Honeypot significa “pote de mel” é um recurso de
segurança criado para ser sondado, atacado e
comprometido.
Pode ser uma máquina emulada ou uma máquina
real na rede.
Não é um sistema único, mas sim uma rede de
sistemas e aplicativos múltiplos, projetada para ser
comprometida e observada.
Tipos de Honeypot
de produção: Servem para distrair atividades
maliciosas de máquinas da rede ou como
mecanismo de alerta na rede de
computadores.
de pesquisa: Servem para monitorar e
estudar os comportamento dos atacantes.
Finalidades dos Honeypots
•
•
•
•
•
Coleta de códigos maliciosos;
Identificar varreduras e ataques;
Acompanhamento das vulnerabilidades;
Descobrir as motivações dos atacantes;
Auxílio aos sistemas de detecção de
intrusão;
• Manter atacantes afastados de sistemas
importantes.
Localização de um Honeypot
Honeynet
• É uma rede altamente controlada onde todo pacote
que entra ou deixa a honeynet é monitorado,
capturado, e analisado.
• Qualquer tráfego que entra ou deixa a Honeynet é
suspeito por natureza.
• Honeynet é um tipo de honeypot de alta interação,
utilizada principalmente para pesquisa.
• Nada é feito para tornar os sistemas inseguros.
Componentes de uma Honeynet
• Formada por diversos elementos, que podem
ser divididos em:
– Componentes alvos são os honeypots;
– Componentes de interconexão e
contenção de fluxo;
– Componentes de captura, armazenamento
e análise.
Componentes de uma Honeynet
Roteador: componente de interconexão e tem por função
decidir qual o caminho que os pacotes que lhe são enviados
deverão seguir.
Firewall: componente de contenção de fluxo de dados que
separa, restringe e analisa IPs que passam por ele.
Sistemas de Detecção de Intrusão (IDS): componente de
captura e análise de fluxo de dados, auxiliando na
monitoração do tráfego da rede.
Logserver: componente de armazenamento, onde os registros
possuem informações sobre os eventos ocorridos,
possibilitando verificação ou análise.
Funcionamento de uma Honeynet
A honeynet e a rede administrativa não possuem
nenhum tipo de comunicação direta.
Torna a rede ativa:
– Criar contas de usuários;
– Enviar e-mails entre eles;
– Forjar documentos em alguns diretórios;
– Utilizar FTP ou TELNET;
– Utilizar alguns comandos que serão
armazenados em histórico.
Controle de dados
• Quanto mais atividade permitir, maior é o risco e
também o potencial de aprender;
• Não limitar as conexões em casos de ataques a outros
sistemas (os invasores poderão desconfiar);
• Deve conter um sistema antispoofing (evitar DoS);
• Podemos utilizar um roteador fixado entre o Firewall e a
Honeynet.
Captura de dados
• Todas as atividades dos atacantes na honeynet
devem ser registradas e capturadas para posterior
análise;
• Os dados capturados não devem ser armazenados
localmente.
09/06/2004
BSI 350
Camada de controle de acesso
O firewall poderá estar realizando:
• Envio de e-mail de alerta para os administradores;
• Armazenar informações sobre varreduras em banco
de dados e confrontar com logs do IDS.
Camada de rede
Captura e análise dos pacotes que trafegam na rede;
Alerta sobre assinaturas suspeitas;
Capturar pressionamentos de teclas dos atacantes.
Tipos de Honeynets
Clássica e;
Virtual.
Honeynet Clássica
Composta por sistemas reais (físicos).
Instalações específicas;
Sistemas operacionais variados e independentes.
Vantagens: dispositivos reais; mais segurança pela
descentralização dos honeypots.
Desvantagens: custo elevado; dificuldades na instalação e
administração; complexidade para manutenção; espaço
alocado muito grande.
Honeynet Clássica
Honeynet Virtual
Composta por máquinas virtuais;
Uso de emuladores;
Todo ambiente composto por uma única máquina
(sistemas operacionais emulados).
Vantagens: custo reduzido; gerenciamento facilitado;
facilidade na instalação e administração; menor gasto de
energia elétrica devido à menor quantidade de máquinas
utilizadas.
Desvantagens: limitação nos tipos de sistemas
operacionais oferecidos pelos softwares de virtualização;
possibilidade de comprometimento do software de
virtualização; instabilidade pelo uso exaustivo de
memória.
Honeynet Virtual