Manual. Honeypots e honeynets



Documentos relacionados
Sistemas de Detecção de Intrusão

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de

Acesso remoto a servidores Gestores de monitorização de tráfego de redes

Capítulo 5 Métodos de Defesa

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

SEGURANÇA EM REDES: HONEYPOTS E HONEYNETS

Segurança da Informação

Segurança na Rede Local Redes de Computadores

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

Firewalls. Firewalls

Servidores Virtuais. Um servidor à medida da sua empresa, sem investimento nem custos de manutenção.

Componentes de um sistema de firewall - II. Segurança de redes

Entendendo como funciona o NAT

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Curso de Instalação e Gestão de Redes Informáticas

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Alta Disponibilidade na IPBRICK

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

UNIVERSIDADE FEDERAL DE PELOTAS

Segurança de Redes. Firewall. Filipe Raulino

Sistemas de Detecção de Intrusão SDI

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

Integração de Sistemas Embebidos MECom :: 5º ano

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

1.1 A abordagem seguida no livro

Vodafone ADSL Station Manual de Utilizador. Viva o momento

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Laboratório de Redes. Professora Marcela Santos

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

Modelo Cascata ou Clássico

Relatório Preliminar de. Projecto em Contexto Empresarial I. VoIP Desenvolvimento de Aplicações em Plataformas Open Source

Servidor, Proxy e Firewall. Professor Victor Sotero

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Arquitetura de Rede de Computadores

Firewall. Qual a utilidade em instalar um firewall pessoal?

Características de Firewalls

Componentes de um sistema de firewall - I

Firewall. Alunos: Hélio Cândido Andersson Sales

Serviços de Comunicações RELATÓRIO LABORATORIAL IMPLEMENTAÇÃO DE SOLUÇÃO IP PBX

O Manual do Desktop Sharing. Brad Hards Tradução: Pedro Morais

Nettion Security & Net View. Mais que um software, gestão em Internet.

2-Introdução e Conceitos Básicos das TIC

O Manual do Simond. Peter H. Grasch

Aula 5 TECNOLOGIA EM JOGOS DIGITAIS JOGOS MASSIVOS PELA INTERNET Marcelo Henrique dos Santos -

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

Curso de Tecnologia em Redes de Computadores

ICORLI. INSTALAÇÃO, CONFIGURAÇÃO e OPERAÇÃO EM REDES LOCAIS e INTERNET

Serviço a Pedido ( On Demand ) da CA - Termos e Política de Manutenção Em vigor a partir de 1 de Setembro de 2010

Gerência de Redes. Introdução.

Rede de Computadores

Acronis Servidor de Licença. Manual do Utilizador

Uso do iptables como ferramenta de firewall.

Redes de Computadores II

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Técnicas e ferramentas de ataque. Natiel Cazarotto Chiavegatti

Software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Segurança de Rede Prof. João Bosco M. Sobral 1

Tecnologia de Redes de Computadores - aula 5

Indústria de Cartão de Pagamento (PCI)

Tecnologia da Informação. Prof Odilon Zappe Jr

Apresentação de Solução

Engenharia de Software III

Dom o ín í i n o i o d e d Con o h n e h cim i ent n o o 3 To T p o o p l o o l g o i g a i s e I D I S Carlos Sampaio

Relatório de Progresso

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini prof.andre.luis.belini@gmail.com /

Protocolo TCP/IP. Neste caso cada computador da rede precisa de, pelo menos, dois parâmetros configurados:

Manual do PolicyKit-kde. Daniel Nicoletti Tradução: Luiz Fernando Ranghetti

A falha em alguns destes pontos pode resultar num excessivo e desnecessário investimento/despesa

Tecnologia da Informação. Prof Odilon Zappe Jr

Actividade 3: Configuração de VLANs

Ferramenta de. Humberto Sartini

Capítulo 5: Roteamento Inter-VLANS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Redes de Computadores

Trabalho 3 Firewalls

CONCEITOS BÁSICOS DE UM SISTEMA OPERATIVO

Sistemas Operacionais. Prof. M.Sc. Sérgio Teixeira. Aula 05 Estrutura e arquitetura do SO Parte 2. Cursos de Computação

A VISTA BACKSTAGE PRINCIPAIS OPÇÕES NO ECRÃ DE ACESSO

Transcrição:

