Microcurso: Honeypots e Honeynets

Documentos relacionados
Honeypots, honeynets e honeytokens

Segurança: Tendências Atuais e Recomendações do NBSO

HoneyPot e HoneyNet. Reginaldo Campos Segurança em Redes de Computadores

Honeypots - A segurança através do disfarce

IDS. Honeypots, honeynets e honeytokens.

DESVIO DE TRÁFEGO MALICIOSO DESTINADO A REDES DE PRODUÇÃO PARA UMA HONEYNET

HLBR: Um IPS invisível para a segurança em redes de computadores. João Eriberto Mota Filho (Comando do Exército Brasileiro)

Resposta a Incidentes no Brasil: Situação Atual e o Papel do NBSO

Honeypots Conhecendo o inimigo

Ferramenta de. Humberto Sartini

Detecção de Intrusão

Apresentação, Metodologia. NBSO NIC Br Security Office

Tendências em Atividades Maliciosas na Internet Brasileira

IPS HLBR: aprimorando a segurança da sua rede

Firewalls Reginaldo Campos 1

Honeypot and Honeynet

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

TOCI08 Segurança em Redes de Computadores Módulo 13: IDS Intrusion Detection Systems, IPS Intrusion Prevention Systems, Honeypots&Honeynets

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Boas Práticas no Tratamento de Incidentes de Segurança

Sistemas de Detecção de Intrusão

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Humberto Sartini

HoneyPots-Um Projeto Pró-ativo em Segurança de Redes

Grupos de Resposta a Incidentes: e o Papel do NBSO

DESCRIÇÃO E JUSTIFICATIVAS TECNICAS SOBRE A INFLUÊNCIA DO SISTEMA OPERACIONAL NA SEGURANÇA DOS SERVIÇOS IPS

Hands-on: Implantação de monitoramento por Sflow

Fundamentos de Segurança da Internet. Cristine Hoepers, D.Sc. Klaus Steding-Jessen, D.Sc. 30/03/2016

Preparação AV3 Fundamentos de Redes de Computadores

Projeto Honeypots Distribuídos. Antonio Montes - CenPRA/MCT Klaus Steding-Jessen NBSO/CGIbr Cristine Hoepers NBSO/CGIbr

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

CURSO TÉCNICO EM INFORMÁTICA

Camada de Aplicação da Arquitetura TCP/IP

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Ferramentas de Segurança. Sumário

SISTEMAS DE INFORMAÇÃO Redes de Computadores II. Firewall

Honeypots e Honeynets: as vantagens de conhecer o inimigo

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Estatísticas sobre o Spam no Brasil

Tratamento de Incidentes. em Função de alguns Ataques Atuais na Internet-BR

Modelo de Camadas. Redes de Computadores

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

SDN-IPS - Uma solução para contenção de ataques cibernéticos usando SDN/OpenFlow

Prof. Ravel Silva ( SIMULADO 01 - PERITO PF QUESTÕES

estudo de segurança

[Digite texto] XLabs. Web App Firewall. formation Security

Arquitetura da Internet TCP/IP

Introdução a Redes e a Internet. Introdução ao Computador 2010/01 Renan Manola

Firewall. Prof. Marciano dos Santos Dionizio

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

Redes de Computadores. Modelo TCP/IP. Instituto Federal de Educação, Ciência e Tecnologia do Triângulo Mineiro Prof. Edwar Saliba Júnior

Segurança de Redes 5º Semestre

Apresentando os Honeypots: Definições, Conceitos. Gerais e Implantação

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

PROCESSO SELETIVO EDITAL 12/2018

Interconexão de redes locais. Repetidores. Hubs. Existência de diferentes padrões de rede

FACULDADE DE TECNOLOGIA SENAC GOIÁS

AULA 2 - INTERNET. Prof. Pedro Braconnot Velloso

Planificação Anual da disciplina de Comunicação de dados 12º 1PE

INFORMÁTICA. Com o Professor: Rene Maas

Rede de computadores Cliente- servidor. Professor Carlos Muniz

Firewalls. André Zúquete Segurança Informática e nas Organizações 1

Segurança da Informação

IX Fórum Regional São Paulo, SP 10 de novembro de 2017

Dispositivos de Interconexões de Redes de Computadores

FUNDAMENTOS DE REDES DE COMPUTADORES Unidade 5 Camada de Transporte e Aplicação. Luiz Leão

REVISÃO - Questões de Redes em Concursos. Semestre: 2 Bimestre:2 Data: / / 2013

Disciplina: Redes de Computadores I (R1)

