Honeynets: Prevenção, Detecção e Resposta

Prévia do material em texto

Segurança de redes
Aula 5: Honeynets
Prof. Dr. Camilo Souza
O que veremos nessa aula?
• Honeynets & Honeypots
• Definições
• Tipos de honeypots
• Honeynets
• Tipos de honeynets
Honeynets & Honeypots
• Objetivos: 
• Prevenção 
• Detecção 
• Resposta 
• Funcionalidades: 
• Identificação de varreduras e ataques 
• Acompanhamento de vulnerabilidades 
• Compreender as motivações dos atacantes 
• Auxilio às ferramentas de segurança da informação 
• Coleta de códigos maliciosos 
• Ludibriar o inimigo 
Definições
• Honeypot – Um honeypot é um recurso computacional de segurança 
dedicado a ser sondado, atacado ou comprometido.
Definições
• Honeytoken – informação projetada para ser comprometida e 
observada, podendo ser um falso endereço de e-mail, um falso 
número de cartão de credito, um falso arquivo, uma falsa entrada em 
uma base de dados, entre outros.
Tipos de Honeypots
• Baixa interação – Em um honeypot de baixa interatividade são instaladas
ferramentas para emular sistemas operacionais e serviços com os quais os
atacantes irão interagir. Desta forma, o sistema operacional real deste tipo
de honeypot deve ser instalado e configurado de modo seguro, para
minimizar o risco de comprometimento.
• Exemplo: honeyd (http://www.honeyd.org/index.php)
http://www.honeyd.org/index.php
Exemplo Honeyd
Definições
• Baixa interatividade 
• Emula serviços e sistemas 
• Fácil configuração/manutenção 
• Baixo Risco de comprometimento 
• Atacante não tem acesso ao sistema operacional real 
• Aplicabilidade: 
• Detectar e identificar ataques internos/externos 
• Coletar assinaturas de ataques 
• Detectar máquinas comprometidas 
• Coletar códigos maliciosos
Tipos de Honeypots
• Alta interação – honeypots de alta interatividade os atacantes
interagem com sistemas operacionais, aplicações e serviços reais.
• Exemplo:
Honeynets
• Alta interatividade
• Serviços legítimos
• Cuidados especiais para evitar que sejam usados para lançamento de ataques
• Coleta de inteligência, análise de tendências, 0 -day attacks (novas
vulnerabilidades), captura de ferramentas, entre outros
• Difíceis de administrar e manter
• Aplicabilidade
• Análise detalhada de ferramentas e vulnerabilidades exploradas
• Coletar material para análise forense e treinamento de pessoal
Definições
• Honeynets - uma Honeynet nada mais é do que um tipo de honeypot.
Especificamente, é um honeypot de alta interatividade, projetado
para pesquisa e obtenção de informações dos invasores.
Honeynets
• Redes com múltiplos sistemas e aplicações
• Possuem mecanismos robustos de contenção
• Possuem mecanismos de captura de dados e geração de alertas
• Devem permitir o trabalho do invasor
• Não haver poluição de dados
• somente tráfego gerado por “blackhats”, sem testes ou tráfego gerado pelos
administradores
• Controle
Honeynets
Honeynets reais
•os dispositivos que a compõem, incluindo os
honeypots, mecanismos de contenção, de alerta e de
coleta de informações, são físicos.
• diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, 
aplicações e serviços reais instalados;
• um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de 
dados;
• um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de 
dados;
• um computador atuando como repositório dos dados coletados;
• hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.
Honeynets reais
• Vantagens
• baixo custo por dispositivo; 
• mais tolerante a falhas (ambiente é distribuído)
• atacantes interagem com ambientes reais.
• Desvantagens:
• manutenção mais difícil e trabalhosa; 
• necessidade de mais espaço físico para os equipamentos
• custo total tende a ser mais elevado.
Honeynets virtuais
• Uma honeynet virtual baseia-se na idéia de ter todos os componentes
de uma honeynet implementados em um número reduzido de
dispositivos físicos.
• Geralmente utiliza um único computador
• Processo de virtualização por conta de VMware ou UML
• permitem executar diversos sistemas operacionais com aplicações e serviços 
instalados, ao mesmo tempo.
Honeynets virtuais
• Vantagens
• manutenção mais simples; 
• necessidade de menor espaço físico para os equipamentos
• custo final tende a ser mais baixo
• Desvantagens:
• alto custo por dispositivo, pois são necessários equipamentos mais robustos;
• pouco tolerante a falhas (muitos componentes concentrados em um único 
ponto); 
• software de virtualização pode limitar o hardware
• atacante pode obter acesso a outras partes do sistema
• Atacante pode detectar que está interagindo com ambiente virtual
Honeynets - riscos
• Ocorrer o comprometimento
• do sistema operacional
• do software do honeypot
• Atrair atacantes para a rede onde está o honeypot
• Um erro nos mecanismos de controle ou na configuração pode:
• permitir que o honeypot seja usado para prejudicar outras redes
• abrir uma porta para a rede da sua organização
• Um comprometimento associado com sua organização pode afetar a sua
imagem
Honeynets - riscos
Exercícios
• O que é honeypot?
• Quais os tipos de honeypots existentes? Cite vantagens e
desvantagens de cada um.
• O que é honeytoken? Cite exemplos de honeytokens.
• O que é honeynet?
• Quais os tipos de honeynets? Cite vantagens e desvantagens.
• Quais os riscos oferecidos por honeynets & honeypots?