Honeypot
Um honeypot é:
Um recurso computacional de segurança dedicado a ser
sondado, atacado ou comprometido
Existem dois tipos de honeypots:
Os de baixa interatividade e os de alta interatividade.
Honeypot
Honeypots de baixa interatividade
Em um honeypot de baixa interatividade são instaladas
ferramentas para emular sistemas operacionais e serviços com os
quais os atacantes irão interagir.
Desta forma, o sistema operacional real deste tipo de honeypot
deve ser instalado e configurado de modo seguro, para minimizar
o risco de comprometimento.
Honeypot
Honeypots de alta interatividade
Nos honeypots de alta interatividade os atacantes interagem com
sistemas operacionais, aplicações e serviços reais.
Honeypot
Honeynet
Definição 1: uma Honeynet é uma ferramenta de pesquisa, que
consiste de uma rede projetada especificamente para ser
comprometida, e que contém mecanismos de controle para
prevenir que seja utilizada como base de ataques contra outras
redes .
Definição 2: uma Honeynet nada mais é do que um tipo de
honeypot. Especificamente, é um honeypot de alta interatividade,
projetado para pesquisa e obtenção de informações dos
invasores. É conhecido também como "honeypot de pesquisa" .
Honeypot
Uma honeynet normalmente contém:
* Segmento de rede com honeypots de diversos sistemas operacionais.
*Diversas aplicações e serviços.
*Mecanismos de contenção robustos.
*Múltiplos níveis de controle.
*Sistemas para captura e coleta de dados, e para geração de alertas.
Honeypot
A honeynet é utilizada para observar o comportamento dos invasores:
*Possibilitando análises detalhadas das ferramentas utilizadas para invasão.
*Motivações para a invasão.
*Vulnerabilidades exploradas.
Honeypot
Honeynets reais
Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots,
mecanismos de contenção, de alerta e de coleta de informações, são físicos.
*Diversos computadores, cada honeypot com um sistema operacional, aplicações e
serviços reais instalados.
*Firewall instalado, atuando como mecanismo de contenção e de coleta de dados.
*IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados.
*Computador atuando como repositório dos dados coletados.
*Hubs /switches e roteador (se necessário) para fornecer a infra-estrutura de rede da
honeynet.
Honeypot
Honeynets virtuais
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet
implementados em um número reduzido de dispositivos físicos.
Para isto, normalmente é utilizado um único computador com um sistema operacional
instalado, que serve de base para a execução de um software de virtualização, como o
VMware (Virtual Infrastructure Software)
Os softwares de virtualização permitem executar diversos sistemas operacionais com
aplicações e serviços instalados, ao mesmo tempo.
Honeypot
Honeypot
Consórcio Brasileiro de Honeypots
Projeto Honeypots Distribuído
Honeypot
#
City
Institutions
01
São José dos Campos
INPE, ITA
02
Rio de Janeiro
BNDES, CBPF, Embratel, Fiocruz, Furnas, PUCRIO, RedeRio
03
São Paulo
ANSP, Banco Real, CERT.br, Diveo, Durand,
TIVIT, UNESP, UOL, USP
04
Campinas
CenPRA, ITAL, UNICAMP
05
São José do Rio Preto
UNESP
06
Piracicaba
USP
07
Petrópolis
LNCC
08
Brasília
Banco do Brasil, Brasil Telecom, CTIR Gov,
Ministério da Justiça, TCU
09
Porto Alegre
CERT-RS
10
Ribeirão Preto
USP
11
São Carlos
USP
12
Florianópolis
UFSC DAS
13
Uberlândia
CTBC Telecom
14
Lins
FPTE
15
Passo Fundo
UPF
16
Curitiba
Onda, PoP-PR, PUCPR
17
Belém
UFPA
18
São Leopoldo
Unisinos
19
Belo Horizonte
CSIRT PoP-MG, Diveo
20
Recife
EMPREL
21
Salvador
UFBA
22
Vitória
PoP-ES
Honeypot
Abrangência
*Todo o tráfego destinado a ele é, por definição, anômalo ou malicioso.
*Ferramenta de segurança isenta de falso-positivos.
*Fornece informações de alto valor.
*Utilizados como um complemento para a segurança da rede de uma
instituição.
Honeypot
Aplicabilidade
Normalmente, o uso de honeypots está associado aos seguintes objetivos:
*Detectar ataques internos.
*Identificar varreduras e ataques automatizados; identificar tendências;
*Manter atacantes afastados de sistemas importantes;
*Coletar assinaturas de ataques;
*Detectar máquinas comprometidas ou com problemas de configuração;
*Coletar código malicioso (malware).
Honeypot
Tabela Comparativa
Características
Honeypot de baixa
interatividade
Honeypot de alta
interatividade/Honeynet
Instalação
fácil
mais difícil
Manutenção
fácil
trabalhosa
Risco de comprometimento
baixo
alto
Obtenção de informações
limitada
extensiva
Necessidade de mecanismos de
contenção
não
sim
Atacante tem acesso ao S.O. real
não (em teoria)
sim
Aplicações e serviços oferecidos
emulados
reais
Atacante pode comprometer o
honeypot
não (em teoria)
sim
Honeypot
Posicionamento na Rede
*Necessita de um bloco de endereçamento IP da instituição, que seja roteável e que
não esteja sendo utilizado.
*Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da
instituição.
*Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo
utilizado.
*É fortemente recomendado que não haja poluição de dados.
*Não haver qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o
honeypot/honeynet.
Honeypot
Consórcio Brasileiro de Honeypots
Projeto Honeypots Distribuído
Este projeto tem o objetivo de aumentar a capacidade de detecção de incidentes,
correlação de eventos e determinação de tendências de ataques no espaço Internet
brasileiro.
Para atingir estes objetivos, pretende-se:
Implantar uma rede distribuída de honeypots de baixa interatividade (Honeyd),
buscando cobrir a maior parte do espaço de endereços IP da Internet no Brasil.
Montar um sistema de análise de dados que permita o estudo de correlações e
tendências de ataques.
Atuar conjuntamente com Grupos de Resposta a Incidentes de Segurança de
Computadores (CSIRTs) na difusão destas informações
Honeypot