Honeypot

Gislaine Aparecida Rojas
RA: 002319-1

Anlise de Intruses atravs de
Honeypots e Honeynets

Americana SP
Segundo Semestre de 2003
www .ProjetodeRedes .com.br
Outros trabalhos em:
Gislaine Aparecida Rojas
RA: 002319-1

Anlise de Intruses atravs de
Honeypots e Honeynets

Orientador:
Marcos Antonio de Almeida Cor

Americana SP
Segundo Semestre de 2003
Trabalho de graduao apresentado
Faculdade de Tecnologia de Americana, como
parte dos requisitos para obteno do ttulo de
Tecnlogo em Processamento de Dados.

Dedico este trabalho aos meus pais Elvira e
Honofre, minha irm Gisele e a todos aqueles que
colaboraram para concretizao de mais essa fase.

Agradecimentos

A Deus pela oportunidade da vida, e por todas as bnos que me concede
a cada amanhecer.

Aos meus pais Elvira e Honofre, pela dedicao e apoio familiar. A minha
irm Gisele pelo carinho e excessivas colaboraes.

As minhas amigas Fabiana, Joseane e Mariluce, que me ajudaram em todos
os sentidos.

Aos colegas da FATEC, que estiveram presentes durante esses anos na
faculdade e ao Edgar, pela ajuda na escolha desse tema.

Aos professores que me deram oportunidades de novos conhecimentos, e
em especial ao Professor Marcos Cor, pela orientao fornecida durante o
desenvolvimento desse trabalho.

Enfim, a todos que direta ou indiretamente colaboraram para concretizao
desse trabalho de graduao.

Sumrio

Resumo........................................................................................................... 08
Abstract........................................................................................................... 09
1. Introduo......................................................................................... 10
1.1. Hackers............................................................................................ 11
1.2. Motivaes....................................................................................... 12
1.3. Entidades mais vulnerveis.............................................................. 13
1.4. Pontos Fracos na Segurana da Rede............................................. 13
1.4.1. Bugs de Sistema.............................................................................. 14
1.4.2. Problemas de Configurao de Sistema......................................... 14
1.5. Organizao da Dissertao............................................................ 15
2. Ambientes de Anlise de Intruses.................................................. 17
2.1. Histrico........................................................................................... 17
2.2. Honeypots........................................................................................ 17
2.2.1. Vantagens e Desvantagens.............................................................. 18
2.2.2. Nveis de Interao........................................................................... 19
2.2.3. Localizao de um Honeypot........................................................... 20
2.2.4. Legalidade dos Honeypots............................................................... 21
2.3. Honeynets......................................................................................... 22
2.3.1. Funcionamento de uma Honeynet.................................................... 23
2.3.1.1. Controle de Dados............................................................................ 23
2.3.1.2. Captura de Dados............................................................................. 25
2.3.1.3. Anlise.............................................................................................. 27
2.3.2. Tcnicas Adicionais de Anlise........................................................ 29
2.3.2.1. Obteno Passiva de Impresses Digitais....................................... 29
2.3.2.2. Anlise de Argumentao................................................................ 31
2.3.3. Tipos de Honeynets.......................................................................... 31

2.3.3.1. Honeynet Clssica 31
2.3.3.2. Honeynet Virtual............................................................................... 32
2.3.4. Importncia de uma Honeynet.......................................................... 34
3. Projetos............................................................................................ 35
3.1. Honeynet Project.............................................................................. 35
3.1.1. Fases do Projeto.............................................................................. 36
3.2. Honeynet.BR.................................................................................... 40
3.2.1. Diferenciais do Honeynet.BR............................................................ 40
3.2.2. Resultados. 42
3.3. Wireless Honeynet Project.. 42
3.3.1. Fases do Projeto............................................................................... 44
4. Alguns Honeypots Disponveis......................................................... 46
4.1. Honeypots Comerciais...................................................................... 46
4.1.1. Mantrap............................................................................................. 46
4.1.2. Specter 47
4.1.3. NetBait 48
4.1.4. Smoke Detector. 49
4.1.5. KFSensor 50
4.2. Honeypots Free / OpenSource... 51
4.2.1. BackOfficer Friendly 51
4.2.2. Honeyd 51
4.2.3. LaBrea Tarpit. 53
4.2.4. Deception Toolkit.. 53
4.2.5. Tiny Honeypot................................................................................... 54
5. Outros Nveis de Honeypot............................................................... 55
5.1. Honeytoken 55
5.2. Honeyfarm.. 56
5.3. Dinamic Honeypot. 57
6. Concluso......................................................................................... 59
6.1. Propostas de Trabalhos Futuros...................................................... 60
Referncias Bibliogrficas............................................................................... 61
Glossrio......................................................................................................... 65

ndice de Figuras

Figura 01: Honeypot..................................................................................... 18
Figura 02: Localizaes Permitidas aos Honeypots.................................... 21
Figura 03: Uma Honeynet............................................................................ 22
Figura 04: Honeynet e seu Projeto de Dados.............................................. 24
Figura 05: Honeynet Clssica...................................................................... 32
Figura 06: Honeynet Virtual......................................................................... 33
Figura 07: Honeynet Fase I.......................................................................... 37
Figura 08: Honeynet Fase II. 38
Figura 09: Honeynet Fase IV... 39
Figura 10: Topologia da Honeynet.BR......................................................... 41
Figura 11: Exemplo de uma Rede Wireless................................................. 43
Figura 12: Wireless Honeynet Fase I. 44
Figura 13: Wireless Honeynet Fase II 45
Figura 14: Tela do Specter........................................................................... 47
Figura 15: Iluso Causada pelo NetBait...................................................... 48
Figura 16: Funcionamento do Smoke Detector........................................... 49
Figura 17: Monitoramento do KFSensor...................................................... 50
Figura 18: Tela do BackOfficer Friendly....................................................... 51
Figura 19: Rede com Endereos IP no Utilizados..................................... 52
Figura 20: Honeyd Monitorando Endereos IP no Utilizados.................... 52
Figura 21: Conceito de Redirecionar Atacantes para Honeyfarm................ 57

Lista de Abreviaturas

DMZ Demilitarized Zone
DNS Domain Name Server
DoS Denial of Services
FTP File Transfer Protocol
HTTP HiperText Transfer Protocol
ICMP Internet Control Message Protocol
IDS Intrusion Detection System
IMAP Internet Message Access Protocol
INPE Instituto Nacional de Pesquisas Espaciais
IP Internet Protocol
IRC Internet Relay Chat
MAC Modify / Access / Change
MCT Ministrio da Cincia e Tecnologia
NBSO NIC BR Security Office
POP Post Office Protocol
RPC Remote Procedure Call Protocol
SMTP Simple Mail Transmission Protocol
SO Sistema Operacional
SSH Secure Shell
TCP Transmission Control Protocol
TELNET Network Terminal Protocol
ToS Type of Service
TTL Time To Live
UDP User Datagrama Protocol

Resumo

Rojas, Gislaine (2003). Anlise de Intruses atravs de Honeypots e
Honeynets. Americana, 2003. 66 p. Dissertao (Graduao) FATEC
Americana SP.

A internet, um dos meios mais importantes de comunicao, utilizada para
realizao de constantes invases. Muitos procedimentos so usados para
proteger informaes importantes de empresas e usurios domsticos, mas
no so totalmente seguros, pois novas tticas de invaso so descobertas
e criadas a todo instante.

Honeypots e Honeynets so recursos de segurana utilizados para serem
sondados, atacados e comprometidos; para observao do comportamento
das invases, deteco das tendncias e tambm permitir desenvolver
novas tcnicas de segurana.

Palavras Chave: Rede de Computadores, Segurana, Intruso, Honeypot,
Honeynet.

Abstract

Rojas, Gislaine (2003). Analysis of Intrusions through Honeypots and
Honeynets. Americana, 2003. 66 p. Dissertation (Graduation). FATEC
Americana SP.

Internet, one of the most important ways of communication, is used to
accomplishment of constant invasions. Many procedures are used to protect
important information of companies and domestic users, but they arent
totally safe, because new tactics of invasion are discovered and created the
all instant.

Honeypots and Honeynets are resources of security used to be probed,
attacked and compromised; for observation of the behavior of the invasions,
detection of the tendency and also to allow to develop new technologies of
security.

Key Works: Computers Network, Security, Intrusion, Honeypot, Honeynet.

Honeypots & Honeynets

FATEC Americana

1. Introduo

A internet proporciona grande comodidade, permitindo que pessoas troquem
informaes de forma eficiente; isso explica o extraordinrio crescimento
observado nos ltimos anos no nmero de sites, de servios, de pessoas e
companhias conectadas.

A expanso das conexes dos computadores proporcionou acrscimo em
nossas vulnerabilidades, tornando as redes mais propensas a ataques.
Informaes privadas e importantes podem ser invadidas a qualquer
instante.

Antes as invases eram provenientes de pessoas com grandes
conhecimentos tcnicos, comumente chamados de hackers; hoje com as
ferramentas e manuais para invaso de redes disponibilizados em vrios
sites, o perfil do atacante mudou, pois pessoas sem conhecimentos
profundos em informtica podem atacar sistemas desprotegidos.

Como a informao uma arma importante em todos os segmentos, cada
vez mais as empresas esto se conscientizando da necessidade de uma
poltica de segurana, j que sinnimo de credibilidade, agregando valores
aos negcios.

No entanto, poltica de segurana no previne totalmente os ataques, pois
novas tcnicas e falhas so observadas diariamente aps a efetivao das
atividades maliciosas, ou seja, somente aps o prejuzo, que muitas vezes
refere-se a valores significativos.


FATEC Americana
11
A comunidade de segurana se baseava na deteco do ataque e em
mecanismos de reao, e com o tempo percebeu a necessidade de
conhecer o inimigo, seus mtodos, ferramentas e tticas de ataque; o
conceito de honeypot surgiu dessa necessidade.

Honeypots so utilizados para monitorao de ataques, colecionando
informaes importantes sobre tendncias e permitindo aprimoramento na
segurana das redes.

1.1. Hackers

Originalmente hacker um indivduo que possui conhecimentos tcnicos
para explorar sistemas de computadores, mas com a crescente publicao
sobre invases de sistemas associadas a esse termo, a palavra passou a ter
uma conotao negativa.

O termo geral hacker pode ser dividido em muitas categorias relacionadas a
motivos e comportamentos. A categoria Cracker / Hacker BlackHat ser o
enfoque dessa pesquisa, que caracteriza aqueles indivduos que utilizam
seus conhecimentos para cometer crimes.

Cada hacker possui sua prpria metodologia de trabalho e cada sistema
possui seus pontos fortes e fracos, mas a maioria dos ataques segue um
padro:

- reunir informaes tcnicas e gerais, incluindo nomes da equipe,
sistema operacional, senhas, nmeros de discagem por acesso
remoto;
- obter acesso inicial ao sistema;
- explorar os pontos fracos do sistema para aumentar os privilgios e
expandir seu acesso;

FATEC Americana
12
- executar a finalidade do ataque;
- instalar porta dos fundos, que uma modificao no sistema pra criar
uma entrada fcil para possveis retornos;
- cobrir os rastros e sair, que envolve modificao dos arquivos de log
que registram o acesso e as modificaes no sistema.

1.2. Motivaes para efetivao de um ataque

A identificao dos inmeros motivos que levam algumas pessoas a
atacarem sistemas de computador uma estratgia muito interessante,
seguem alguns [49]:

- ganhos financeiros: com freqncia, os intrusos so funcionrios que
obtm acesso a sistemas financeiros para roubar dinheiro;
- vingana: por parte de funcionrios insatisfeitos;
- necessidade de aceitao ou respeito: muitos intrusos se dedicam a
atividades ilegais envolvendo o uso de computador devido
necessidade de aceitao e/ou respeito de outras pessoas; membros
de clubes de crackers ganham aceitao ao cometerem atos de
intruso;
- idealismo: alguns intrusos atacam sistemas por razes idealistas, se
portando como heris protegendo o mundo de operaes
clandestinas de coleta de dados por parte do governo;
- curiosidade ou busca de emoo: alguns intrusos possuem apenas a
necessidade de saber o que o sistema possui;
- anarquia: os anarquistas penetram nos sistemas simplesmente para
produzirem discrdia;
- aprendizado: pequena parte daqueles que violam sistemas fazem isso
para aprimorar seus conhecimentos;
- ignorncia: no tm conscincia de que suas aes so ilegais;

FATEC Americana
13
- espionagem industrial: empresa ou organizao que se dedica a
atividades ilegais contra outra.
- espionagem nacional: semelhante espionagem industrial, exceto
pelo fato de que um pas comea a atacar os recursos de informtica
de outro.

1.3. Entidades mais vulnerveis

As entidades mais vulnerveis a um ataque em grande escala so:
- instituies financeiras e bancos, que so testados e atacados para
execuo de fraudes, como desvio de dinheiro e transferncias de
fundos, e que normalmente no so levados ao conhecimento
pblico;
- provedores de internet, pois so facilmente acessados atravs da
internet e podem possuir acesso a conexes rpidas, utilizadas para
transferncia de grandes quantidades de dados, alm do cadastro
dos seus clientes;
- companhias farmacuticas, buscando resultados de pesquisas e
desenvolvimentos de novos medicamentos;
- governo e agncias de defesa, devido ao baixo oramento destinado
s polticas de segurana;
- empresas multinacionais, que so as principais vtimas de tentativas
de espionagem industrial.

1.4. Pontos fracos na segurana da rede

Alguns hackers so sofisticados, explorando novos bugs no software, outros
utilizam como porta de entrada, falhas conhecidas que no foram
atualizadas pelos administradores dos sistemas ou usurios.


FATEC Americana
14

1.4.1. Bugs de Software

Os softwares normalmente so colocados no mercado com erros ou com
partes do cdigo que no executam o esperado, mas as empresas de
softwares mantm sites dedicados a questo de segurana, contendo
emendas que corrigem os problemas. A visita constante nesses sites
permite as atualizaes necessrias, dificultando o trabalho dos atacantes.

1.4.2. Problemas de configurao do sistema

Configuraes default
Muitos sistemas so instalados com configuraes default, devendo ser
alteradas imediatamente pelo administrador da rede, pois os hackers
possuem ferramentas de busca dessas configuraes vulnerveis.

Programas vulnerveis
A maioria dos softwares possui diferentes nveis de segurana, sendo
necessrio revisar algumas configuraes para se obter um nvel de
segurana mnimo.

Atalhos administrativos
Na configurao de um sistema novo, nunca deve ser reutilizada a senha
dos sistemas antigos, nem utilizar senhas simples ou em branco.

Relacionamento de confiana
O relacionamento de confiana entre hosts da rede local deve ser muito bem
estudado, pois se todas as mquinas confiarem uma na outra, uma mquina
desprotegida pode comprometer a rede inteira em uma invaso, j que no
necessrio nenhum tipo de autenticao nesses relacionamentos.


FATEC Americana
15

Verificao de senha
A autenticao por senha uma tima ferramenta para o controle de acesso
a contas e sistemas, o seu uso incorreto o mesmo que no utilizar
autenticao nenhuma. As senhas devem ser longas com combinao de
letras e nmeros, no devem possuir palavras do dicionrio, no usar nomes
de pessoas prximas ou dados pessoais, alterar constantemente, nunca
escrev-las em papel ou informar por telefone.

Uso de sniffers em redes desprotegidas
Sniffer uma ferramenta de software que registra o trfego da rede e remete
a quem instalou. Um sniffer pode ser instalado por um hacker para obter
senha das contas.

Computadores remotos desprotegidos
Pessoas que acessam a rede da empresa de forma remota devem possuir
computadores protegidos com um firewall pessoal e antivrus no mnimo,
pois um invasor pode penetrar no computador domstico e ter acesso fcil a
intranet.

1.5. Organizao da Dissertao

O captulo 1 apresenta o conceito de hacker e como ele pode prejudicar
instituies, explorando os pontos fracos em uma rede.

O captulo 2 evidencia o histrico, as definies e os tipos mais comuns de
honeypots e honeynets; como o funcionamento e as tcnicas de controle,
captura e anlise dos dados.

No captulo 3 sero apresentadas algumas organizaes espalhadas pelo
mundo.

FATEC Americana
16

O captulo 4 menciona os principais honeypots encontrados no mercado.

O captulo 5 apresenta outros nveis existentes de honeypots.

O captulo 6 faz uma concluso da pesquisa efetuada nessa dissertao e
prope alguns trabalhos futuros.


FATEC Americana
17

2. Ambientes de Anlise de Intruses

2.1. Histrico

As primeiras experincias sobre anlise de intruses so de 1988, quando o
especialista Clifford Stoll faz um relato completo sobre a histria de invaso
nos sistemas do Lawrence Berkeley Laboratory.

Quatro anos depois, em 1992, foi a vez do especialista Bill Cheswick expor
no artigo "An Evening with Berferd In Which a Cracker is Lured, Endured,
and Studied" os resultados do acompanhamento de invases em um dos
sistemas da AT&T, projetado especialmente para este fim.

O termo honeypot surgiu em 1998 aps o desenvolvimento da ferramenta
Detection Toolkit por Fred Cohen, utilizada para emular diversas
vulnerabilidades e coletar informaes sobre os ataques sofridos.

Em 1999, o conceito de honeynets ganha repercusso mundial atravs do
lanamento do Honeynet Project, demonstrando a importncia do estudo do
comportamento dos invasores de uma rede para o desenvolvimento de
novas ferramentas e sistemas de defesa [6].

2.2. Honeypots

Honeypots [1,9] so recursos de segurana criados para serem sondados,
atacados ou comprometidos por um atacante; podem ser utilizados para

FATEC Americana
18
distrair atividade maliciosa de mquinas valiosas da rede ou como
mecanismo de alerta (honeypots de produo); ou podem ser utilizados para
monitorao de um ataque (honeypots de pesquisa).

Tradicionalmente honeypot um nico sistema conectado a uma rede de
produo.

Figura 1 Honeypot [10]

2.2.1. Vantagens e Desvantagens

Vantagens:
- como o honeypot isolado, o fluxo de informaes para anlise
pequeno se comparado a uma rede de produo, tornando esse
processo menos exaustivo e mais barato;
- acaba com os falsos positivos gerados pelos sistemas de deteco de
intrusos; esses sistemas, pela grande quantidade de fluxo de
informaes, geram muitos alertas falsos, fazendo com que os
administradores passem a ignor-los; no honeypot todo trfego no
autorizado, no ocorrendo esse tipo de erro;

FATEC Americana
19
- o IDS (Sistema de Deteco de Intrusos) e o firewall no so
sobrecarregados com grande trfego, porque a gerao de logs
pequena e precisa;
- exigncia de recursos mnimos;
- captura trfego criptografado, diferente da maior parte de tecnologias
de segurana;
- descoberta de novas ferramentas e tticas dos hackers, no
apresentando o problema de falsos negativos das tecnologias IDS,
que no detectam atividades desconhecidas.

Desvantagens:
- viso limitada ao trfego de dentro do honeypot;
- risco de ser invadido e utilizado para prejudicar outros sistemas;
- ausncia de trfego implica em gastos sem retorno, j que nada foi
monitorado.

2.2.2. Nveis de Interao

A interao define o nvel de atividade que o honeypot permite ao atacante,
podendo ser de duas categorias:

Honeypots de baixa interao
Apenas emulam servios e sistemas operacionais, no permitindo que o
atacante interaja com o sistema. de fcil instalao; riscos mnimos porque
os servios emulados controlam o que permitido; quantias de capturas de
informaes limitadas; fcil descoberta por hackers qualificados. Exemplos:
Specter, Honeyd e KFSensor.

Honeypots de alta interao
So compostos por sistemas operacionais e servios reais e permitem que o
atacante interaja com o sistema. Essa interao permite capturar mais

FATEC Americana
20
informaes, inclusive novas ferramentas e comunicaes; a instalao
mais complexa; risco maior, pois os atacantes podem usar o sistema
operacional real para atacar outros sistemas. Exemplo: Mantrap

Os honeypots de produo normalmente tm um nvel baixo de interao, e
de pesquisas tm um alto nvel.

2.2.3. Localizao de um Honeypot

O honeypot pode ser instalado na intranet ou na internet, de acordo com as
perspectivas do administrador da rede, podendo ser localizado:

Em frente ao firewall
Com a disposio do honeypot em frente ao firewall, ou seja, fora da rede,
no existe risco para rede interna e tambm no gerado logs do firewall e
do IDS. Em caso de domnio do sistema pelos atacantes, no possvel
controlar o trfego, podendo colocar em risco outras redes.

Atrs do firewall (intranet)
Normalmente implementado para descoberta de atacantes internos ou
detectar configurao vulnervel de firewall. Se o honeypot for
comprometido por um atacante externo, este ter acesso a toda rede, sem
bloqueios do firewall.

DMZ (Demilitarized Zone)
a rede adicionada entre uma rede interna e uma rede externa a fim de
prover uma camada adicional de segurana, fazendo utilizao de firewall
para controlar todo trfego de entrada / sada e isolando o honeypot da rede
de produo. Pode ser chamada de rede de permetro.


FATEC Americana
21

Figura 2 Localizaes permitidas aos honeypots [8]

2.2.4. Legalidade dos Honeypots

Quando o assunto legalidade dos honeypots, necessrio considerar trs
aspectos: armadilha, privacidade e responsabilidade.

Armadilha: coagir ou induzir algum a fazer algo que normalmente no
faria, ou seja, instigar a prtica de um delito, pode acarretar processo
judicial. A discusso intensa sobre esse aspecto, mas na maioria dos
casos no poderia ser caracterizado crime pelas seguintes razes:

- honeypot no induz ningum, at porque muitas vezes emulao do
sistema de produo da empresa;
- os ataques so por iniciativa do invasor;
- os honeypots no esto sendo usados para processar ningum, e sim
como meio para novas descobertas.


FATEC Americana
22
Privacidade: o sistema que o atacante est usando no pertence a ele,
portanto toda monitorao realizada no sistema no pode caracterizar
quebra de privacidade.

Responsabilidade: se o honeypot for comprometido e utilizado para
prejudicar outras redes pode acarretar processo civil.

2.3. Honeynets

Honeynet [1] no um sistema nico, mas sim uma rede de sistemas e
aplicativos mltiplos, projetada para ser comprometida e observada.
Honeynet um tipo de honeypot de alta interao, utilizada principalmente
para pesquisa.
Figura 3: Uma Honeynet [1]

criado um ambiente que reflete uma rede de produo real, assim os
riscos e vulnerabilidades descobertos sero os mesmos que existem em
organizaes comuns. Nada emulado e nada feito para tornar os
sistemas inseguros. Tendo sistemas diferentes, como servidor DNS sobre
plataforma Linux, um webserver IIS sobre Windows, e um servidor de Banco

FATEC Americana
23
de dados sobre Unix Solaris, possvel aprender sobre ferramentas e tticas
diferentes, podendo tambm melhor prever as tendncias especficas dos
invasores. Essa rede altamente contida para que todo trfego de entrada e
sada seja analisado [3].

2.3.1. Funcionamento de uma Honeynet

Aps a definio e instalao da honeynet, pode-se adicionar contas de
usurios, enviar e-mails entre eles, forjar documentos em alguns diretrios,
estabelecer conexes como TELNET ou FTP, executar alguns comandos
que sero armazenados no histrico; tornando a rede aparentemente ativa
certamente atrair mais ateno dos atacantes.

Aps, o controle e a captura dos dados so elementos crticos no
funcionamento de uma honeynet.

2.3.1.1. Controle de Dados

Depois do comprometimento de uma honeynet, o fluxo de trfego deve ser
controlado, pois necessrio garantir que esta no ser utilizada para
prover meios de ataques para outros sistemas. O controle de acesso
obtido com a utilizao de um dispositivo de conteno de fluxo de dados,
como um firewall invisvel [51,52], que separa a honeynet da Internet e das
redes de produo.

Como o firewall controla o fluxo de trfego dessas trs redes distintas,
necessrio definir que qualquer conexo da Internet para a honeynet
autorizada, que toda conexo de um honeypot para Internet controlada
para no permitir ataques atravs dele e que a honeynet e a rede
administrativa no possuem nenhum tipo de comunicao direta. Essas

FATEC Americana
24
regras podem ser mudadas, podendo utilizar o mesmo sistema de filtragem
utilizada nos sistemas de produo da empresa, ou qualquer outra regra
resultante de sua aprendizagem.

Figura 4: Honeynet e seu projeto de controle de dados [1]

A quantidade de atividade que voc permite depende do risco aceitvel.
Quanto mais atividade voc permitir, maior o risco e maior tambm o
potencial de aprender. [1]

No podemos ilimitar as conexes por aspectos de responsabilidade em
casos de ataques a outros sistemas; no podemos limitar totalmente porque
os invasores vo desconfiar e quase nada ser aprendido, pois logo
descartaro a rede projetada. A organizao Honeynet Project (seo 3.1.),

FATEC Americana
25
rgo mais conhecido nesse tipo de pesquisa, permite de cinco a dez
conexes ao dia.

O controle de acesso da honeynet para a Internet deve ser atravs de meio
automatizado, pois o ataque pode ocorrer a qualquer hora e dia da semana,
e nesses casos, a interveno manual pode ser um grande risco: os alertas
podem no ser enviados por alguma falha de DNS, ou mesmo no lidos
durante a noite. Essa regra deve ser controlada atravs de um script
especfico que bloqueia as conexes quando o limite definido atingido,
podendo mesmo assim enviar avisos para o administrador da rede.

A honeynet deve conter tambm um sistema antispoofing adequado,
permitindo a sada apenas de pacotes vlidos, diminuindo o risco de uso da
rede para ataques de recusa de servio (DoS).

Um roteador fixado entre o firewall e a honeynet pode ser utilizado para
mascarar o firewall; controlar antispoofing, atuando como uma segunda
camada de controle de acesso; atuar como backup caso ocorra falha no
firewall; e bloquear grande parte do trfego invlido, melhorando o
desempenho.

2.3.1.2. Captura de Dados

Todas as atividades dos atacantes na honeynet devem ser registradas e
capturadas para posterior anlise.

Uma nica camada de captao muito arriscada, pois falhas podem
ocorrer, e a juno das informaes provenientes das vrias camadas pode
melhor alinhar a aprendizagem.


FATEC Americana
26
Os dados capturados no devem ser armazenados localmente, devem ser
enviados para um sistema que os atacantes no tm acesso. Se o atacante
detectar dados de seu acesso no honeypot, a rede pode ser comprometida e
eles podero ser modificados ou apagados.

Camada de Controle de Acesso

Todas as atividades para dentro ou para fora da honeynet devem passar por
dispositivos de controle de acesso, como o firewall ou roteador, que
registram as ocorrncias (logs) que, nesse caso, so sempre suspeitas.

O firewall, alm do j citado envio de e-mail alerta para os administradores,
pode armazenar informaes sobre as varreduras em um banco de dados, e
posteriormente confrontados com os logs do IDS. Mas o firewall s registra o
trfego que passa por ele, sendo necessrio outros meios de monitorao.

Camada de Rede

Outra camada relacionada captura e anlise dos pacotes que trafegam
na rede, um IDS pode identificar e capturar toda carga til (payload) dos
pacotes na rede, alertar o administrador sobre assinaturas suspeitas,
capturar todos os pressionamentos de teclas dos atacantes. importante
ressaltar que essas informaes devem ser armazenadas de forma a facilitar
a anlise e no o contrrio.

Camada de Sistema

necessrio capturar tambm a atividade dos sistemas, porque o invasor
pode estar fazendo uso de criptografia, impossibilitando a monitorao dos
pressionamentos de teclas atravs da rede; devem ser armazenados
remotamente, pois so os primeiros a serem apagados aps um ataque.
Todos os modos de acessos so enviados a um servidor de logs, que

FATEC Americana
27
mesmo que seja comprometido no afetar no processo de aprendizagem,
j que o IDS capturou os logs que trafegaram at o servidor.

Camada Off-line

Os sistemas normalmente so colocados em modo off-line ou as imagens
dos sistemas so copiadas aps o comprometimento, para anlise das
modificaes.

Tripwire [29] um utilitrio muito usado em honeynets; uma ferramenta
que verifica alteraes no autorizadas na assinatura de arquivos e
diretrios de todo o sistema.

2.3.1.3. Anlise

A anlise a parte mais difcil e demorada de uma honeynet, pois
necessrio a transformao das informaes capturadas em dados teis.

Logs de Firewall

O firewall, como j mencionado, pode ser configurado para enviar e-mails de
alertas sobre tentativas de invaso, minimizando o trabalho do processo de
coleta de dados para anlise, j que os logs sero arquivados para anlise
detalhada.

Em um sistema IDS de uma empresa comum, o nmero de acessos
gigantesco, mas na honeynet, como todo trfego suspeito e direcionado a
ataques, o nmero de acessos no muito grande, por isso, no
sobrecarregar o nmero de alertas enviados.


FATEC Americana
28
Um alerta pode evidenciar o que est ocorrendo na rede, podendo direcionar
a anlise mais detalhada no trfego que o sniffer do IDS capturou.
interessante manter arquivados os endereos IP e as atividades
manifestadas em um ataque, a fim de definir as tendncias e direcionar a
segurana na rede administrativa.

Anlise do IDS

Os alertas enviados pelo IDS tambm so armazenados em um banco de
dados; os pacotes podem ser armazenados em um arquivo de log binrio; e
acumula os logs de ASCII detectados na carga til dos pacotes, como os
pressionamentos de teclas, por exemplo.

Parece redundante enviar novamente alerta para os administradores da
rede, mas o firewall, no alerta, pode informar somente a tentativa de
conexo, j o do IDS, relata o que o invasor est executando, atravs de um
banco de dados que contm informaes de como um ataque e de como
ele detectado, dando informaes que permitem a definio de anlise
mais detalhada nos arquivos de log binrio.

Como j afirmado, imprescindvel a captura de dados em camadas, pois o
firewall pode dar um alerta de conexo para fora da honeynet e no ser
identificado nenhum alerta proveniente do IDS, pois pode no estar
armazenado informaes sobre esse tipo de comportamento em seu banco
de dados de assinatura.

Se o atacante no estiver fazendo uso de criptografia, a anlise do arquivo
de log ASCII pode ser bastante til, j que mostra os pressionamentos de
tecla que originaram uma determinada situao.

Muitas vezes, aps o comprometimento da rede, os invasores iniciam
comunicaes entre sua comunidade, atravs do IRC (Relay Chat da

FATEC Americana
29
Internet), por exemplo, que tambm so capturadas no log binrio do IDS.
Muitas informaes valiosas podem ser conseguidas nessas conversas.

Logs de Sistema

Os logs do sistema identificam as assinaturas dos ataques, registram o
caminho do invasor pelos sistemas e tambm as reinicializaes realizadas.

Muitas vezes, os logs do sistema so apagados pelo atacante, por isso
necessrio fazer uma comparao do que foi armazenado remotamente no
servidor e no arquivo de logs do honeypot comprometido, identificando
realmente o que o invasor modificou.

2.3.2. Tcnicas Adicionais de anlise

2.3.2.1. Obteno Passiva de Impresses Digitais

Obteno de Impresses digitais [33] uma tcnica utilizada para identificar
diferenas entre sistemas operacionais que, tradicionalmente, feita atravs
de ferramentas ativas, como Queso e Nmap [32].

Toda pilha IP e todos os aplicativos do sistema operacional possuem
particularidades, que so exploradas pela ferramenta. Cada sistema
operacional responde de forma diferente para diversos tipos de pacotes,
fazendo utilizao de um banco de dados possvel fazer uma comparao
com os resultados obtidos, descobrindo a identificao do sistema utilizado,
dos servios e muitas vezes at o aplicativo utilizado pelo atacante.


FATEC Americana
30
Em honeynets, essa ferramenta pode ser utilizada de modo passivo, atravs
dos rastros do sniffer gerados pelo sistema remoto. A honeynet captura
todos os pacotes que trafegam, tornando possvel essa anlise sem que o
atacante perceba.

A obteno passiva de impresses digitais no perfeita, pois alguns
aplicativos no produzem a mesma assinatura do sistema operacional, e
essas informaes podem ser alteradas facilmente. Em compensao,
permiti agir em todas as camadas do TCP/IP, podendo ser detectado em
tempo de operao.

Caractersticas da Pilha de Protocolos TCP/IP

Exemplos de caractersticas que podem ser observadas para determinar o
sistema operacional [1]:

TCP/IP (Protocolo de Controle de Transmisso / Protocolo da Internet)
- TTL (time-to-live) tempo de vida de um pacote, ou seja, nmero de
saltos de roteamento permitidos at seu destino.
- Tamanho da Janela medida de controle de fluxo de dados interno,
que varia de um S.O. para outro.
- DF bit Dont Fragment (no fragmentar) do IP

ICMP (Protocolo de Controle de Mensagens da Internet)
O ICMP relata informaes de controle e de erros ocorridos na
comunicao, enviando mensagens de controle quando necessrio.

O ping, muito usado pelos invasores, leva identificao clara do S.O.; a
mensagem gerada pelo ICMP via ping em S.O. da Microsoft de
aproximadamente 60 bytes, para os semelhantes a UNIX de 84 bytes de
comprimento, por exemplo.


FATEC Americana
31
As caractersticas relacionadas a ICMP podem trazer informaes como:
- tamanho do retorno da solicitao;
- contedo da carga til de dados do retorno;
- nmero de identificao usada;
- nmeros de seqncia.

2.3.2.2. Anlise de Argumentao

O processo de argumentao pode recuperar processos, arquivos ou
ferramentas utilizadas pelos invasores, recriando seus passos. uma
tcnica muito complexa.

As unidades de disco devem ser totalmente limpas, eliminando todos os
registros de instalaes anteriores. Os dados de cada honeypot so
copiados antes da instalao, para permitir comparao com o sistema
comprometido. Antes da anlise tambm feita outra cpia, para garantir
que um erro no modifique os dados originais. Essas cpias devem ser
precisas, byte a byte.

Para sistemas UNIX, a ferramenta The Coroners Toolkit disponibiliza muitos
recursos teis, como coleta de dados automatizada, recuperao de
arquivos excludos e reconstruo de eventos baseados nos horrios de
MAC (Modify / Access / Change).

2.3.3. Tipos de Honeynets

2.3.3.1. Honeynet Clssica

composta por sistemas reais (fsicos), com instalaes especficas;
podendo utilizar sistemas operacionais variados e independentes.

FATEC Americana
32

Figura 5 Honeynet Clssica [10]

Vantagens:
- dispositivos reais;
- mais segurana pela descentralizao dos honeypots.

Desvantagens:
- custo elevado;
- dificuldades na instalao e administrao;
- complexidade para manuteno;
- espao alocado muito grande.

2.3.3.2. Honeynet Virtual

uma mquina que executa sistemas operacionais mltiplos ao mesmo
tempo, executados atravs do uso de emuladores, criando uma rede virtual.


FATEC Americana
33

Figura 6 Honeynet Virtual [10]

Vantagens:
- custo reduzido;
- gerenciamento facilitado;
- facilidade na instalao e administrao;
- menor gasto de energia eltrica, devido menor quantidade de
mquinas utilizadas.

