Honeypot and Honeynet

Ana Filipa Ferreira São José Bruna Patrícia Ribeiro Alves da Silva Honeypot and Honeynet Draft Trabalho da disciplina de Segurança da Informação do MCI 2009/2010 Docente: Prof. Tito Vieira Faculdade de Engenharia da Universidade do Porto Mestrado em Ciência da Informação Dezembro de 2009 MCI

ii

Sumário 1 Introdução... 1 2 Honeypot... 2 2.1 Tipos de Honeypot. 3 2.2 Vantagens, Desvantagens e Riscos....3 3 Honeynet... 5 3.1 Requisitos..5 3.2 Tipos de Honeynet. 6 4 Projectos.....8 4.1 Projecto Honeynet.8 4.2 Projecto Honeynet Wireless......8 5 Conclusão... 9 Referências Bibliográficas... 10 ANEXO A: Software KFSensor... 11 ANEXO B: Software Spector... 12 ANEXO C: Software Honeyd... 13 ANEXO D: ANEXO E: ANEXO F: Honeynet 14 Honeynet Clássico.. 15 Honeynet Virtual....16 iii

1 Introdução O tema escolhido para a realização do presente relatório, elemento de avaliação da unidade curricular Segurança da Informação do mestrado em Ciência da Informação, foi: Honeypot e Honeynet. O relatório em questão será estruturado em três grandes capítulos. O primeiro capítulo terá como temática principal o honeypot onde será explorado o conceito (bem como as suas finalidades e localização), tipologia, vantagens, desvantagens e riscos. Num segundo capítulo abordar-se-á a honeynet, fazendo-se referência ao seu conceito, componentes, requisitos e os tipos. O último capítulo, pela sua natureza prática, abordada os projectos que envolvem a honeynet: Projecto Honeynet e Projecto Honeynet Wireless. Para concretizar o objectivo fundamental, que é aprofundar o conhecimento de ferramentas e técnicas existentes em segurança da informação, bem como as suas características e aplicações reais, utilizou-se como procedimento metodológico uma revisão bibliográfica. 1

2 Honeypot Para se defender do inimigo, primeiro é preciso conhecer o inimigo, ou seja, conhecer os seus métodos de ataque, as suas ferramentas, tácticas e objectivos Aristóteles Nos dias de hoje assistimos a um crescente número de ataques informáticos, com inúmeras finalidades, desde a obtenção de ganhos financeiros, vingança, espionagem industrial, enfim, são muitos os motivos que levam a estes ataques. Por conseguinte, tornou-se crucial adoptar um conjunto de estratégias que visassem proteger a informação das entidades. Surgem assim os honeypots, que traduzindo literalmente significa potes de mel. Trata-se de um recurso de segurança criado propositadamente para ser sondado, atacado e comprometido. Por isso mesmo é um sistema com um baixo nível de segurança e que tem como finalidade monitorar o comportamento dos atacantes, com o intuito de conhecer as principais vulnerabilidades do verdadeiro sistema e corrigi-las. É portanto um sistema que deve ser um chamariz para os atacantes. Sempre que sejam detectadas actividades maliciosas e/ou não autorizadas, estas devem ser redireccionadas para o honeypot. Por sua vez, o honeypot deve ser o mais realista possível, devendo usar as mesmas informações e aplicações do sistema real, porém com limitações. Só assim é possível monitorar cada passo do atacante num sistema altamente controlado. Podem ser usados sistemas operacionais reais e virtuais, bases de dados, servidores Web, FTP, SSH, etc. Relativamente à localização, o honeypot pode ser colocado em três locais diferentes: em frente à firewall (não será uma boa opção, pois torna-se bastante óbvio para o atacante que se trata de uma armadilha), atrás da firewall (junto à intranet), ou então na zona DMZ (Demilitarized Zone). Por último, o honeypot trabalha com o conceito de que o atacante não procura um sistema em si, mas sim as informações que este armazena. Este sistema tem assim como finalidade identificar ataques e comportamentos dos atacantes, acompanhar as vulnerabilidades do sistema real, servir de auxílio aos sistemas de detecção de intrusão e manter os atacantes afastados dos sistemas importantes, tendo sempre em vista a protecção da informação que estes contêm. 2

2.1 Tipos de Honeypot Neste subcapítulo abordaremos os tipos de honeypot existentes. Estes podem ser agrupados pelo objectivo da sua utilização ou pelo seu nível de interacção. Relativamente ao objectivo, o honeypot pode ser de Produção ou Pesquisa. Quanto ao honeypot de produção, este tem como finalidade distrair actividades maliciosas de máquinas da rede ou serve como mecanismo de alerta na rede de computadores. Geralmente não necessita de algo muito elaborado do ponto de vista técnico para funcionar. Alguns exemplos de honeypots de produção são o KFSensor (honeypot real ver anexo A) e o Specter (honeypot emulado ver anexo B). Por sua vez, o honeypot de pesquisa serve essencialmente para monitorar e estudar o comportamento dos atacantes, possibilitando à entidade saber o que eles fazem, quais os seus métodos de ataque e até mesmo quais os comandos digitados. No que concerne ao nível de interacção, que diz respeito ao nível de actividade que o honeypot permite ao atacante, este pode ser de baixa interacção ou alta interacção. Os honeypots de baixa interacção apenas emulam serviços e sistemas operacionais, são de fácil instalação, no entanto por não ser um sistema operacional real, a captura de informações é limitada, restringindo-se à captura do tráfego. Este tipo de honeypot não permite ao atacante ter controlo total sobre o sistema, limitando as suas acções e diminuindo assim os riscos. No entanto, este honeypot é facilmente descoberto por hackers qualificados. Um exemplo deste tipo de sistema pode ser o Honeyd (software OpenSource para Unix ver anexo C). Normalmente, os honeypots de produção têm também um nível baixo de interacção. No que concerne à alta interacção, este tipo de sistema trabalha com sistemas operacionais e serviços reais; permite capturar informações mais detalhadas, incluindo ferramentas e comandos; a instalação e configuração deste sistema é mais complexa; o atacante tem controlo total sobre o sistema, aumentando assim os riscos. Por norma, os honeypots com este nível de interacção são também honeypots de pesquisa. 2.2 Vantagens, Desvantagens e Riscos Este último subcapítulo referente aos honeypots trata de fazer um apanhado geral sobre as vantagens, desvantagens e riscos inerentes a este tipo de sistemas. São inúmeras as vantagens do honeypot: desde logo como este é isolado o fluxo de informações para análise é pequeno quando comparado com o de uma rede de produção; reduz os falsos positivos gerados pelos IDS (Sistemas de 3

Detecção de Intrusos); permite encontrar ataques que passaram despercebidos (falsos negativos); a firewall e o IDS não são sobrecarregados com um grande volume de tráfego; exige apenas os recursos mínimos; captura tráfego criptografado; trabalha com IPv6; são bastante flexíveis; permite descobrir novas ferramentas e tácticas dos hackers; ajuda a manter os atacantes afastados dos sistemas verdadeiramente importantes. No entanto, do outro lado da balança temos algumas desvantagens e riscos destes sistemas: o honeypot tem uma visão limitada do tráfego; existe o risco deste sistema ser invadido e utilizado para prejudicar outros sistemas; a ausência de tráfego implica gastos sem retorno, já que nada foi monitorizado; os crackers mais avançados conhecem as características do honeypot e sabem que sistemas devem evitar; a informação disponibilizada no honeypot é muito valiosa; o ataque ao sistema é real. As desvantagens e riscos do honeypot são parte inerente a este e devem ser geridos, no entanto estes sistemas apresentam toda uma panóplia de vantagens que os tornam uma solução a considerar na estratégia de segurança da informação de uma entidade. 4

3. Honeynet Há teóricos que defendem que para se perceber o conceito de honeynet, há que falar antes em honeypot, dado que a primeira é um tipo de honeypot de alta definição, utilizado principalmente em pesquisas para obter informação dos invasores. Por outro lado, outros há que defendem que ao contrário do honeypot que é um único sistema ligado a uma rede de produção, a honeynet é uma ferramenta de pesquisa que consiste numa rede altamente controlada, de sistemas e aplicativos múltiplos, projectada especificamente para ser comprometida e observada, contendo mecanismos de controlo para prevenir que seja utilizado como base de ataques contra outras redes, isto é, aquilo que faz é meramente considerar suspeito todo o tráfego que entra e sai, monitorizando-o e capturando-o para depois o analisar. Assim, uma honeynet cria um ambiente que reflete uma rede de produção real. O anexo D apresenta um exemplo da aplicação de uma honeynet. Quanto aos componentes da honeynet, pode fazer-se a seguinte divisão: Componentes alvos (honeypots diversos computadores, um para cada honeypot) Componentes de interconexão e contenção de fluxo para controlo de dados (rooter, firewall - um computador com um firewall instalado, actuando como mecanismo de contenção e recolha de dados) Componentes de captura, armazenamento e análise (SDI [sistema de detecção de intrusões], LogServer um computador com um SDI instalado, actuando como mecanismo de criação de alertas e recolha de dados). Relativamente aos objectivos da honeynet, esses são essencialmente conhecer o inimigo, bem como as suas ferramentas, tácticas e motivações para que se possam reunir dados e analisar essas mesmas ferramentas para futuro aperfeiçoamento dos sistemas de detecção de instrusão e assim controlar as acções intrusivas. 3.1 Requisitos das Honeynet Os três grandes requisitos da Honeynet são: controlo de dados : este requisito é relativo à atenuação do risco na medida em que vincula que todas as actividades do atacante são limitadas dentro da honeynet. Tendo em conta que as honeynet são honeypots de alta interacção, segundo uma das linhas de pensamento, os atacantes estão a interagir com sistemas reais, tendo assim maior liberdade para fazer as suas actividades e subsequentemente, os 5

informáticos maior oportunidade de aprender a partir delas. Isto provoca uma certa problemática, a ter em conta sempre que se pense em implementar uma honeynet, porque ou se permite que os atacantes façam as suas actividades para assim estudar melhor o seu modo de acção, ou se reduz as suas actividades de forma a impedir que danifiquem os sistemas do honeypot. Assim, cada resposta será diferente dependendo das metas mas, é preciso lembrar que o controle de dados tem precedência sobre todas as exigências e desta forma o atacante não deve ser capaz de atacar ou causar danos aos sistemas exteriores à honeynet, porque caso isso aconteça, a sua implementação, para além de fracassada, será já um perigo para as suas redes bem como para a rede dos outros. captura de dados: consiste no acompanhamento e registo da actividade do atacante dentro da honeynet. Estas actividades são o que forma a base dos dados e o núcleo de pesquisa e análise. Para uma captura de dados mais completa e para melhor reunir as actividades do atacante, é necessário ter mecanismos para capturar várias dessas actividades, sendo que estes podem ser na forma de tepdump, logs SDI, dados Sebek, os logs de firewall, entre outros. Este requisito tem ainda um papel importante aquando das falhas num desses mecanismos, visto que permite recolher dados de várias outra, ajudando a evitar um apagão total dos dados da actividade. análise dos dados: este requisito só se aplica às implementações de honeynets distribuídas; as convenções de nomenclatura, a transferência segura de dados e as técnicas de anonimato fazem parte deste requisito. 3.2 Tipos de Honeynet No que toca à tipologia das honeynet, estas podem-se dividir em dois grandes tipos: Clássica (ver exemplo no anexo E) Virtual (ver exemplo no anexo F). A honeynet de tipo de clássico, é composta por: sistemas reais (físicos), instalações específicas e por sistemas operacionais variados e independentes. O aumento de segurança devido à descentralização dos honeypots e o facto de serem dispositivos reais, são consideradas como as principais vantagens deste tipo de honeynet. No entanto, o seu elevado custo, a complexidade da manutenção e as dificuldades presentes na instalação e na posterior administração são as desvantagens mais enunciadas. Relativamente à composição da honeynet virtual, podem-se nomear os honeypots virtuais (máquinas virtuais), o uso de concorrentes, e os sistemas operacionais que se concretizam numa única máquina. 6

.Ao contrário do que acontece com a honeynet clássica, o baixo custo, a facilidade de gestão, instalação e administração, aliados ao menor gasto de energia eléctrica, devido à menor quantidade de máquinas utilizadas funcionam aqui como vantagens. As desvantagens deste tipo de honeynet são a instabilidade devido ao excessivo uso da memória, a limitação nos tipos de sistemas operacionais oferecidos pelos softwares de virtualização e a baixa tolerância a falhas (muitos componentes concentrados num único ponto de falha). 7

4. Projectos 4.1 Projecto Honeynet Introduzido em 1999 pelo fundador do projecto To build a honeypot, Lance Spitzner, o conceito de honeynet foi criado com o intuito da implementação de sistemas reais numa zona mais atrasada das firewalls à espera de ser atacada, em vez de se desenvolver tecnologias equivalentes a sistemas para serem atacados. Este projecto tem como objectivo principal a melhoria da segurança na internet através da detecção de ataques, partilha de aprendizagens e do estímulo da comunidade a defender. 4.2 Projecto Honeynet Wireless O projecto honeynet Wireless (http://honeynet.org.es/papers/honeyspot-the-wirelesshoneypot/ ) surge exactamente para dar resposta à tecnologia Wireless (redes sem fios), que tem vindo a ganhar uma forte presença nas entidades. Surge assim o projecto HoneySpot, baseado no projecto honeynet, e que resulta de uma mescla entre os termos honeypot e hotspot. Este conceito é definido pela Organização de investigação Spanish Honeynet Project como sendo a venue that offers Wi-Fi access whose value is being probed, attacked, or compromised, you want the bad guys to interact with it. De forma sucinta, são apresentados dois tipos de honeyspot: o Honeyspot Público, que simula uma rede Wireless pública, normalmente disponível em hotéis, aeroportos, cafés, bibliotecas, etc; e o Honeyspot Privado, que simula uma rede privada, como as utilizadas nas entidades ou em casa. 8

5. Conclusão Este relatório serve como uma referência, destacando para isso as definições de honeypots e honeynets com a intenção de estudar aquilo em que consistem para que se possa, num futuro profissional, ter uma escolha o mais acertada possível no que toca à sua implementação. Após a revisão da literatura, percebeu-se que muitas organizações não dão a devida importância à forma como os seus hackers agem. No entanto, feito um(a) confronto/reflexão da literatura, concluiuse que essa não é de todo a melhor atitude, dado que não permite perceber as falhas existentes nos seus sistemas e por conseguinte corrigi-las. Assim, é de extrema importância conhecer os diferentes tipos de honeypots e honeynets, por forma a entender o melhor método a usar na sua implementação, concorrendo assim para a customização das necessidades de cada organização. Outra mais-valia em saber a distinção entre honeynets distribuídos e honeypots tradicionais é que permite a consequente rapidez no uso de honeypot, já que o capital e os recursos necessários para construir um estado da arte honeynet virtual são muito acessíveis à maioria das organizações. 9

Referências Bibliográficas Anton Chuvakin, Ph. D. Honeypot Essencials [acedido em 07/12/2009] disponível na WWW em http://web.ebscohost.com/ehost/pdf?vid=2&hid=2&sid=a1718d3b- 4ae9-4fad-8fc0-8ed16922c971%40sessionmgr10; Dulaunoy, Alexandre Honeynets: Introduction to Honeypot/Honeynet technologies and Its Historical Perspective [acedido em 08/12/2009] disponível na WWW em http://www.foo.be/cours/dess-20052006/honeynet-intro_handout.pdf; Honeynet.BR Brazilian Honeypots Alliance: Distributed Honeypots Project [acedido em 07/12/2009] disponível na WWW em http://www.honeypots-alliance.org.br/; SANS Institute InfoSec Reading Room Honeypots and Honeynets: Security through Deception [acedido em 08/12/2009] disponível na WWW em http://www.sans.org/reading_room/whitepapers/attacking/honey_pots_and_honey_net s_security_through_deception_41; Schoeneck, Rick Wireless Honeypot [acedido em 08/12/2009] disponível na WWW em www.digiville.net/~iirg/richard_schoeneck_gsec.pdf; The Honeynet Project Honeynet Project [acedido em 07/12/2009] disponível na WWW em http://www.honeynet.org; The Spanish Honeynet Project Honeyspot: The Wireless Honeypot [acedido em 07/12/2009] disponível na WWW em http://honeynet.org.es/papers/honeyspot-the-wirelesshoneypot/; 10

A EXO A: Software KFSensor 11

A EXO B: Software Spector 12

A EXO C: Software Honeyd 13

A EXO D: Honeynet 14

A EXO E: Honeynet Clássica 15

A EXO F: Honeynet Virtual 16