Prévia do material em texto
Segurança de redes Aula 5: Honeynets Prof. Dr. Camilo Souza O que veremos nessa aula? • Honeynets & Honeypots • Definições • Tipos de honeypots • Honeynets • Tipos de honeynets Honeynets & Honeypots • Objetivos: • Prevenção • Detecção • Resposta • Funcionalidades: • Identificação de varreduras e ataques • Acompanhamento de vulnerabilidades • Compreender as motivações dos atacantes • Auxilio às ferramentas de segurança da informação • Coleta de códigos maliciosos • Ludibriar o inimigo Definições • Honeypot – Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido. Definições • Honeytoken – informação projetada para ser comprometida e observada, podendo ser um falso endereço de e-mail, um falso número de cartão de credito, um falso arquivo, uma falsa entrada em uma base de dados, entre outros. Tipos de Honeypots • Baixa interação – Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. • Exemplo: honeyd (http://www.honeyd.org/index.php) http://www.honeyd.org/index.php Exemplo Honeyd Definições • Baixa interatividade • Emula serviços e sistemas • Fácil configuração/manutenção • Baixo Risco de comprometimento • Atacante não tem acesso ao sistema operacional real • Aplicabilidade: • Detectar e identificar ataques internos/externos • Coletar assinaturas de ataques • Detectar máquinas comprometidas • Coletar códigos maliciosos Tipos de Honeypots • Alta interação – honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais. • Exemplo: Honeynets • Alta interatividade • Serviços legítimos • Cuidados especiais para evitar que sejam usados para lançamento de ataques • Coleta de inteligência, análise de tendências, 0 -day attacks (novas vulnerabilidades), captura de ferramentas, entre outros • Difíceis de administrar e manter • Aplicabilidade • Análise detalhada de ferramentas e vulnerabilidades exploradas • Coletar material para análise forense e treinamento de pessoal Definições • Honeynets - uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. Honeynets • Redes com múltiplos sistemas e aplicações • Possuem mecanismos robustos de contenção • Possuem mecanismos de captura de dados e geração de alertas • Devem permitir o trabalho do invasor • Não haver poluição de dados • somente tráfego gerado por “blackhats”, sem testes ou tráfego gerado pelos administradores • Controle Honeynets Honeynets reais •os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos. • diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados; • um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados; • um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados; • um computador atuando como repositório dos dados coletados; • hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet. Honeynets reais • Vantagens • baixo custo por dispositivo; • mais tolerante a falhas (ambiente é distribuído) • atacantes interagem com ambientes reais. • Desvantagens: • manutenção mais difícil e trabalhosa; • necessidade de mais espaço físico para os equipamentos • custo total tende a ser mais elevado. Honeynets virtuais • Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. • Geralmente utiliza um único computador • Processo de virtualização por conta de VMware ou UML • permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo. Honeynets virtuais • Vantagens • manutenção mais simples; • necessidade de menor espaço físico para os equipamentos • custo final tende a ser mais baixo • Desvantagens: • alto custo por dispositivo, pois são necessários equipamentos mais robustos; • pouco tolerante a falhas (muitos componentes concentrados em um único ponto); • software de virtualização pode limitar o hardware • atacante pode obter acesso a outras partes do sistema • Atacante pode detectar que está interagindo com ambiente virtual Honeynets - riscos • Ocorrer o comprometimento • do sistema operacional • do software do honeypot • Atrair atacantes para a rede onde está o honeypot • Um erro nos mecanismos de controle ou na configuração pode: • permitir que o honeypot seja usado para prejudicar outras redes • abrir uma porta para a rede da sua organização • Um comprometimento associado com sua organização pode afetar a sua imagem Honeynets - riscos Exercícios • O que é honeypot? • Quais os tipos de honeypots existentes? Cite vantagens e desvantagens de cada um. • O que é honeytoken? Cite exemplos de honeytokens. • O que é honeynet? • Quais os tipos de honeynets? Cite vantagens e desvantagens. • Quais os riscos oferecidos por honeynets & honeypots?