Desvantagens:
- limitao nos tipos de sistemas operacionais oferecidos pelos
softwares de virtualizao. A maioria dos softwares baseada na
arquitetura dos chips Intel X86;
- possibilidade de comprometimento do software de virtualizao,
levando o invasor a controlar todos os sistemas e at mesmo
determinar os sistemas operacionais que sero executados pelo
ambiente virtual;
- instabilidade pelo uso exaustivo de memria.

FATEC Americana
34
2.3.4. Importncia de uma Honeynet

A segurana de informaes sempre foi de origem defensiva; as falhas e
vulnerabilidades so detectadas para ento depois reagir a essas
imperfeies.

O propsito de uma honeynet colecionar informaes para revelar as
ameaas existentes, proporcionando a descoberta de novas ferramentas,
determinando os padres de ataque e motivos do invasor estudado. Assim,
as organizaes podem parar um ataque ou corrigir falhas antes que algo
errado acontea.

Honeynets tambm podem conter os mesmos sistemas e aplicativos que
uma empresa esteja utilizando em seu ambiente de produo, que esteja
querendo testar ou distribuir, identificando seus reais riscos.

Em uma honeynet, todo o trfego suspeito, qualquer conexo efetuada
deve ser monitorada, caracterizando intruso, assim a deteco de riscos
facilitada, pois no h uma sobrecarga de dados ocasionada pelo trfego
normal da rede.

Essas redes projetadas melhoram a capacidade de deteco, reao,
recuperao e anlise dos sistemas que foram comprometidos, pois a cada
ataque h um aperfeioamento das tcnicas utilizadas. Ocorre uma
aprendizagem sobre os invasores e sobre os prprios recursos de
segurana disponveis como logs, IDS, anlise de trfego de rede,
fortalecimento de sistemas, entre outros [3].


FATEC Americana
35

3. Projetos

3.1. Honeynet Project

O Honeynet Project uma organizao de pesquisa no lucrativa de
profissionais da rea de segurana de informao, dedicado a aprender as
ferramentas, tticas e motivos dos atacantes, compartilhando todas as lies
aprendidas.

Esse projeto teve incio no ano de 1999, com listas de e-mail de um grupo
informal, evoluindo em junho de 2000, para o oficial Honeynet Project.

O projeto composto de trinta membros de diversos pases, empenhados
em desenvolver a tecnologia de honeynet atravs de seus prprios recursos.

Em 2002, surgiu a Honeynet Research Aliance que adicionou organizaes
de vrios pases ao projeto, inclusive o Brasil; essa incluso aumentou
drasticamente a possibilidade de pesquisa e de resultados em mbito
global.

Organizaes Ativas :
- Florida Honeynet Project
- Paladion Networks Honeynet Project - India
- Internet Systematics Lab Honeynet Project - Greece
- AT&T Mexico Honeynet
- NetForensics Honeynet
- Azusa Pacific University Honeynet
- Brazilian Honeynet Project

FATEC Americana
36
- Irish Honeynet Project
- Honeynet Project at the University of Texas at Austin
- Norwegian Honeynet Project
- UK Honeynet Project
- West Point Honeynet Project
- Pakistan Honeynet Project

Essas organizaes pretendem conscientizar das ameaas e das
vulnerabilidades existentes na Internet; prover informaes para assegurar a
segurana dos sistemas; e fornecer essa mesma tecnologia desenvolvida
para entidades interessadas.

3.1.1. Fases do Projeto

O Honeynet Project dividido em quatro fases:

Fase I (1999 - 2001)

A finalidade do projeto na Fase I foi identificar e divulgar as ameaas mais
comuns s instalaes. Implementam controle e captura de dados simples,
mas efetivos.

A rede foi dividida em trs partes: Honeynet, Internet e Rede Administrativa;
todos os pacotes trafegam atravs do firewall e roteador. A tecnologia
empregada na honeynet fase I foi citada na definio do funcionamento de
uma honeynet.


FATEC Americana
37

Figura 7 Honeynet Fase I [3]

Fase II (2002 - 2003)

Essa fase visa a melhoria e simplificao da tecnologia empregada em
honeynets, apresentando mtodos mais avanados para controlar as
atividades dos invasores e tornando mais difcil a descoberta do
monitoramento, alm da reduo no risco de ataques a outras redes. Foi
dado mais flexibilidade aos atacantes, proporcionado maior aprendizagem.

O processo de controle, captura e coleo dos dados so feitos em um nico
dispositivo, tornando a honeynet de mais fcil administrao. O gateway,
dispositivo que separa as redes, denominado Honeywall; possui uma
camada com duas bridge, permitindo integrao e verificao de ameaas
tambm nas redes internas.

FATEC Americana
38

Figura 8 Honeynet Fase II [3]

Como as interfaces interna e externa (A e B) so atravs da bridge, no
possuem endereo IP atribudo; j a interface C, contm pilha de IP atribuda
a ela (10.1.1.1.).

As conexes no so mais bloqueadas quando alcanam o nmero
preestabelecido, feito um monitoramento inteligente, identificando a
atividade e analisando o que deve ser realmente impedido.

Essa arquitetura permite modificar bits do cdigo enviado pelo atacante,
desativando sua funcionalidade e retornando alguns pacotes. A emisso de
respostas forjadas faz com que o atacante no desconfie do motivo do
Interface A camada
segmentando a rede
administrativa.

Interface B camada
segmentando a rede de
honeypots.

Interface C camada
para administrao
remota do gateway.
B
C
A

FATEC Americana
39
insucesso de seu ataque a uma rede externa, continuando a fornecer dados
para a pesquisa.

A captura de dados tambm sofreu alteraes para reter dados
criptografados, capturando dados do kernel.

Fase III Comeando em 2003

O objetivo dessa fase o desenvolvimento de um CD-ROM de boot,
contendo a tecnologia adotada na Fase II. As organizaes devem inicializar
o CD-ROM e colocar seus sistemas atrs do gateway; os registros podero
ser enviados para um sistema central e depois disponibilizados
publicamente. Isso padronizar as honeynets e permitir o desenvolvimento
de sistemas distribudos.

Fase IV Incio estimado para 2004

A expectativa desenvolver um sistema de coleta de dados centralizado
para captar os resultados das honeynets distribudas.

Figura 9 Honeynet Fase IV [5]

FATEC Americana
40
Pretendem criar interfaces para o usurio, permitindo anlise dos ataques
em tempo real, com anlise do trfego e extrao da carga til dos pacotes;
e anlise dos dados de vrias honeynets, armazenados em um banco de
dados nico, permitindo verificao das tendncias.

3.2. Honeynet.BR

A Honeynet.BR, organizao mantida por especialistas do INPE e pelo
NBSO, teve sua fase de projeto iniciada em dezembro de 2001, entrando em
operao em maro de 2002.

O projeto comeou como um laboratrio do curso de Ps-graduao em
Segurana de Sistemas de Informao do INPE, migrando para um projeto
maior, envolvendo alunos de mestrado e doutorado no desenvolvimento de
pesquisas.

Em junho de 2002, trs meses aps seu incio, o projeto Honeynet.BR foi
adicionado a Honeynet Research Alliance, pelo engajamento em pesquisas
relacionadas a honeynets.

O projeto brasileiro comeou com equipamentos doados pelo INPE, de
membros do projeto e do Ministrio da Cincia e Tecnologia (MCT).

3.2.1. Diferenciais do Honeynet.BR

O sistema operacional utilizado pelo projeto brasileiro o OpenBSD, pela
segurana, por possuir filtro de pacotes de qualidade e suporte para a
implementao de uma bridge transparente. O filtro de pacotes utilizado
possui implementao de regras de trfego de entrada e sada, descartando
o trfego malicioso de sada; clareza na especificao de regras complexas;

FATEC Americana
41
normalizao de trfego; e limitao de banda para inibir ataques externos
fora de controle.

Alguns tipos de ataques utilizam sobreposio, ordem invlida de
fragmentos ou conjuntos invlidos de flags de TCP para enganar o IDS e o
firewall. O filtro de trfego normaliza o fluxo, remontando os fragmentos e
descartando cdigo malicioso.

Os principais mecanismos de conteno e gerao de alertas foram
desenvolvidos por membros do projeto, como sessionlimit, mecanismos de
alerta e sistema de monitorao de atividades.

Figura 10 Topologia da Honeynet.BR [6]

FATEC Americana
42
Segundo STEDING-JESSEN, do NBSO, o sessionlimit foi desenvolvido para
interagir com o filtro de pacotes, inserindo e retirando regras de filtragem
conforme necessrio. Essa ferramenta demonstrou-se muito til em barrar
seletivamente ataques e tentativas de DoS contra outras redes, sem
interferir, contudo, em outras atividades dos invasores, como download de
ferramentas e troca de informaes. [13]

Utilizam tambm uma ferramenta chamada hogwash, que descarta pacotes
com assinaturas de ataques j conhecidos.

3.2.2. Resultados

O projeto detectou que grande parte do nmero de ataques foi executado
atravs de worms automatizados, normalmente destinados a servidores
Web; e grande procura por servidores de e-mail com configuraes
vulnerveis para serem utilizados para envio de spam.

Foi reafirmado de que cada vez mais o uso de cdigo criptografado
utilizado em ataques, dificultando a coleta de informaes e a atualizao de
ferramentas de segurana.

3.3. Wireless Honeynet Project

Uma rede sem fio (wireless) um conjunto de sistemas que estabelecem
comunicao com a utilizao de portadoras de rdio ou infravermelho; os
dados so modulados e transmitidos atravs de ondas eletromagnticas.

As redes sem fio esto se difundindo rapidamente por todo o mundo, pela
extrema facilidade de instalao e uso. O ponto de acesso recebe o sinal e

FATEC Americana
43
retransmite aos demais aparelhos, assim as mquinas ganham mobilidade
podendo se conectar a rede de qualquer ponto no alcance da antena.

Figura 11 Exemplo de uma rede wireless [39]

Existem questes de segurana importantes relacionadas com as redes
wireless; um laptop, uma placa wireless e uma antena so suficientes para a
deteco de redes sem fios com brechas, podendo ser utilizada para meio
de navegao ou mesmo para atividade maliciosa.

Uma honeynet pode ser projetada para capturar e controlar toda atividade
wireless existente. Essas informaes podem ser analisadas para a
deteco das tticas, tcnicas e motivos dos atacantes de redes sem fio,
possibilitando desenvolvimento de procedimentos mais eficientes de
segurana.

Os ns so conectados atravs de pontos de acessos comercias e
residenciais de redes sem fio, interligados a fim de criar uma rea de
controle grande para o gerenciamento remoto.


FATEC Americana
44
O enfoque o desenvolvimento de resposta a incidentes, deteco de
intruso, e metodologias de anlise para assegurar as redes sem fio,
elaborando tambm estatsticas dos acessos acidentais e intencionais.

3.3.1. Fases do Projeto

O Projeto da honeynet sem fio segue os padres do projeto honeynet
convencional:

Fase I
Honeynet usa computadores mltiplos para imitar uma rede para o atacante.

Figura 12 Wireless Honeynet Fase I [38]


FATEC Americana
45
Fase II
Honeynet usa os mesmos componentes de uma honeynet padro, mas
sendo capaz de executar sistemas operacionais virtuais.

Figura 13 Wireless Honeynet Fase II [38]


FATEC Americana
46

4. Alguns Honeypots disponveis

4.1. Honeypots Comerciais

4.1.1. Mantrap [36]

Mantrap um sistema comercial desenvolvido para atuar na plataforma
Solaris, sendo utilizado tanto para segurana externa quanto interna.

Ele cria quatro ambientes, chamados de jaulas, podendo assim suportar at
quatro sistemas operacionais. Com apenas uma mquina so criados quatro
sistemas visveis na rede, cada um com sua prpria interface, podendo
emular qualquer aplicativo compatvel com o sistema operacional da jaula. O
Mantrap somente limita aqueles aplicativos que interagem como o kernel.

Os ambientes so isolados, sendo personalizados distintamente. O mdulo
de gerao de contedo gera, por exemplo, mensagens de e-mail utilizando
nomes conhecidos da instituio, diferentes para cada ambiente criado.

Cada instalao deve possuir uma interface de rede administrativa, a fim de
no permitir que o fluxo de dados seja visvel aos atacantes que esto
concentrados dentro das jaulas.

Todas as atividades relevantes ocorridas dentro de cada jaula so
armazenadas localmente ou no servidor remoto de logs, alm de possuir
uma ferramenta grfica de anlise de eventos.

Classificao: alta interao / pesquisa

FATEC Americana
47
4.1.2. Specter [35]

Specter projetado para ambiente Windows, para organizaes comerciais
de pequeno e grande porte. Pode monitorar at quatorze portas de TCP,
sendo sete de armadilhas e sete de servios. As armadilhas bloqueiam e
registram as tentativas de ataques; as portas de servios interagem com o
invasor, emulando o aplicativo de acordo com o servio utilizado.

Armadilhas: DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2 e genrica
Servios: FTP, TELNET, SMTP, HTTP, NETBUS e POP3

Figura 14 Tela do Specter [35]

Pode emular at quatorze sistemas operacionais diferentes (Windows 98,
Windows NT, Windows 2000, Windows XP, Linux, Solaris, Tru64 (Digital
Unix), NeXTStep, Irix, Unisys Unix, AIX, Maos, MacOS X, FreeBSD), mas
no consegue emular na pilha IP, assim um atacante fazendo uso de uma

FATEC Americana
48
ferramenta de obteno de impresses digitais ativa pode detectar o
honeypot.

Possui grande variedade de configurao, caractersticas de notificao,
banco de dados dos incidentes, alm da facilidade no uso.

Classificao: baixa interao / produo

4.1.3. NetBait [44]

NetBait uma soluo de segurana de rede que redireciona ataques contra
espaos de IP no utilizados para fazendas de honeypots, anulando o
intruso pelo uso da iluso.

Figura 15 Iluso causada pelo NetBait [25]

Rede Real Iluso causada ao atacante

FATEC Americana
49
NetBait cria esses ambientes projetando um desvio da rede real, assim os
ns da rede ficam cercados por mltiplos ns falsos; cada n falso pode ser
configurado com qualquer combinao de sistemas operacionais, servios e
aplicativos. Possui gerenciamento remoto centralizado e configurao de
comportamento dinmico.


4.1.4. Smoke Detector [47]

Smoke Detector emula at dezenove sistemas operacionais por mquina
entre Linux, Solaris8, HP-UX, AIX4, FreeBSD4, AS400, WindowsNT4 e
Windows2000, confundindo e estendendo o tempo de resposta ao invasor.

Figura 16 Funcionamento do Smoke Detector [25]

Antes Depois

FATEC Americana
50
Ele usado para disfarar servidores importantes, enviando alerta de
tentativas de invaso ao administrador da rede, para permitir o bloqueio dos
recursos reais em tempo hbil.


4.1.5. KFSensor [46]

KFSensor um honeypot utilizado em plataforma Windows, projetado
principalmente para proteo. Ele preparado para bloquear ataques de
recusa de servio e estouro de buffer; registra os logs do atacante, podendo
ser filtrado de vrias maneiras para facilitar a anlise em determinada porta
ou protocolo. um honeypot comercial, mas disponibiliza cpias para
avaliao.


Figura 17 Monitoramento do KFSensor [46]


FATEC Americana
51
4.2. Honeypots Free / OpenSource

4.2.1. BackOfficer Friendly [34]

um programa para Windows que emula alguns servios bsicos de rede,
como TELNET, FTP, SMTP, POP3. Quando o BackOfficer Friendly recebe
conexo para um dos servios citados, gera algumas respostas falsificadas,
distraindo o invasor e proporcionado tempo para o bloqueio do ataque. Ele
somente consegue monitorar sete portas por vez.

indicado para iniciantes que desejam verificar o funcionamento de um
honeypot.


Figura 18 Tela do BackOfficer Friendly [8]

4.2.2. Honeyd [53]

Honeyd um dos principais aplicativos utilizados na construo de
honeypots, sendo projetado para sistemas Unix. Ele emula centenas de
sistemas operacionais, podendo simular aplicaes no espao de endereos
IP no utilizados, utilizando vrios simultaneamente.

FATEC Americana
52

Pode assumir a identidade de um IP que no esteja sendo utilizado e
interagir com um atacante, respondendo suas requisies e registrando seu
ataque; pode monitorar todas as portas baseadas em UDP e TCP. Grande
facilidade de configurao.

Honeyd OpenSource, ou seja, permite alterao no cdigo fonte, podendo
surgir novos scripts que emulam novos servios.


Figura 19 Rede com endereos IP no utilizados [54]

Figura 20 Honeyd monitorando endereos IP no utilizados [54]

FATEC Americana
53
4.2.3. LaBrea Tarpit [43]

LaBrea Tarpit um honeypot OpenSource desenvolvido para sistemas
Windows ou Unix, projetado para diminuir a velocidade ou parar um ataque.
LaBrea um programa que cria um tarpit (poo de piche), assumindo o
comando de endereos de IP novos em uma rede e criando mquinas
virtuais que respondem a tentativas de conexo. As respostas forjadas
enviadas pelo honeypot so utilizadas para manter uma conexo aberta com
o atacante, diminuindo a velocidade ou at parando o ataque automatizado.


4.2.4. Deception ToolKit [45]

Deception Toolkit utilizado para simular que um sistema possui um grande
nmero de vulnerabilidades, atendendo as entradas do atacante e
fornecendo respostas personalizadas falsas. So utilizadas rotinas para
registrar todos os passos do atacante.

um produto para plataformas Linux; exige um compilador de C e um
interpretador de PERL.

Foi um dos primeiros honeypots desenvolvidos de forma completa, sendo
bastante interessante para estudo.



FATEC Americana
54
4.2.5. Tiny Honeypot [48]

Tiny Honeypot um software OpenSource, desenvolvido para plataforma
Linux. Simula servios de TELNET e FTP.

O honeypot monitora todas as portas e prov uma srie de respostas falsas
aos pedidos do atacante. A meta no enganar atacantes qualificados, e
sim deixar o processo mais difcil com uso de servios falsos.



FATEC Americana
55

5. Outros Nveis de Honeypots

5.1. Honeytoken

Tradicionalmente os honeypots e honeynets so associados a
computadores, recursos fsicos utilizados para monitorar e/ou bloquear
ataques; a real definio de um honeypot, apresentada no incio desse
trabalho, a de ser um recurso de segurana criado para ser sondado,
atacado ou comprometido, no o restringindo a um item fsico. Qualquer
informao que possa ser plantada nos processos de informao, que
colabore com o objetivo inicial de um honeypot, pode ser chamada como tal.
Esse tipo de honeypot no fsico foi convencionado por honeytoken.

Um honeytoken pode ser uma conta de usurio com falsos privilgios, uma
planilha ou uma abertura em um banco de dados.

Qualquer uso de informao disponibilizada atravs de um honeytoken
uma atividade no autorizada. uma tcnica antiga e extremamente
simples, sendo indicada principalmente para deteco de ameaas internas.

Uma conta aparentemente privilegiada, contendo senha fraca, pode ser
disponibilizada na rede; se os sistemas de monitoramento e deteco de
intrusos estiverem preparados, o uso de tal conta pode ser imediatamente
detectado, ajudando a identificar algum tentando usar uma conta / acesso
no permitido. [24]

Honeytokens, no entanto, possuem muitos empecilhos, pois a
caracterizao do uso indevido feita atravs de sistemas de deteco de

FATEC Americana
56
contedo, e uso de criptografia ou compactao de dados atrapalham essa
anlise.

5.2. Honeyfarm

Em ambientes corporativos grandes, com milhares de redes distribudas pelo
mundo, o uso de honeypots invivel pelo custo exigido nos recursos e
profissionais. O desafio aumenta ainda mais se for utilizado honeynets.

Os honeypots de baixa interao capturam poucos dados, de grande valor
sem dvida, mas nada comparado as honeynets, que so mais flexveis,
poderosas e tambm mais complexas, consumindo muitas horas de
trabalho, principalmente na anlise de argumentao. O acompanhamento
de milhares de pontos de honeynet de uma rede consumiria tempo
excessivo.

Uma soluo vivel a utilizao do conceito de honeyfarm, que em vez de
espalhar inmeros honeypots pela rede, simplificaria o processo
concentrando-os em uma nica posio.

Toda atividade sem autorizao redirecionada, assim os atacantes so
encaminhados para um honeypot contido na honeyfarm, achando que esto
interagindo com um ponto de uma rede local.

A distribuio proposta facilita a manuteno, pois se torna mais
simplificada; os riscos diminuem, j que o controle de dados efetuado em
uma nica posio.

Honeypots, j citados nesse trabalho, como Honeyd e NetBait, so capazes
de implementar esse recurso.


FATEC Americana
57

Figura 21 Conceito de redirecionar atacantes para honeyfarm [22]

5.3. Dinamic honeypot

SPITZNER (2003) lanou idias que tornariam o uso de honeypots muito
mais facilitado, chamados de Honeypots Dinmicos.

Hoje, o uso de honeypots bastante trabalhoso, no importando qual tipo
utilizado, de baixo ou alto nvel, real ou virtual. A configurao exige bastante
conhecimento e disponibilidade, pois tudo manual; necessrio analisar
quais sistemas operacionais sero anexados e se sero os mesmos da rede
corporativa. A definio de quais os servios que sero permitidos de igual
importncia, j que erros podem tornar sua rede suspeita e sem efeito.


FATEC Americana
58
O acompanhamento dos honeypots inevitvel, pois exige atualizaes
constantes; novos sistemas so adicionados, antigos so modificados ou
removidos e os honeypots devem acompanhar tais modificaes para refletir
corretamente a rede de produo.

SPITZNER sugeriu que fosse desenvolvido um honeypot plug-and-play, que
automaticamente identifique uma rede de produo com seus sistemas
operacionais e servios. Por exemplo, quando Linux fosse adicionado rede
de produo, Linux automaticamente seria incorporado ao honeypot; quando
ocorresse a remoo de Novell, este desapareceria do honeypot.

Essa implementao tem muitos pontos crticos:
- como o honeypot mapearia sua rede corporativa;
- ele poderia omitir um sistema e todas as tentativas enviadas ao
sistema no teriam retorno;
- as atualizaes no poderiam ser em tempo real, e sim em um
intervalo de tempo pr-determinado.

No mapeamento poder ser utilizada uma ferramenta de obteno de
impresses digitais passivo, que determinaria o nmero de sistemas, os
tipos de sistemas operacionais, os servios oferecidos, como esto se
comunicando e com qual freqncia.

A ferramenta OpenSource p0f [55] tem muitas das capacidades relatadas, o
problema como fazer com que o honeypot utilize as informaes
fornecidas pelo software de forma adequada na criao de honeypots
virtuais. O software Honeyd, j citado no trabalho, cria honeypots virtuais e
tambm OpenSource, assim a combinao deste com p0f seria um passo
grande ao rumo do sonhado honeypot dinmico. A concretizao disso no
est to distante.


FATEC Americana
59

6. Concluso

Honeypots so recursos de segurana planejados para serem
comprometidos, com o propsito de colecionar informaes sobre quem os
ataca, suas tcnicas, motivos e ferramentas utilizadas, levando ao
desenvolvimento de tecnologias; podem ser utilizados tambm para desviar
a ateno dos destinos reais.

Embora sejam de grande valor, os honeypots no devem substituir nenhuma
tcnica de segurana ativa na rede de uma empresa.

Com o desenvolvimento dessa pesquisa foi possvel compreender que esses
sistemas devem ser monitorados constantemente e que o administrador
possua conhecimentos profundos sobre o honeypot ou honeynet utilizado,
para que o objetivo inicial seja alcanado e que, em caso de desajustes, este
no seja utilizado como meio de ataque para outras redes.

A comunidade de segurana sempre esteve a um passo do inimigo, e com a
disseminao dessa tcnica, a cada dia o distanciamento menor. A
exposio dos resultados obtidos, como feita pelas organizaes aqui
mencionadas, de grande utilidade pblica, pois permite que as empresas
preparem suas redes e diminuam os riscos, baseando-se nas tendncias e
tcnicas divulgadas.

Hoje, o uso correto de honeypots, como j afirmado, requer conhecimentos
aprofundados sobre a rede, mas indcios de que isso ser bastante facilitado
j foram lanados: criao do honeypot dinmico, no requerendo
excessivas configuraes e acompanhamentos, agraciando os profissionais
de segurana.

FATEC Americana
60
6.1. Propostas para Trabalhos Futuros

- A semente sobre os honeypots dinmicos foi lanada por Spitzner,
fica aqui a sugesto para tentativa de unio do honeypot Honeyd e a
ferramenta de obteno de impresses digitais p0f, ambos
OpenSource. Certamente ser de grande valor para toda comunidade
de segurana.

- O trabalho apresentou a tcnica, os tipos e os honeypots disponveis
no mercado; a documentao de um processo de monitorao, com
todos os dados coletados atravs do uso de um dos honeypots
mencionados complementaria este trabalho de graduao.

- A pesquisa sobre invases em redes wireless ainda escassa;
implementao de mais honeynets nesse tipo de transmisso
permitir conhecer as vulnerabilidades para desenvolvimento de
tecnologias de segurana mais consistentes.


FATEC Americana
61

Referncias Bibliogrficas

[1] The Honeynet Project. Conhea seu inimigo O Projeto Honeynet.
Editora Makron Books, So Paulo, 2002.

[2] CRONKHITE & MCCULLOUGH. Hackers, Acesso Negado. Editora
Campus, Rio de Janeiro, 2001.

[3] The Honeynet Project. Acesso em 02/06/2003.
http://www.honeynets.org

[4] Intrusion Detection, Honeypots and Incident Handling Resources. Acesso
em 02/06/2003. http://www.honeypots.net/

[5] Honeypots: Tracking Hackers. Acesso em 22/06/2003.
http://www.tracking-hackers.com

[6] Honeynet.BR. Honeynet.BR: Desenvolvimento e Implantao de um
Sistema para Avaliao de Atividades Hostis na Internet Brasileira. Acesso
em 25/05/2003.
http://www.lac.inpe.br/security/honeynet/papers/hnbr_ssi2002.pdf

[7] IEEE Computer Society. The Honeynet Project: Trapping the Hackers.
Acesso em 22/06/2003. http://computer.org/security/sp2003/j2015abs.htm

[8] Reto Baumann, Christian Plattner. Honeypots. Acesso em 24/06/2003.
http://security.rbaumann.net/download/diplomathesis.pdf

[9] Lance Spitzner. Honeypots, definitions and value of honeypots. Acesso
em 22/06/2003. http://www.tracking-hackers.com/papers/honeypots.html

[10] Reto Baumann, Christian Plattner. White Paper: Honeypots. Acesso
em 22/07/2003. http://security.rbaumann.net/download/whitepaper.pdf

[11] Jarbas Peixoto. Honeynet: Um ambiente para anlise de intruso.
Dissertao, Unesp, So Jos do Rio Preto, 2002.

[12] Alexandre Andrucioli. Honeypots.
Dissertao, UFRJ, Rio de Janeiro, 2003.

[13] Modulo Security. Acesso em 27/07/2003.
http://www.modulo.com.br

FATEC Americana
62

[14] Hisham Kotry. Building a virtual honeynet. Acesso em 22/06/2003.
http://www.linuxsecurity.com/feature_stories/feature_story-100.html

[15] Ricky M. Magalhaes. Understanding Virtual Honeynets. Acesso em
01/08/2003.
http://www.windowsecurity.com/articles/Understanding_Virtual_Honeynets.ht
ml

[16] Lance Spitzner. The Value of Honeypots, Part Two: Honeypot Solutions
and Legal Issues. Acesso em 22/06/2003.
http://www.securityfocus.com/infocus/1498

[17] Michael Clark. Virtual Honeynets. Acesso em 27/07/2003.

[18] Lance Spitzner. Open Source Honeypots: Learning with Honeyd.
Acesso em 21/09/2003. http://www.securityfocus.com/infocus/1659

[19] Lance Spitzner. Specter: a Commercial Honeypot Solution for
Windows. Acesso em 26/08/2003.

[20] Lance Spitzner. Honeypots: Are They Illegal?. Acesso em 22/06/2003.

[21] Lance Spitzner. Honeytokens: The Other Honeypot. Acesso em
25/08/2003. http://www.securityfocus.com/infocus/1713

[22] Lance Spitzner. Honeypot Farms. Acesso em 20/08/2003.

[23] Lance Spitzner. Dynamic Honeypots. Acesso em 21/09/2003.

[24] Augusto Barros. Honeytokens O Prximo Nvel dos Honeypots
Acesso em 25/05/2003.
http://www.augustobarros1.hpg.ig.com.br/artigos.html

[25] Lance Spitzner. Honeypots The Future. Acesso em 20/09/2003.
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-spitzner.pdf

[26] Cristiano Gerlach. Tcnicas adotadas pelos crackers para entrar em
redes corporativas e redes privadas. Acesso em 19/06/2003.
http://www.rnp.br/newsgen/9903/crackcorp.shtml

[27] RNP. Entidades mais vulnerveis a um ataque. Acesso em
19/06/2003. http://www.rnp.br/newsgen/9903/vitimas.shtml

FATEC Americana
63

[28] CESET Unicamp. Ataques de Recusa de Servio. Acesso em
27/08/2003. http://www.ceset.unicamp.br/servicos/sdos.htm

[29] Carl Constantinev. Tools of the Trade: Part 2. Acesso em 28/08/2003.
http://linux.oreillynet.com/pub/a/linux/2001/06/29/tools_two.html

[30] Michael Anuzis. Basic Methods of Allowing Access to Your Honeynet.
Acesso em 23/07/2003.
http://www.anuzisnetworking.com/whitepapers/hpaccess/

[31] Bridge. Acesso em 18/08/2003.
http://student.dei.uc.pt/~jsilva/informaticabasica/comunicacoes/redes/

[32] Andr Guerra. Usando o Nmap. Acesso em 31/08/2003.
http://www.invasao.com.br/coluna-andre-05.htm

[33] Fyodor. Remote OS detection via TCP/IP Stack FingerPrinting.
Acesso em 30/08/2003.
http://www.insecure.org/nmap/nmap-fingerprinting-article.html

[34] BackOfficer Friendly. Acesso em 22/09/2003.
http://www.nfr.com/resource/backOfficer.php

[35] Specter. Acesso em 22/09/2003.
http://www.specter.com

[36] Mantrap. Acesso em 20/08/2003.
http://www.orbit2000.com/mantrap.asp

[37] Mantrap. Acesso em 24/09/2003.
http://www.trtec.com.br/pages/mantrap.html

[38] Wireless Honeynet Project. Acesso em 18/09/2003.
http://www.dfwwireless.org/honeynet.htm

[39] Marcelo Martins. Protegendo Redes Wireless 802.11b. Acesso em
26/09/2003.
http://www.xsecurity.ws/documentacao/papers/geral/wireless_mmartins.pdf

[40] Galileu (2003). A nova brecha da Internet. Maro. Editora Globo.

[41] Kecia Gubbels. Hands in the Honeypot. Acesso em 27/07/2003.
http://www.sans.org/rr/paper.php?id=365

[42] Talisker Security Wizardry. Honeypots. Acesso em 28/08/2003.
http://www.networkintrusion.co.uk/honeypots.htm


FATEC Americana
64
[43] LaBrea. Acesso em 23/09/2003.
http://scans.bizsystems.net/paged_report.plx

[44] NetBait. Acesso em 23/09/2003.
http://www.netbaitinc.com/

[45] Deception Toolkit. Acesso em 24/09/2003.
http://www.all.net/dtk/dtk.html

[46] KFSensor. Acesso em 14/09/2003.
http://www.keyfocus.net

[47] Smoke Detector. Acesso em 17/09/2003.
http://palisadesys.com/products/smokedetector

[48] Tiny Honeypot - resource consumption for the good guys. Acesso em
20/09/2003. http://www.alpinista.org/thp/

[49] Verdade Absoluta. Acesso em 20/09/2003.
http://www.absoluta.org/index.htm

[50] Symantec. Honeypots de olho na empresa. Acesso em 23/09/2003.
http://www.symantec.com/region/br/enterprisesecurity/content/

[51] OpenlySecure. Memoirs of an Invisible Firewall. Acesso em
06/09/2003.
http://www.openlysecure.org/openbsd/how-to/invisible_firewall.html

[52] Interagir. Acesso em 08/09/2003.
http://www.geocities.com/interagir1/redes/bridge-firewall.zip

[53] Honeyd. Acesso em 28/08/2003.
http://www.citi.umich.edu/u/provos/honeyd/

[54] The Honeynet Project. Virtual Honeypots. Acesso em 28/07/2003.
http://niels.xtdnet.nl/papers/honeynet/

[55] What is p0f v2?. Acesso em 23/09/2003.
http://lcamtuf.coredump.cx/p0f.shtml


FATEC Americana

Glossrio

Bridge
dispositivo que interliga redes locais que usam o mesmo
protocolo, identificando a origem e o destino dos pacotes
(ponte).
Buffer local de armazenamento temporrio de informaes.
Bug
erro em um programa (software) ou mesmo em um
equipamento (hardware), que provoca uma ao inesperada.
Default configurao padro utilizada automaticamente pelo sistema.
Emular
capacidade de um programa ou dispositivo para imitar outro
programa.
Firewall
dispositivo constitudo pela combinao de software e
hardware, utilizado para dividir e controlar o acesso entre
redes de computadores.
Firewall
Invisvel
firewall configurado para atuar como uma bridge: no possui
IP nas suas interfaces e no decrementa o TTL (Time to
Live) dos pacotes IP que o atravessam, tornando as chances
de ataques bem menores.
Flag bits do registro de estado (status).
Gateway
dispositivo que conecta redes que normalmente no se
comunicam, permitindo a transferncia de informaes.
Host qualquer computador de uma rede.
Kernel ncleo do sistema operacional.
Log Registro das ocorrncias.
OpenSource aplicativo que permite alterao no cdigo fonte.
Recusa
de Servio
bombardeamento de mensagens atravs do correio
eletrnico, podendo incapacitar temporariamente uma rede.

FATEC Americana
Rootkit
Coleo de softwares projetados para no deixar pistas de
um invasor e fornecer portas de fundo para futuras invases
no sistema.
Roteador
dispositivo de uma rede que recebe dados e os envia aos
pontos de destino, sempre usando as rotas mais curtas e
livres disponveis.
Sniffer
ferramenta de software que registra o trfego da rede e
remete a quem instalou.
Spoofing
modificao de endereo IP de origem simulando
provenincia de outros sistemas ou redes, dificultando a
identificao dos atacantes; normalmente utilizado para
ataques de recusa de servio.
Tripwire
ferramenta que verifica alteraes no autorizadas na
assinatura de arquivos e diretrios de todo o sistema.

www .ProjetodeRedes .com.br
Outros trabalhos em:

Honeypot

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Honeypot

Uploaded by

Copyright:

Available Formats

Gislaine Aparecida Rojas

You might also like