1.

Honeypots de produo

Introduo aos honeypots

Colaborao: Pedro Augusto Honeypots so uma forma barata e simples de detectar atividades ilcitas na sua rede. Sua principal funo ser atacado (por pessoas, por vrus, por worms, etc), scaneado ou invadido para assim adquirir informaes para que voc consiga se proteger de forma mais eficiente conhecendo como seus hosts podem ser atacados. O conceito simples: um honeypot no tem nenhum propsito de produo (no tem nenhum servio real, no deve receber nenhuma conexo, ningum deve interagir com ele), portanto qualquer interao com um honeypot possivelmente uma atividade ilcita (proposital ou no). Por esse motivo, os honeypots tem um baixo nmero de falso-positivo e geram pouco log, facilitando a leitura e fazendo com que o administrador detecte ataques com mais facilidade. Com ele voc consegue agir pr-ativamente em relao segurana. Tenha em mente que honeypots no vo consertar os problemas de segurana da sua rede e tm pouco valor se usados sozinhos (num ambiente ideal, eles so usados com ferramentas como NIDS). Eles so uma ferramenta para que voc consiga capturar informaes sobre potenciais problemas de segurana e tomar providncias antes que eles se tornem problemas maiores. Veja bem: quem vai consertar os problemas identificados voc e no o software de honeypot. um conceito relativamente novo, tendo como um de seus maiores estudiosos Lance Spitzner. Os honeypots podem ser divididos em 2 tipos: os de produo e os de pesquisa.

1. Honeypots de produo
O papel de um honeypot de produo ajudar a mitigar prejuzos causados por falhas de segurana em uma organizao, adicionando valor soluo de segurana. Seu papel detectar atividades maliciosas e avisar o administrador de redes sobre isso (e no impedir que atacantes no cheguem sua rede). Geralmente so honeypots de baixa interatividade, ou seja, o atacante no consegue "invadir" o honeypot pois o software no deixa, o que ele faz emular um servio ou shell (por exemplo, ele pode emular uma mquina Windows XP e sofrer ataques de vrus e worms destinados esse sistema, mostrando outras mquinas infectadas na sua rede), e obter informaes um pouco limitadas sobre os dados trocados e um pouquinho da interao do atacante com o host. Consegue tambm guardar informaes sobre este ataque e sua origem (informaes extremamente teis). Geralmente so posicionados dentro da rede interna da empresa. Eles funcionam emulando vrios servios para enganar o atacante enquanto loga em arquivos as informaes que consegue capturar, fornecendo uma viso do que est

3. Vantagens dos honeypots

acontecendo. Com ele voc facilmente consegue pegar um micro infectado por um vrus, um usurio malicioso, etc. Lembre-se sempre: qualquer interao com um honeypot uma interao no-autorizada (ningum deve saber que existe o honeypot e ningum tem motivos para tentar estabelecer uma conexo com um), portanto possivelmente uma interao maliciosa (gerada por um humano ou por um micro infectado por um vrus ou worm).

2. Honeypots de pesquisa
Honeypots de pesquisa so geralmente de alta-interatividade, ou seja, ela uma mquina mal configurada que possui vrias ferramentas para monitorao (como keyloggers) que verifica o que o atacante fez para conseguir invadir e o que fez depois que conseguiu o acesso. Nela o atacante interage com o Sistema Operacional da mquina e no com um software que emula shells e sistemas. Geralmente se usa um servidor de logs com este tipo pois no se pode confiar nos logs presentes no host j que o atacante pode alter-los. Este tipo de honeypot consegue captar mais informaes (como dados trocados, consegue identificar novas ferramentas e capturar o que foi digitado pelo atacante), porm aumenta sifgnificativamente o risco da rede. Por isso geralmente no colocado dentro de uma rede empresarial: utilizado somente em institutos de pesquisa em redes que so monitoradas o tempo todo para que no sejam lanados ataques partir deste host, entre outras ameaas. Essas solues so bem complexas de serem implementadas exigindo bastante experincia do analista, porm capturam muito mais informaes que os honeypots de produo. As duas solues expostas acima vo te ajudar a melhorar a segurana da sua rede. Voc deve escolher qual usar se baseando no que voc quer monitorar e descobrir sobre seu atacante. Leve tambm em considerao os ponteciais riscos aos quais voc est expondo a sua rede.

3. Vantagens dos honeypots

Os honeypots trazem grandes vantagens, abaixo exponho algumas delas: Poucos dados so capturados, porm so dados muito importantes: Os honeypots, ao contrrio de vrias outras ferramentas, capturam pouqussimos dados. Porm os dados capturados so muito importantes para o administrador de sistemas. Ao invs de capturar Gigabytes de dados (sendo que a grande parte intil) o honeypot vai capturar apenas alguns Megabytes de informaes extremamente importantes, tambm no so gerados milhares de alertas por dia (assim diminui a ocorrncia de falso-positivo aumentando a credibilidade da ferramenta. Lembra da

5. O projeto "Brazilian Honeypots Alliance"

histria do menino que sempre enganava os outros gritando "Socorro! Socorro!"??). Alm disso, gerando poucos dados, mais provvel que o administrador cheque esses dados mais frequentemente (vai me dizer que voc nunca ficou com preguia de ler os logs infinitos que so gerados por algumas ferramentas?), aumentando as chances de identificar um ataque rapidamente. Alm disso, por analisar poucos dados, no perde pacotes importantes para a anlise como uma ferramenta de IDS perderia se comeassem a chegar muitos pacotes da rede em um determinado momento. Descobertas de novas ferramentas e de novas tticas: Utilizando os honeypots voc consegue ver como o atacante agiu, que ferramentas usou e como se proteger delas. Se as ferramentas (ou exploits) usados para invadir o seu honeypot nunca foram usadas antes (conhecidas como 0 day), voc conseguir descobrir e em pouco tempo j conseguir se proteger delas, ficando vulnervel por menos tempo. Uso mnimo de recursos: Os honeypots so extremamente econmicos nos requisitos mnimos para sua execuo. Como s analisam o trfego direcionado a eles, usam pouqussima banda da sua rede e como so softwares bem leves, exigem o mnimo do hardware, fazendo com que aquela sua mquina PII com 64MB de RAM consiga monitorar uma rede com um desempenho razoavelmente bom. Dados criptografados: Ao contrrio de outras ferramentas, os honeypots conseguem trabalhar com os dados criptografados que so direcionados ele. Simplicidade: Honeypots so extremamente simples: sem algoritmos complexos, sem tabelas de informaes para manter, etc. Sendo to simples assim, bem menos provvel que algum cometa um erro ao implant-las em suas redes.

4. Desvantagens dos honeypots

Todas as ferramentas tem desvantagens, por isso honeypots no trabalham sozinhos: eles complementam outras ferramentas. * "Alcance" limitado: Honeypots s conseguem analisar os dados que so direcionados eles. Se nenhum pacote chegar para ele analisar, no ser gerado nenhum dado e no se ter o que analisar para melhorar a segurana da sua rede. Para mitigar este problema, se usam ferramentas que monitoram a rede como um NIDS (um exemplo deste tipo de software seria o Snort). * Risco: Todo software adiciona riscos rede. Os honeypots no so diferentes de nenhum outro software. O seu honeypot, por exemplo, corre o risco de ser invadido por algum (dependendo do nvel de interao, como dito anteriormente) e, partir dele, lanar ataques a outros hosts ou at redes.

5. O projeto "Brazilian Honeypots Alliance"

6. Concluso

O Brasil tem um projeto muito bom relacionado aos Honeypots, o Brazilian Honeypots Alliance. Este projeto formado por estudiosos de segurana de institutos como o INPe. O objetivo formar uma grande honeynet no espao de endereos do Brasil para analisar e divulgar resultados coletados por honeypots espalhados pelo pas. Neste projeto so utilizados honeypots de baixa interatividade. Voc pode conhecer mais sobre este projeto acessando a URL http://www.honeynet.org.br.

6. Concluso
Honeypots so uma ferramenta extremamente til para auxiliar na melhoria da segurana da sua rede ou para aprender novos recursos e ataques utilizados por seus inimigos. O principal objetivo deste texto foi te dar uma viso bem bsica e sem muitos detalhes da teoria de honeypots. Muitos textos com sugestes de softwares para usar, anlises mais profundas de softwares, entre outros, podem ser encontrados aos montes na Internet (geralmente em ingls). Qualquer dvida, entre em contato comigo! Verso Original: http://www.dicas-l.com.br/dicas-l/20070321.php

As Palavras Mais Comuns da Lingua Inglesa

O livro As Palavras Mais Comuns da Lngua Inglesa apresenta uma metodologia desenvolvida com o objetivo de prover o estudante com tcnicas que lhe permitam aprender, em um curto espao de tempo, a ler textos em ingls. Saiba mais: http://www.novatec.com.br/livros/linguainglesa2/