Honeypot: enganando e conhecendo o inimigo Carlos Manoel de Oliveira Junior Felipe Soares de Deco Simone da Silva Antonio Ameaças x Segurança • Atacantes • Ataques • Alvos escolhidos • Motivação Componentes de Segurança • IDS • Firewall • Honeypot Honeypot • Ferramenta utilizada para a monitoração de ataques, colecionando informações importantes sobre tendências e permitindo aprimorar a metodologia utilizada para a segurança de uma empresa Histórico • 1986 – “The Cucko’s Egg” – Cliford Stool • 1991 – Início ao Honeypot • 1997 – DTK – Fred Cohen • 1998 – Sting – Cybercop • 1999 – Honeynet Project – Lance Spitzner - Honeyd Tipos • Produção • Ferramenta de defesa • Destrair o atacante Tipos • Pesquisa • Registrar informações do ataque • Conhecer o inimigo Níveis de Interação • Baixa • Facilidade de instalação e configuração • Captura menor quantidade de dados • Menor risco Níveis de Interação • Alta • Complexos de se instalar e configurar • Captura maior quantidade de dados • Maior risco Honeynet • Conjunto de honeypots formando uma rede de computadores para ser comprometida. Classificação • Clássica • Dispositivos reais • maior segurança devido à descentralização da Honeynet • Desvantagens • Complexidade na instalação, gerenciamento e manutenção • Custo elevado Classificação • Virtual • Maior facilidade para a instalação e gerenciamento • Custo reduzido • Desvantagens • Limitação de realidade dos serviços • Centralização do processamento • Vulnerabilidades do software emulador Funcionamento Concretização do ataque Ambiente Honeynet protegido e monitorado Honeytokens • São informações disponibilizadas nas Honeynets que ajudam no trabalho do atacante Captura de Dados • Logserver • Captura de dados • • • • Camada de controle de acesso Camada de rede Camada de sistema Camada off-line Controle dos Dados • Segurança • Ferramentas de segurança • Quantidade de conexões Controle de Acesso • Enviar alertas ao administrador • Controlar e bloquear quando o número de conexões for excedido • Controlar o ataque on-line Análise dos dados • Logs de IDS • Logs de Firewall • Registros históricos do sistema Legalidade dos Honeypots • Armadilha • Privacidade • Responsalidade KFSensor • Estudo de caso KFSensor • Registros HELO SHASTA083130.ig.com.br MAIL FROM: <[email protected]> RCPT TO: <[email protected]> CONTEÚDO DO E-MAIL . QUIT Response 250 2.6.0 <[email protected]> Queued mail for delivery 250 2.0.0 OK Obrigado! Contatos: Carlos Manoel de Oliveira Junior: [email protected] Felipe Soares de Deco: [email protected] Simone da Silva Antonio: [email protected]