Honeypots e Honeynets: Contra-inteligência ncia no Ciberespaço

A Aplicabilidade do Honeypot Valhala Utilizando Serviços de Alta e Baixa Interatividade

Redes P2P Gnutella e Simuladores

Protótipo de um software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Redes de Computadores e Telecomunicações - Camada de Transporte

Protocolos e Arquiteturas de Redes. Thiago Leite

Modelo de Referência TCP/IP

Interconexão de redes locais. Repetidores. Pontes (Bridges) Existência de diferentes padrões de rede. Interconexão pode ocorrer em diferentes âmbitos

Segurança da Informação nas Universidades A Experiência da UFRN

Operations Research Serviços de Redes

Segurança da Internet no Brasil: Estudos e Iniciativas

Segurança em Sistemas Informáticos. Denial of Service

Resumo. Redes de Computadores. História da Internet. História da Internet. História da Internet. História da Internet

Segurança e Arquitetura em Redes de Computadores

INFO ARQ REDES. Prova 2 Bimestre. Obs: Questões RASURADAS são consideradas como ERRADAS GABARITO

Monitoração de Tráfego Par-a-Par em Tempo Real

Data and Computer Network Endereçamento IP

ANÁLISE DE EXPLOITS PARA APLICAÇÕES LINUX

Configuração do Intrusion Prevention System (IPS) para o roteador da Segurança do gigabit do Sem fio-n WRVS4400N

CERT.br, NIC.br e CGI.br Apresentação e Atuação

Cenário Atual. CSIRT Computer Security Incident Response Team. CSIRTs CSIRT. Tipos de CSIRTs. Fatores de Sucesso. Problemas no Cenário Atual

FUNDAMENTOS DE REDES DE COMPUTADORES - CCT0647

Redes de Computadores

Detecção de Intrusão. Intrusão. Intruso. É o processo pelo qual algo tenta violar uma sistema.

Firewall e tradução de endereço de rede

Configuração da recusa de técnicas de prevenção do serviço (série da Segurança) em switch empilhável do Sx500 Series

Transcrição:

Microcurso: Honeypots e Honeynets Antonio Montes Cristine Hoepers Klaus Steding-Jessen Instituto Nacional de Pesquisas Espaciais INPE Ministério da Ciência e Tecnologia NIC BR Security Office NBSO Comitê Gestor da Internet no Brasil SSI 2003 V Simpósio Segurança em Informática p.1/36

Roteiro Definições Histórico e aplicações Projetos em andamento Honeypots de baixa interatividade Honeynets SSI 2003 V Simpósio Segurança em Informática p.2/36

Definição Honeypots são recursos computacionais dedicados a serem sondados, atacados ou comprometidos, num ambiente que permita o registro e controle dessas atividades. Honeynets são redes compostas de uma sub-rede de administração e de uma sub-rede de honeypots. SSI 2003 V Simpósio Segurança em Informática p.3/36

Histórico Primeiras publicações Clifford Stoll The Cuckoo s Egg: Tracking a Spy Through the Maze of Computer Espionage (1989); Sistema não havia sido preparado para ser invadido. Discrepância de US$0,75 na contabilidade do sistema deu início à monitoração do invasor. Bill Cheswick An Evening with Berferd in Which a Cracker is Lured, Endured, and Studied (1992); Sistema preparado para ser invadido, visando o aprendizado. Foram utilizados emuladores de serviços e ambientes chroot d. SSI 2003 V Simpósio Segurança em Informática p.4/36

Histórico (cont.) Lance Spitzner Learning the Tools and the Tactics of the Enemy with Honeynets (2000); Descrição de uma rede especialmente preparada para ser comprometida, início do Projeto Honeynet. SSI 2003 V Simpósio Segurança em Informática p.5/36

Outras Ferramentas Deception Toolkit (1997) CyberCop Sting (1998) NetFacade (1998) BackOfficer Friendly (1998) Honeynet Project (1999) Honeyd (2002) SSI 2003 V Simpósio Segurança em Informática p.6/36

Aplicações Honeynets de Pesquisa são ferramentas de pesquisa que podem ser utilizadas para observar o comportamento de invasores, permitindo análises detalhadas de suas motivações, das ferramentas utilizadas e vulnerabilidades exploradas. Honeypots de Produção podem ser utilizados em redes de produção como complemento ou no lugar de sistemas de detecção de intrusão. SSI 2003 V Simpósio Segurança em Informática p.7/36

Prós & Cons Tradicionalmente segurança sempre foi sinônimo de defesa passiva, honeypots e honeynet provocaram uma mudança de postura, permitindo maior pró-atividade por parte dos administradores; Grande vantagem: são instalados de maneira que todo tráfego destinado a um honeypot é anômalo ou malicioso, sem falsos-positivos, dados de alto valor; Grande desvantagem: só vê tráfego destinado a ele, introduz um risco adicional. SSI 2003 V Simpósio Segurança em Informática p.8/36

Tipos de Honeypots Alta ou baixa interatividade. Baixa interatividade: Emula serviços; Por serem relativamente seguros, são apropriados para redes de produção; Excelentes complementos para SDI. SSI 2003 V Simpósio Segurança em Informática p.9/36

Tipos de Honeypots (cont.) Alta interatividade Serviços legítimos; Coleta de inteligência, análise de tendências, 0-day attacks (novas vulnerabilidades), captura de ferramentas, etc; Cuidados especiais para evitar que sejam usados para lançamento de ataques; Difíceis de administrar e manter. SSI 2003 V Simpósio Segurança em Informática p.10/36

Honeynet.BR Início do projeto em dezembro de 2001, entrou em operação em março de 2002; Arquitetura consiste numa rede administrativa, formada por um firewall (pf) operando em modo bridge e um sistema de detecção de intrusão on-line (hogwash). O firewall registra todo o tráfego e limita a banda de saída. A honeynet é composta de várias máquinas rodando diferentes sistemas operacionais e serviços. SSI 2003 V Simpósio Segurança em Informática p.11/36

Honeynet.BR (cont.) Desenvolvimento de Metodologias e Ferramentas para a Implantação, Controle e Monitoração de Honeynets; Desenvolvimento de Metodologias e Ferramentas para a Análise das Informações Colhidas em Honeynets e seu uso na Resposta a Incidentes de Segurança; Desenvolvimento de Metodologias e Ferramentas para o Registro de Atividades em Máquinas Invadidas; Desenvolvimento de Metodologias e Ferramentas para o Redirecionamento de Ataques; SSI 2003 V Simpósio Segurança em Informática p.12/36

Honeynet.BR (cont.) Artigo apresentado na 15th Annual Computer Security Incident Handling Conference (FIRST), Ottawa, Canadá, June 22-27, 2003; Curso hands-on apresentado na Universidade Groningen, Holanda, Outubro, 6-10, 2003. Rede de Honeypots Distribuídos. SSI 2003 V Simpósio Segurança em Informática p.13/36

Honeypots Distribuídos Rede de honeypots de baixa interatividade com o objetivo de cobrir o maior número de AS da Internet brasileira; Atualmente em fase de implantação em diversas redes acadêmicas e de pesquisa do País: 14 instituições, cobrindo mais de 1500 IPs; Usa o aplicativo Honeyd para emular diferentes sistemas operacionais e serviços de rede; Logging centralizado. SSI 2003 V Simpósio Segurança em Informática p.14/36

Honeypots Distribuídos (cont.) Além de servir como complemento do SDI (ataques internos, falsos positivos); Permite levantar tendências, coletar artefatos, fontes de ataques, etc; Apoio à atuação de grupos de resposta a incidentes. SSI 2003 V Simpósio Segurança em Informática p.15/36

Honeypots de Baixa Interatividade SSI 2003 V Simpósio Segurança em Informática p.16/36

Características Emulam algumas partes de serviços e sistemas não existe serviço real a ser atacado sucesso depende da qualidade do emulador O atacante não tem acesso ao sistema operacional real O atacante não pode comprometer o honeypot (em tese) Adequados para redes de produção SSI 2003 V Simpósio Segurança em Informática p.17/36

Riscos Ocorrer o comprometimento do sistema operacional do software do honeypot Atrair atacantes para a rede onde está o honeypot SSI 2003 V Simpósio Segurança em Informática p.18/36

Quando Usar Não há pessoal e/ou hardware disponível para manter uma honeynet O risco de um honeypot de alta interatividade não é aceitável Detecção de ataques internos SSI 2003 V Simpósio Segurança em Informática p.19/36

Quando Usar (cont.) Tem-se o propósito de: identificar varreduras e ataques automatizados identificar tendências manter atacantes afastados de sistemas importantes coletar assinaturas de ataques coletar código malicioso SSI 2003 V Simpósio Segurança em Informática p.20/36

Listeners Propósito: fechar o three-way handshake registrar as atividades Basicamente dois tipos: apenas estabelecem a conexão entendem o protocolo (http, ftp, etc) Podem ser executados standalone ou via honeyd SSI 2003 V Simpósio Segurança em Informática p.21/36

Honeyd A framework for virtual honeypots, that simulates virtual computer systems at the network level. Niels Provos, Honeyd: A Virtual Honeypot Daemon SSI 2003 V Simpósio Segurança em Informática p.22/36

Características do Honeyd Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo tempo Permite a configuração de serviços arbitrários Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço SSI 2003 V Simpósio Segurança em Informática p.23/36

Características do Honeyd (cont.) Suporta somente os protocolos TCP, UDP e ICMP Recebe o tráfego de rede: Utilizando proxy ARP (arpd) Através de roteamento específico para os endereços IP virtuais SSI 2003 V Simpósio Segurança em Informática p.24/36

Onde Obter o Honeyd Honeyd http://www.honeyd.org/ http://www.citi.umich.edu/u/provos/honeyd/ Honeyd: A Virtual Honeypot Daemon (Extended Abstract) http://niels.xtdnet.nl/papers/honeyd-eabstract.pdf SSI 2003 V Simpósio Segurança em Informática p.25/36

Honeynets SSI 2003 V Simpósio Segurança em Informática p.26/36

Definição de Honeynets (1) Honeynets são ferramentas de pesquisa que consistem de uma rede projetada especificamente para ser comprometida, com mecanismos de controle que impedem que esta rede seja usada como base para lançar ataques contra outras redes. Cristine Hoepers, Klaus Steding-Jessen, Antonio Montes, Honeynets Applied to the CSIRT Scenario SSI 2003 V Simpósio Segurança em Informática p.27/36

Características Redes com múltiplos sistemas e aplicações Possuem mecanismos robustos de contenção Possuem mecanismos de captura de dados e geração de alertas Não haver poluição de dados somente tráfego gerado por blackhats, sem testes ou tráfego gerado pelos administradores SSI 2003 V Simpósio Segurança em Informática p.28/36

Requisitos Mecanismos de Contenção: Devem conter ataques partindo da honeynet para outras redes Precisam ser transparentes para o atacante nem sempre iludem atacantes avançados Precisam deixar o atacante trabalhar fazer download de ferramentas, conectar no IRC, etc Deve ter múltiplas camadas de contenção para prevenir falhas SSI 2003 V Simpósio Segurança em Informática p.29/36

Requisitos (cont.) Captura de dados: Deve-se capturar o maior número possível de dados Prover redundância Coleta deve ser feita em diferentes pontos firewall, IDS, honeypots, loghost, etc Considerar utilizar um formato conhecido permite o uso de ferramentas populares facilita o desenvolvimento de ferramentas SSI 2003 V Simpósio Segurança em Informática p.30/36

Requisitos (cont.) Centralização de dados: Necessário em um ambiente distribuído Centralizar dados em um único ponto facilita a análise e o armazenamento Devem ter mecanismo seguro de transferência de dados SSI 2003 V Simpósio Segurança em Informática p.31/36

Requisitos (cont.) Mecanismos de Alerta: Devem ser confiáveis Podem usar meios diferentes email, pager, celular, etc Necessitam de um mecanismo de priorização Arquivamento é importante para análise de tendências SSI 2003 V Simpósio Segurança em Informática p.32/36

Riscos Um engano na configuração da contenção pode: permitir que a honeynet seja usada para prejudicar outras redes abrir uma porta para a rede de sua organização Um comprometimento associado com a organização pode afetar a imagem Sua honeynet ser identificada SSI 2003 V Simpósio Segurança em Informática p.33/36

Riscos (cont.) Por que é tão arriscado usá-las? Nível de interação o atacante tem controle total da máquina São complexas de desenvolver e manter diversas tecnologias atuando em conjunto múltiplos pontos de falha Novos ataques e ameaças podem não ser contidos ou sequer vistos SSI 2003 V Simpósio Segurança em Informática p.34/36

Topologia da Honeynet.BR Administrative Network Forensics Honeynet Honeypot 1 INTERNET Switch IDS Hub Honeypot 2 Router... Hogwash Firewall Honeypot n SSI 2003 V Simpósio Segurança em Informática p.35/36

Referências Honeynet.BR Project http://www.honeynet.org.br/ Honeynet Research Alliance http://www.honeynet.org/alliance/ Authors: Cristine Hoepers <cristine@nic.br> Klaus Steding-Jessen <jessen@nic.br> Antonio Montes <montes@lac.inpe.br> SSI 2003 V Simpósio Segurança em Informática p.36/36

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback