HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Documentos relacionados
Honeypots, honeynets e honeytokens

Honeypot and Honeynet

Microcurso: Honeypots e Honeynets

Atraindo e Isolando Hackers

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

FACULDADES INTEGRADAS SANTA CRUZ DE CURITIBA MONITORAMENTO - WIRESHARK

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

Sistemas de Detecção de Intrusão

Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

Alunos em técnico em Informática da EAFS: Leandro Cavalari, Maria Matos e Renata Rasche.

Segurança: Tendências Atuais e Recomendações do NBSO

TECNOLOGIA DA INFORMAÇÃO

Firewall. Prof. Marciano dos Santos Dionizio

Protótipo de um software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Marcelo Henrique dos Santos


Configurar receptores da notificação de SNMP em um interruptor com o CLI

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

Configuração do log de sistema no Roteadores RV016, RV042, RV042G e RV082 VPN

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Tendências em Atividades Maliciosas na Internet Brasileira

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

FACULDADE DE TECNOLOGIA SENAC GOIÁS

Sistema Operacionais II. Aula: Virtualização

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

Disciplina: Redes de Computadores I (R1)

Prof. Ravel Silva ( SIMULADO 01 - PERITO PF QUESTÕES

Um Agente SNMP para Detecção de Intrusão Baseada na Interação de Protocolos

JOGOS MASSIVOS PELA INTERNET

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Projeto Integrador

Redes de Computadores

Forense em Rede com Wireshark.

A ERA DOS CRYPTO RANSOMWARES: UM ESTUDO DE CASO SOBRE O WANNACRY. Acadêmicos: Rafael Rosário e Vanessa Lucion

Firewall - Inspeção com estado. (Stateful Inspection)

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

SEGURANÇA DE SISTEMAS E REDES. TÁSSIO JOSÉ GONÇALVES GOMES

Firewalls Reginaldo Campos 1

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

ANÁLISE DE EXPLOITS PARA APLICAÇÕES LINUX

Ferramenta de apoio a Segurança

Preparação AV3 Fundamentos de Redes de Computadores

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

AULA EXPOSITIVA SOBRE: CONCEITOS E IMPLEMENTAÇÃO DE FIREWALL, VPN E SSH (REDES PRIVADAS E SERVIÇOS DE ACESSO REMOTO)

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

PROVA 03/07 Segunda-feira (semana que vem)

Configuração do log de sistema na série do VPN Router RV320 e RV325

INFORMÁTICA Professor: Daniel Garcia

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas


SISTEMAS DE INFORMAÇÃO Redes de Computadores II. Firewall

O QUE É? O Microsoft Windows Server é um sistema operacional destinado para servidores.

Recursos incríveis para Tecnologia

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

A memória entra o Switches controlado 200/300 Series

1. Introdução ao syslog

INTRODUÇÃO A SISTEMAS OPERACIONAIS

CENTRAL DE CURSOS 29/06/2014

Sistemas de Detecção de Intrusão

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Manual do Usuário Brother Meter Read Tool

Marcelo Henrique dos Santos

Configuração do Wide Area Network (WAN) em RV215W

Rede de computadores Cliente- servidor. Professor Carlos Muniz

Simulado Aula 02 INSS INFORMÁTICA. Prof. Márcio Hunecke

Rede de computadores Servidor. Professor Carlos Muniz

Gerência de Redes de Computadores RMON. Prof. Alex Furtunato

TERMOS DE SERVIÇO ULTIMA ATUALIZAÇAO

Análise de descarga de QuickVPN TCP

Configurar o módulo de abertura de FirePOWER para eventos do tráfego do sistema usando ASDM (o Gerenciamento da Em-caixa)

Segurança da Informação. Alberto Felipe Friderichs Barros

Modelo de Camadas. Redes de Computadores

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Guia de Segurança do Oracle Hardware Management Pack para Oracle Solaris 11.3

Uso de Software de Monitoramento em Projetos Educacionais Metasys Monitor. Home

Objetivo: Praticar a aplicação de acesso remoto via protocolo RDP (Remote Desktop) em ambientes Microsoft Windows.

10 anos de rootkits. Nelson Murilo

Firewall e tradução de endereço de rede

Política de Uso dos. Recursos de Tecnologia da Informação. da UFRGS. Versão /03/2017

INFORMÁTICA. 03. O Internet Relay Chat permite que diversas pessoas realizem comunicação on-line por meio da Internet.

Configurar o evento que entra um ponto de acesso Wireless

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Um Modelo Alternativo Baseado em Honeynet para Identificação e Classificação de Atacantes. Alexandre Pinaffi Andrucioli

Sistemas Operacionais e Introdução à Programação. Módulo 1 Sistemas Operacionais

Pré-requisitos para Instalação Física e Lógica do Sisloc

Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte

A Aplicabilidade do Honeypot Valhala Utilizando Serviços de Alta e Baixa Interatividade

Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecç

Apostila 4. Ameaças e Contramedidas de Segurança no Host

SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA

Transcrição:

HoneyPot e HoneyNet Reginaldo Campos Segurança em Redes de Computadores

Motivação Para se defender do inimigo, primeiro é preciso conhecê-lo, ou seja, conhecer seus métodos de ataque, suas ferramentas, táticas e objetivos.

Motivações para um ataque Ganhos financeiros; i Vingança; Necessidade de aceitação ou respeito; Idealismo; Curiosidade ou busca de emoção; Anarquia; Aprendizado; Ignorância;

Entidades d mais vulneráveis Instituições financeiras e bancos; Provedores de Internet; Companhias farmacêuticas; Governo e agências de defesa; Empresas multinacionais;

Problemas de configuração dos sistemas Configurações default; Programas vulneráveis; Atalhos administrativos; Relacionamento de confiança; Verificação de senha; Uso de Sniffers em redes desprotegidas; Computadores remotos desprotegidos

Mudança do paradigma de segurança Aumento e sofisticação dos incidentes de segurança; Dificuldade d de se detectar novas formas de ataques; Necessidade d de se conhecer o perfil do invasor; HoneyPot é uma alternativa ao uso de firewall e IDS;

HoneyPot São recursos computacionais dedicados a serem sondados, atacados ou comprometidos; O ambiente deve permitir o registro e controle dessas atividades;

HoneyPot Honeypot é um único sistema conectado a uma rede de produção. O Honeypot pode ser uma máquina emulada ou uma máquina real na rede; Oferece falhas facilmente exploráveis para encorajar hackers a desperdiçarem di seu tempo explorando essa rede fictícia.

Objetivos do HoneyPot Detectar atividades maliciosas na rede; Um honeypot pode servir para dois propósitos: Atrair um hacker para uma área longe dos dados importantes e isolá-los; Estudar os métodos e técnicas de um hacker, para se defender deles;

Objetivos do HoneyPot Coleta de códigos maliciosos i Identificar varreduras e ataques Acompanhamento das vulnerabilidades Descobrir as motivações dos atacantes Auxílio aos sistemas de detecção de intrusão Manter atacantes afastados de sistemas importantes

Tipos de HoneyPots Honeypot de produção: Servem para distrair atividades maliciosas de máquinas da rede ou como mecanismo de alerta na rede de computadores. Honeypot de pesquisa: Servem para monitorar e estudar o p comportamento dos atacantes.

HoneyPot na rede de Produção

Vantagens do HoneyPot Como Honeypot é isolado, o fluxo de informações para análise é pequeno comparado com a uma rede de produção; Acaba com os falsos alertas gerados pelos sistemas de detecção de intrusos; Firewall e IDS não são sobrecarregados com grande tráfego; Exigência de recursos mínimos; Captura tráfego criptografado; Descoberta de novas ferramentas e táticas dos hackers;

Desvantagem do HoneyPot Visão limitada de tráfego; Risco de ser invadido e utilizado para prejudicar outros sistemas; Ausência de tráfego implica em gastos sem retorno, já que nada foi monitorado;

Níveis de interação Nível de atividade que o honeypot permite ao atacante: Honeypots de baixa interação Honeypots de alta interação

HoneyPots de baixa interação Apenas emulam serviços e sistemas operacionais; Fácil instalação; Riscos mínimos; Quantias de capturas de informações limitadas; Fácil descoberta por hackers qualificados;

HoneyPots de alta interação Sistemas operacionais e serviços reais; Permite capturar mais informações; Instalação mais complexa; Risco maior; Os honeypots de produção normalmente têm um nível baixo de interação, e de pesquisas têm um alto nível.

Níveis de Interação Baixa Interatividade ti id de Alta Interatividade ti id de Emulam sistemas e serviços Executam as versões reais Simples. Fácil gerenciamento Atacante não tem controle Ações limitadas, captura de tráfego Difíceis de iludir atacantes avançados/determinados Cuidados na instalação e configuração. Controle total Captura de mais informações, incluindo ferramentas e comandos Difícil de distinguir de um sistema de produção

Localização de um HoneyPot Em frente ao firewall Atrás do firewall (Intranet) DMZ (Demilitarized Zone)

HoneyPot na DMZ

Legalidade d do HoneyPot Necessário considerar três pontos: Armadilha; Privacidade; Responsabilidade; >>

Armadilha Coagir ou induzir alguém a fazer algo que normalmente não faria; Instigar a prática de um delito; Pode acarretar processo judicial.

Pontos de reflexão Honeypot não induz ninguém, até porque muitas vezes é emulação do sistema de produção da empresa; Os ataques são por iniciativa do invasor; Os honeypots não estão sendo usados para processar ninguém, e sim como meio para novas descobertas. Volta

Pi Privacidadeid d O sistema que o atacante está usando não pertence a ele; A monitoração realizada no sistema não pode caracterizar quebra de privacidade; id d Volta

Responsabilidade d Se o honeypot for comprometido e utilizado para prejudicar outras redes pode acarretar processo civil; Volta

Honeynet Não é um sistema único; Constitui-se de uma rede de sistemas e aplicativos múltiplos; l A rede é projetada para ser comprometida e observada;

Histórico i das Honeynets Honeynet Project (1999) Grupo de pesquisadores e profissionais da área de segurança; Objetivo: revelar ferramentas, táticas e motivações dos invasores The Honeynet Project (2002) Aprender com os atacantes Ambiente para capturar os dados Ferramenta de pesquisa

Histórico i das Honeynets

Histórico i das Honeynets Honeynet Research Alliance (2002) Instituições envolvidas com pesquisa de honeynets Honeynet.BR (2002) Atividades maliciosas na Internet brasileira

Características ti das Honeynets É uma rede altamente t controlada onde todo pacote que entra ou deixa a honeynet é monitorado, capturado, e analisado. Qualquer tráfego que entra ou deixa a Honeynet é suspeito por natureza. Honeynet é um tipo de honeypot de alta interação, utilizada principalmente para pesquisa.

Exemplos de Honeynet É criado um ambiente que reflete uma rede de produção real; Nada é feito para tornar os sistemas inseguros;

Exemplo de Honeynet

Objetivos da Honeynet Conhecer o inimigo i i (Blackhats), suas ferramentas, suas táticas e suas motivações; Coletar dados e analisar ferramentas para aperfeiçoamento de sistemas de detecção de intrusão; Controle das ações intrusivas;

Componentes de uma honeynet Formada por diversos elementos, que podem ser divididos em: Componentes alvos: são os honeypots; Componentes de interconexão e contenção de fluxo; Componentes de captura, armazenamento e análise; >>

Componentes de Interconexão e contenção de fluxo Roteador Componente de interconexão e tem por função decidir qual o caminho que os pacotes que lhe são enviados deverão seguir Firewall Componente de contenção de fluxo de dados que separa, restringe e analisa datagramas IP que passam por ele. Volta

Componentes de captura, armazenamento e análise Sistemas de Detecção de Intrusão (IDS) Componente de captura e análise de fluxo de dados, auxiliando na monitoração do tráfego da rede. Logserver Componente de armazenamento, onde os registros possuem informações sobre os eventos ocorridos, possibilitando verificação ou análise.

Importância dos logs Fornecem uma visão das atividades id d que estão ocorrendo nos sistemas; Podem fornecer dados para análises de detecção de problemas ou falhas de segurança nos sistemas; Podem ser utilizados como evidências de um incidente de segurança.

Logservers Volta

Funcionamento de uma Honeynet Tornar a rede ativa: Criar contas de usuários; Enviar e-mails entre eles; Forjar documentos em alguns diretórios; Utilizar FTP ou TELNET; Utilizar alguns comandos que serão Utilizar alguns comandos que serão armazenados em histórico

Controle de dadosd O fluxo de tráfego deve ser controlado; O controle de acesso é obtido com a utilização firewall invisível; Necessário definir que qualquer conexão da Internet para a honeynet é autorizada; Que toda conexão de um honeypot para Internet é controlada; A honeynet e a rede administrativa não possuem nenhum tipo de comunicação direta.

Controle de dadosd Quanto mais atividade id d permitir, maior é o risco e também o potencial de aprender; Não limitar as conexões em casos de ataques a outros sistemas (os invasores poderão desconfiar); Deve conter um sistema antispoofing (evitar DoS); Podemos utilizar um roteador fixado entre o Firewall e a Honeynet

Captura de dadosd Todas as atividades dos atacantes na honeynet devem ser registradas e capturadas para posterior análise; O d d t d ã d Os dados capturados não devem ser armazenados localmente;

Camada de controle de acesso Monitorar atividades id d na honeynet (firewall ou roteador); O firewall poderá estar realizando: Envio de e-mail de alerta para os administradores; Armazenar informações sobre varreduras em banco de dados e confrontar com logs do IDS Somente registra tráfego que passa por ele;

Análise de dadosd Transformação das informações capturadas em dados úteis Logs de Firewall: Configurado para enviar e-mails de alertas, diminuindo o trabalho do processo de coleta de dados; Um alerta pode direcionar a análise mais detalhada no tráfego que o IDS capturou. Manter arquivados endereços IP e atividades em um ataque;

Análise da dadosd Análise do IDS: Alertas também armazenados em banco de dados; IDS relata o que o invasor está executando; Captura de dados em camada; Caso o atacante não utilize criptografia, a análise do arquivo de log ASC II pode ser útil; Comunicações entre os atacantes através do IRC (informações valiosas)

Análise da dadosd Logs de sistema: Identifcam as assinaturas dos ataques; Registram o caminho do invasor; Reinicializações realizadas; Os logs geralmente são apagados pelo atacante (comparar o que foi armazenado remotamente no servidor e na honeynet)

Tipos de Honeynets Clássica Virtual

Honeynet Clássica Clássica: Composta por sistemas reais (físicos); Instalações específicas; Sistemas operacionais variados e independentes;

Honeynet Clássica

Honeynet Clássica Vantagens: Dispositivos reais; Mais segurança pela descentralização dos honeypots; Desvantagens: Custo elevado; Dificuldades na instalação ação e administração; ação; Complexidade para manutenção; Espaço alocado muito grande;

Honeynet Virtual Composta por Honeypots virtuais (máquinas virtuais); Uso de emuladores; Todo ambiente composto por uma única máquina (sistemas operacionais emulados);

Honeynet Virtual

Honeynet Virtual Vantagens: Custo reduzido; Gerenciamento facilitado; Facilidade na instalação e administração; Menor gasto de energia elétrica, devido à menor quantidade de máquinas utilizadas Desvantagens: Limitação nos tipos de sistemas operacionais oferecidos pelos softwares de virtualização; Possibilidade de comprometimento do software de virtualização; Instabilidade pelo uso exaustivo de memória

Honeypots Comerciais i KFSensor (Honeypot real); Specter (Honeypot emulado); BackOfficer Friendly (Honeypot free); HoneyID;

KFSensor Requisitos de Sistema Win NT, 2K, XP, 2003 Server; Processador 1.5 Ghz; 500 Mb hard disk space; 512 Mb RAM;

KFSensor

Custo do KFSensor Software + uma licença = US$ 990,00 Custo por licença = US$ 349,00 Volta

Specter É instalado em um único equipamento; Pode emular até 14 Sistemas Operacionais diferentes;

Sistemas Emulados Windows 98 Windows NT Windows 2000 Windows XP Linux Solaris Tru64 (former Digital Unix) NeXTStep Irix Unisys Unix AIX MacOS MacOS X FreeBSD

Specter Requisitos de Sistema Win 2000 SP2 ou Win XP SP1 Processador 1.7 Ghz 512 Mb RAM

Custo do Specter Software + uma licença = US$899,00; Custo por licença = US$ 399,00; Volta

BackOfficer Friendly Programa Windows; Emula serviços básicos de rede: (Telnet, FTP, SMTP, POP3); Gera respostas falsificadas; Bloqueio do ataque; Monitora somente sete portas por vez; Volta

HoneyID Sistemas Unix; Emula vários sistemas operacionais; Pode assumir identidade d de um IP que não esteja sendo utilizado; Pode monitorar todas as portas baseadas em UDP e TCP; Grande facilidade de configuração; OpenSource (permite alteração no código fonte) Volta

Atividades id d para os alunos Pesquisar sobre projetos de honeynets: www.honeynet.org www.honeynet.org.br

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback