exploravam a vulnerabilidade MS03-26 Portas TCP 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 4899 135 22 445 5900 Figura 4 Portas TCP mais atacadas CAT-Informática 13

Blaster(DCOM RPC) Fonte: http://www.honeynet.org.br Figura 4.1 Crescimento do Worm Blaster nos meses de jan a mar/2004 A Figura 5 mostra as portas UDP com maior incidência de ataque. A porta UDP 53 é o serviço de DNS - Domain Name Service - Vulnerabilidades no Bind( servidor de DNS): Bind 9 FreeBSD 5.3 (CAN-2005-0034) Queda do daemon named pelo envio de um pacote com conteúdo específico. Bind 8.4.4 e 8.4.5 (CAN-2005-0033) Inoperabilidade do daemon através de overflow em determinada consulta. Bind 4 e 8 (CAN-2002-1219) Múltiplas vulnerabilidades que possibilitam ao atacante executar código com privilégio do uid do named: tipicamente root A porta UDP 1026 é utilizada pelo Serviço Mensageiro do Windows Windows Messenger; É um serviço destinado ao envio de simples mensagens para um ou mais usuários em uma LAN. Tipicamente, o tráfego destinado a essa porta é proveniente de spam para o Mensageiro do Windows. CAT-Informática 14

Portas UDP 1200 1000 800 600 400 200 0 53 1026 5320 1027 58613 Figura 5 portas UDP com maior incidência de pacotes CAT-Informática 15

6. Conclusão: O Consórcio Brasileiro de Honeypots é uma ferramenta para a monitoração do estado da segurança na Internet brasileira. Ele proporciona a descoberta de atividades maliciosas antes de elas serem anunciadas e/ou publicadas. Como exemplo, citamos o problema com a porta 5000, no dia 17/05/2004 que foi uma varredura em massa, procurando máquinas atacadas através de uma vulnerabilidade no windows XP(MS04-011). O exploit chamava-se LSASS. Com o início da atividade nos Honeypots pode-se evitar que a atividade tomasse proporções gigantescas na Internet brasileira. Os participantes do Consórcio tem a facilidade de corrigirem seus sistemas rapidamente, pois a identificação de máquinas contaminadas e/ou vulneráveis em sua rede é descoberta logo no início devido a tendência dos worms em varrer as redes vizinhas. Diversos trabalhos a nível de pós-graduação estão sendo feitos com o estudo de HoneyPots, além de teses de mestrado e doutorado. CAT-Informática 16

7. Referências: [1] http://project.honeynet.org/alliance/ [2] http://www.honeynet.org.br/ [3] http://www.honeypots-alliance.org.br/ [4] http://www.cert.br/ CAT-Informática 17

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback