Professional Documents
Culture Documents
Honeypots de produo
1. Honeypots de produo
O papel de um honeypot de produo ajudar a mitigar prejuzos causados por falhas de segurana em uma organizao, adicionando valor soluo de segurana. Seu papel detectar atividades maliciosas e avisar o administrador de redes sobre isso (e no impedir que atacantes no cheguem sua rede). Geralmente so honeypots de baixa interatividade, ou seja, o atacante no consegue "invadir" o honeypot pois o software no deixa, o que ele faz emular um servio ou shell (por exemplo, ele pode emular uma mquina Windows XP e sofrer ataques de vrus e worms destinados esse sistema, mostrando outras mquinas infectadas na sua rede), e obter informaes um pouco limitadas sobre os dados trocados e um pouquinho da interao do atacante com o host. Consegue tambm guardar informaes sobre este ataque e sua origem (informaes extremamente teis). Geralmente so posicionados dentro da rede interna da empresa. Eles funcionam emulando vrios servios para enganar o atacante enquanto loga em arquivos as informaes que consegue capturar, fornecendo uma viso do que est
acontecendo. Com ele voc facilmente consegue pegar um micro infectado por um vrus, um usurio malicioso, etc. Lembre-se sempre: qualquer interao com um honeypot uma interao no-autorizada (ningum deve saber que existe o honeypot e ningum tem motivos para tentar estabelecer uma conexo com um), portanto possivelmente uma interao maliciosa (gerada por um humano ou por um micro infectado por um vrus ou worm).
2. Honeypots de pesquisa
Honeypots de pesquisa so geralmente de alta-interatividade, ou seja, ela uma mquina mal configurada que possui vrias ferramentas para monitorao (como keyloggers) que verifica o que o atacante fez para conseguir invadir e o que fez depois que conseguiu o acesso. Nela o atacante interage com o Sistema Operacional da mquina e no com um software que emula shells e sistemas. Geralmente se usa um servidor de logs com este tipo pois no se pode confiar nos logs presentes no host j que o atacante pode alter-los. Este tipo de honeypot consegue captar mais informaes (como dados trocados, consegue identificar novas ferramentas e capturar o que foi digitado pelo atacante), porm aumenta sifgnificativamente o risco da rede. Por isso geralmente no colocado dentro de uma rede empresarial: utilizado somente em institutos de pesquisa em redes que so monitoradas o tempo todo para que no sejam lanados ataques partir deste host, entre outras ameaas. Essas solues so bem complexas de serem implementadas exigindo bastante experincia do analista, porm capturam muito mais informaes que os honeypots de produo. As duas solues expostas acima vo te ajudar a melhorar a segurana da sua rede. Voc deve escolher qual usar se baseando no que voc quer monitorar e descobrir sobre seu atacante. Leve tambm em considerao os ponteciais riscos aos quais voc est expondo a sua rede.
histria do menino que sempre enganava os outros gritando "Socorro! Socorro!"??). Alm disso, gerando poucos dados, mais provvel que o administrador cheque esses dados mais frequentemente (vai me dizer que voc nunca ficou com preguia de ler os logs infinitos que so gerados por algumas ferramentas?), aumentando as chances de identificar um ataque rapidamente. Alm disso, por analisar poucos dados, no perde pacotes importantes para a anlise como uma ferramenta de IDS perderia se comeassem a chegar muitos pacotes da rede em um determinado momento. Descobertas de novas ferramentas e de novas tticas: Utilizando os honeypots voc consegue ver como o atacante agiu, que ferramentas usou e como se proteger delas. Se as ferramentas (ou exploits) usados para invadir o seu honeypot nunca foram usadas antes (conhecidas como 0 day), voc conseguir descobrir e em pouco tempo j conseguir se proteger delas, ficando vulnervel por menos tempo. Uso mnimo de recursos: Os honeypots so extremamente econmicos nos requisitos mnimos para sua execuo. Como s analisam o trfego direcionado a eles, usam pouqussima banda da sua rede e como so softwares bem leves, exigem o mnimo do hardware, fazendo com que aquela sua mquina PII com 64MB de RAM consiga monitorar uma rede com um desempenho razoavelmente bom. Dados criptografados: Ao contrrio de outras ferramentas, os honeypots conseguem trabalhar com os dados criptografados que so direcionados ele. Simplicidade: Honeypots so extremamente simples: sem algoritmos complexos, sem tabelas de informaes para manter, etc. Sendo to simples assim, bem menos provvel que algum cometa um erro ao implant-las em suas redes.
6. Concluso
O Brasil tem um projeto muito bom relacionado aos Honeypots, o Brazilian Honeypots Alliance. Este projeto formado por estudiosos de segurana de institutos como o INPe. O objetivo formar uma grande honeynet no espao de endereos do Brasil para analisar e divulgar resultados coletados por honeypots espalhados pelo pas. Neste projeto so utilizados honeypots de baixa interatividade. Voc pode conhecer mais sobre este projeto acessando a URL http://www.honeynet.org.br.
6. Concluso
Honeypots so uma ferramenta extremamente til para auxiliar na melhoria da segurana da sua rede ou para aprender novos recursos e ataques utilizados por seus inimigos. O principal objetivo deste texto foi te dar uma viso bem bsica e sem muitos detalhes da teoria de honeypots. Muitos textos com sugestes de softwares para usar, anlises mais profundas de softwares, entre outros, podem ser encontrados aos montes na Internet (geralmente em ingls). Qualquer dvida, entre em contato comigo! Verso Original: http://www.dicas-l.com.br/dicas-l/20070321.php