Manual Honeypots e honeynets Honeypots No fundo um honeypot é uma ferramenta de estudos de segurança, onde sua função principal é colher informações do atacante. Consiste num elemento atraente para o invasor, ou melhor, uma iguaria para um hacker. Um honeypot é um recurso de rede cuja função é de ser atacado e comprometido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido, Se compararmos com os IDS (Intrusion Detection System ou Sistema de Detecção de Intrusão), um honeypot tem a vantagem de não criar falsos alertas quando detecta tráfego suspeito. Assim, o sistema regista cada byte que passa na rede de e para o honeypot.depois da recolha é mais fácil desenhar o perfil de um ataque e do próprio atacante (sistema informático utilizado; endereço IP/localização; modo de operar). Categorias Produção - Elemento de distracção ou dispersão, é usado para ajudar a migrar o risco dentro de uma organização. Pesquisa - Acumular o máximo de informações dos atacantes e suas ferramentas. Recursos - Um honeypot é um recurso que pretende ser comprometido, o tráfego relacionado com um honeypot representa actividade não autorizada. Normalmente a quantidade de logs gerados é razoavelmente baixo, pois a máquina em questão não inclui sistemas/aplicações de produção. Tornando a análise dos dados muito mais simples. É possível especificar uma gama de endereços IP na rede em questão e configurar um daemon associado ao honeypot que responde, por exemplo ao comando Ping. A máquina comporta-se como se esse endereço IP existisse em rede. Um utilizador autorizado sabe que tal sistema não existe na sua rede; ou de outra forma, as aplicações instaladas na máquina não possuem qualquer configuração de rede associada a tal IP. Níveis de Honeypots Honeypot de reduzido envolvimento É um honeypot de baixa interactividade, são instaladas ferramentas para emular sistemas operativos e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operativo real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. O tráfego pode ser facilmente reconhecido e armazenado, não existe um verdadeiro sistema operativo ao dispor do intruso o que minimiza o risco de forma significativa porque a complexidade do sistema operativo é eliminada. Pode ser uma desvantagem pois não será possível observar o invasor a interagir com o sistema operativo, são apenas utilizados para produzir logs e alertas, se os pacotes de entrada coincidirem com determinados padrões. Honeypot de médio envolvimento - O intruso é iludido por um falso sistema operativo e tem maiores possibilidades para interagir e testar o sistema alvo, são mais elaborados e

manifestam um comportamento/conhecimento mais profundo dos serviços que disponibilizam ao mesmo tempo aumentando o risco, proporciona um maior nível de interacção, mas continua a não revelar o verdadeiro sistema operativo subjacente, a probabilidade de um hacker encontrar um buraco na segurança ou vulnerabilidade do honeypot aumenta com a complexidade do próprio, devido a um maior nível de interacção, são possíveis ataques com recurso a técnicas mais complexas, podendo portanto ser registados em logs e analisados. Honeypot de elevado envolvimento - Nos honeypots de alto envolvimento os atacantes interagem com sistemas operativos, aplicações e serviços reais, o invasor tem que comprometer o sistema para conseguir este ter privilégios de root e poderá fazer tudo o que quiser no sistema invadido que deixa de ser seguro, incluindo a totalidade da máquina. Este facto será de menor importância, se considerarmos um único sistema físico como suporte de múltiplos sistemas virtuais. Honeynet Uma Honeynet é uma ferramenta de pesquisa, que consiste numa rede projectada especificamente para ser comprometida, e que contém mecanismos de controlo para prevenir que seja utilizada como base de ataques contra outras rede, normalmente contém um segmento de rede com honeypots e firewalls de diversos sistemas operativos e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controlo, além de sistemas para captura e recolha de dados, para geração de alertas. Honeypot simples Honeynet

Numa honeynet os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de recolha de informações, são físicos. Para exemplificar, uma honeynet real pode ser composta pelos seguintes dispositivos: Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operativo, aplicações e serviços reais instalados; Um computador com um firewall instalado, actuando como mecanismo de contenção e de recolha de dados; Um computador com um IDS instalado, actuando como mecanismo de geração de alertas e de recolha de dados; Um computador actuando como repositor dos dados colhidos As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais. As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado. Honeynet virtual Uma honeynet virtual baseia-se na ideia de ter todos os componentes de uma honeynet implementados num número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operativo instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) ou o UML (User Mode Linux). Os softwares de virtualização permitem executar diversos sistemas operativos com aplicações e serviços instalados, ao mesmo tempo. As vantagens das honeynets virtuais são: manutenção mais simples; necessidade de menor espaço físico para os equipamentos, e custo final tende a ser mais baixo. As principais desvantagens são: alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados num único ponto); o software de virtualização pode limitar o hardware e sistemas operativos utilizados; o

atacante pode obter acesso a outras partes do sistema, pois tudo partilha os recursos de um mesmo dispositivo (no caso da categoria de auto-contenção), e possibilidade do atacante descobrir que está a interagir com um ambiente virtual. Topologias de rede e honeypots Se a preocupação principal for a Internet, o honeypot poderá ser colocado em dois locais: antes da firewall (Internet) na Demilitarized Zone: um segmento de rede que só é parcialmente acessível da Internet atrás da firewall (intranet) Ao colocar o honeypot frente a uma firewall (honeypot 1), o risco para a rede interna não é acrescido: o perigo de ter um sistema comprometido atrás da firewall é eliminado. Um honeypot irá necessariamente atrair e gerar uma quantidade apreciável de tráfego indesejado, tal como portscans (sniffing de portas) e padrões de ataque. Colocando um honeypot na zona exposta de uma firewall, tais eventos não serão registados por esta, não se produzirão quaisquer alertas e um possível sistema IDS também não irá gerar qualquer tipo de aviso.este cenário não constitui ameaça para a rede interna não introduzindo portanto novos factores de risco. A desvantagem de colocar o honeypot em frente à firewall é a dificuldade de localizar e apanhar intrusos na rede interna, especialmente se a firewall limitar o tráfego outbound, limitando portanto o tráfego para o honeypot. Colocar o honeypot dentro de uma DMZ (honeypot 2) parece ser uma boa solução, desde que outros sistemas dentro da DMZ possam ser protegidos contra o honeypot. As maiorias das DMZs não são totalmente acessíveis pois só os serviços necessários poderão atravessar a firewall. Neste caso, é aconselhável colocar o honeypot na zona pública da firewall, já que abrir todas as portas correspondentes na firewall consome tempo e introduz riscos.

Colocar um honeypot atrás de uma firewall (honeypot 3) pode criar novos riscos para a segurança, especialmente se a rede interna não estiver protegida contra o honeypot através de firewalls adicionais. Este cenário pode constituir um problema especial se os endereços IP forem usados para efeitos de autenticação. Ao colocar o honeypot atrás de uma firewall teremos ajustar as políticas de segurança desta, se o acesso a partir da Internet for permitido. O maior problema surge quando o honeypot interno é comprometido por acção de um atacante: este adquire a possibilidade de aceder à rede interna. O tráfego não é bloqueado pela firewall pois é interpretado como tráfego para o honeypot apenas, que por sua vez o concede. Com um honeypot interno é também possível detectar uma firewall mal configurada, que encaminha tráfego indesejado da Internet para a rede interna. A principal razão para colocar um honeypot atrás de uma firewall deveria ser a detecção de ataques internos. a melhor solução seria dispor de um honeypot na sua própria DMZ, com uma firewall preliminar: a firewall poderia ser ligada directamente à Internet ou à intranet, dependendo do objectivo. Esta abordagem permite um controlo apertado bem como um ambiente flexível com segurança máxima. Recolha de informação baseada em hosts Os mecanismos de recolha de informação podem ser basicamente agrupados em duas categorias: Componentes que geram streams de informação (todas as teclas digitadas por um hacker no honeypot) Componentes que oferecem ao administrador a possibilidade de pesquisa/escolha e recolha de informação sobre um determinado estado do sistema honeypot (utilização do processador, ou a lista dos processos em execução). Quando não são utilizados sistemas virtuais, existe sempre o perigo de um atacante descobrir alterações no sistema. Poderemos circunscrever essas alterações ou até fazer uma utilização abusiva das mesmas Uma das maneiras de utilizar abusivamente será o flooding de um mecanismo de logging até que este se recuse a funcionar normalmente).

É mais seguro armazenar a informação sobre um agressor num lugar remoto (seguro significa que o visado não tem acesso). Obviamente, o agressor ainda tem a possibilidade de gerar falsos logs (ou interromper o processo de registo) se descobrir o mecanismo de logging, mas não será certamente capaz de apagar eventos se a informação já não estiver presente no honeypot. O armazenamento contínuo de dados em locais remotos pode ser feito localmente com recurso a ligações série, paralela, USB, Firewire; ou por interface de rede. O sistema de recolha de informações baseado em host está, como vimos, no próprio host sendo assim vulnerável à detecção e uma vez detectado poderá ser inibido. O método de recolha de informações baseado na rede não tem de estar sediado no próprio host Este método é mais seguro, mais difícil de detectar e praticamente impossível de interromper. Alguns dados poderão ser recolhidos pela firewall preliminar.

Podemos configurá-la para que certos pacotes, ou todos, possam ser registados. Com a ajuda de um IDS, a detecção de tráfego suspeito é mais fácil. Alguns protocolos, como o Telnet, FTP, SMTP ou pedidos DNS, podem ser descodificados e registados em texto corrente, o que simplifica bastante a sua pesquisa/investigação. Ligações encriptadas As ligações encriptadas são consideradas seguras e foram introduzidas para impedir a possibilidade de interceptar e farejar (sniffing) tráfego de rede. Usando ligações encriptadas ainda é possível escutar e registar o tráfego, mas deixa de fazer muito sentido já que os pacotes encriptados impedem a sua interpretação. Para resolver o problema das ligações encriptadas, existem várias abordagens: Ataque Man in-the-middle Desencriptação Brute Force Daemons sshd modificados kernel personalizado Fim Luís Silva nº11

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback