PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS
Curso de Engenharia da Computação
Disciplina de Tópicos em Redes B
Alunos:
Gustavo Sicoli
Luiz Fernando Testa Contador
Rafael Diniz de Freitas
Renato Seiti Tsukada
Este seminário visa apresentar as armadilhas para
invasores de sistemas, conhecidas como honeypots, e
seu uso como ferramenta de pesquisa. As discussões
vão se centrar em honeypots de baixa interatividade,
sua origem, vantagens e desvantagens das soluções
mais conhecidas. Baseado na ferramenta Valhala
Honeypot , será mostrado como configurar um
honeypot e monitorar os logs gerados, através de
ferramentas que emulam um ambiente para
demonstração do mesmo.

Honeypot = Pote de Mel
São recursos computacionais dedicados a
serem sondados, atacados ou comprometidos,
num ambiente que permita o registro
e controle dessas atividades.
“Um honeypot é um recurso de rede cuja função é de ser
atacado e compremetido (invadido). Significa dizer que um
Honeypot poderá ser testado, atacado e invadido. Os
honeypots não fazem nenhum tipo de prevenção, os
mesmos fornecem informações adicionais de valor
inestimável”
Lance Spitzner - 2003







Detectar ataques internos;
Identificar varreduras e ataques
automatizados;
Identificar tendências;
Manter atacantes afastados de sistemas
importantes;
Coletar assinaturas de ataques;
Detectar máquinas comprometidas ou com
problemas de configuração;
Coletar código malicioso (malware).
 Baixa Interatividade
 Alta Interatividade








Emulam serviços e sistemas
O atacante não tem acesso ao sistema
operacional real
O atacante não compromete o honeypot
Fácil de configurar e manutenção
Baixo risco
Informações obtidas são limitadas
Exemplos: Back Ofcer Friendly, Deception
Toolkit(DTK), Specter, Honeyd, Labrea, Tarpit





Mais difíceis de instalar e manter
Maior risco
Necessitam mecanismos de conteção, para
evitar que sejam usados para lançamento de
ataques contra outras redes
Coleta extensa de informações
Exemplos: honeynets e honeynets virtuais

Uma Honeynet é uma ferramenta de pesquisa,
que consiste de uma rede projetada
especificamente para ser comprometida, e que
contém mecanismos de controle para prevenir
que seja utilizada como base de ataques contra
outras redes

É conhecido também como "honeypot de
pesquisa” ,de alta interatividade, projetado para
pesquisa e obtenção de informações .


Honeynets Reais
Honeynets Virtuais

Diversos computadores, um para cada honeypot.
Cada honeypot com um sistema operacional, aplicações e
serviços reais instalados;
 Um computador com um firewall instalado, atuando como
mecanismo de contenção e de coleta de dados;
 Um computador com um IDS instalado, atuando como
mecanismo de geração de alertas e de coleta de dados;
 Um computador atuando como repositório dos dados
coletados;
 hubs/switches e roteador (se necessário) para fornecer a
infra-estrutura de rede da honeynet.

Uma honeynet virtual baseia-se na idéia de ter todos os
componentes de uma honeynet implementados em um
computador

Um único computador com um sistema operacional instalado, que
serve de base para a execução de um software de virtualização,
como o Vmware,VirtualBox.

As honeynets virtuais ainda são subdivididas em duas categorias:
Na primeira, todos os mecanismos, incluindo contenção, captura e
coleta de dado, geração de alertas e os honeypots (implementados
através de um software de virtualização)

Na segunda, esses mecanismos são executados em dispositivos
distintos e os honeypots em um único computador com
um software de virtualização.

Honeynets Virtuais

Vantagens: manutenção mais simples;
necessidade de menor espaço físico, e custo
final tende a ser mais baixo.

Desvantagens : alto custo por dispositivo, pois
são necessários equipamentos mais robustos;
pouco tolerante a falhas, atacante pode obter
acesso a outras partes do sistema.
através do software de Virtualização

Honeynets Reais

Vantagens: baixo custo por dispositivo; mais
tolerante a falhas (ambiente é distribuído), e
os atacantes interagem com ambientes reais.

Desvantagens : manutenção mais difícil e
trabalhosa; necessidade de mais espaço físico
para os equipamentos, e custo total tende a
ser mais elevado.

Honeypots/Honeynets devem ser utilizados
como um complemento para a segurança e
não devem ser usados como substitutos para:



Boas práticas de segurança;
Políticas de segurança;
Sistemas de gerenciamento de correções de
segurança (patches);
Outras ferramentas de segurança,
como firewall e IDS.








Porque usar Honeyd?
Simula sistemas, executando em espaços de
endereçamento não alocados
Simula diversos hosts virtuais ao mesmo tempo
Simula um SO no nível de pilha do TCP/IP
Engana o nmap e o xprobe
Suporta redirecionamento de um serviço
Suporta somente os protocolos TCP, UDP e ICMP
A Ferramenta Honeydsum
Escrita em Perl
Gera sumários em texto e HTML válido
Gera grácos personalizados
Sistema de ltros como, portas, protocolos,
endereços IPs e redes, etc.
 Sanitização dos logs por endereço/rede de origem
e/ou destino
 Correlacionamento de eventos entre diversos
honeypots




Analise de Logs por Honeyd ( usando TCP/UDP)
Analise de Logs por Honeyd (Utilizando SSH)
Analise de Logs por Honeyd (Ataque por HTTP)


Honeypots e Honeynets: Definicões e Aplicacões
http://www.cert.br/docs/whitepapers/honeypots-honeynets/


Resultados Preliminares do Projeto SpamPots
http://www.cert.br/docs/whitepapers/spampots/


Consórcio Brasileiro de Honeypots
http://www.honeypots-alliance.org.br/


The Honeynet Project
http://www.honeynet.org/


CERT.br
http://www.cert.br/


NIC.br
http://www.nic.br/