IFSP- INSTITUTO FEDERAL DE EDUCAO, TECNOLOGIA DE SO PAULO.
TALITA THAS ADILSON ANTONIO DA SILVA EDMARA
PROJETO DE REDE DECOMPUTADORES PARA SUPERMERCADO
BRAGANA PAULISTA 2011
2
PROJETO DE REDES DE COMPUTADORES
Gonalves, Tiago Silva Campos, Gabriel Aparecido Silva, Adilson Antnio da Alcntara, Nataly Segurana / Bragana Paulista: IFSP- 2011. Monografia (Graduao). Curso de Manuteno e Suporte de Informtica - IFSP. Orientador: Luiz Antnio F. Barbosa
3
PROJETO DE REDES DE COMPUTADORES
Data: 08 de novembro de 2011
Talita Assinatura _______________________ Ths Assinatura _______________________ Adilson Antnio da Silva Assinatura _______________________ Edmara Assinatura _______________________
ALUNO
ALUNO
ALUNO
ALUNA
PROFESSOR: Luiz Antnio Falaguasta Barbosa
4
RESUMO
Honeypot um sistema que possui falhas de segurana (reais e virtuais),colocadas proposital, a fim de que seja invadido e que o fruto desta invaso possa ser estudado. Mas a frente vero como funciona cada falha de segurana real ou virtual. Existem dois tipos bsicos dele:
Honeypots de baixa interatividade:
Em um honeypot de baixa interatividade so instaladas ferramentas para emular sistemas operacionais e servios com os quais os atacantes iro interagir.
Honeypots de alta interatividade
Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicaes e servios reais.
5
Sumrio1. A HISTRIA DO HONEYPOT ......................................................................................... 6 1.1. HONEYTOKENS ........................................................................................................ 7 1.2. HONEYFARMS .......................................................................................................... 7 2. O QUE HONEYPOT ...................................................................................................... 8 2.1. HONEYPOTS DE ALTA INTERATIVIDADE........................................................... 9 2.1.1. VANTAGENS: ......................................................................................................... 9 2.2. HONEYPOTS DE BAIXA INTERATIVIDADE ...................................................... 10 2.2.1. VANTAGENS: ....................................................................................................... 10 3. HONEYD ......................................................................................................................... 10 3.1. POR QUE UTILIZAR HONEYID? .......................................................................... 10 3.2. ARQUITETURA DO HONEYD ............................................................................... 11 4. HONEYNETS .................................................................................................................. 12 4.1. HONEYNETS REAIS ............................................................................................... 13 4.2. HONEYNETS VIRTUAIS ........................................................................................ 14 4.3. ABRANGENCIA ...................................................................................................... 15 4.4. TABELA COMPARATIVA ....................................................................................... 15 4.5. POSICIONAMENTO NA REDE .............................................................................. 16 4.6. HONEYNETS NO BRASIL ..................................................................................... 16 5. INSTALAO HONEYPOT NO LINUX ...................................................................... 17 6. VANTAGENS E DESVANTAGENS ............................................................................... 21 6.1. VANTAGENS ............................................................................................................ 21 6.2. DESVANTAGENS .................................................................................................... 21 7. INSTITUIES QUE UTILIZAM HONEYPOTS:........................................................ 22 7.1. LOCALIZAO ....................................................................................................... 22
6 INTRODUO
Com o nmero crescente de sistemas e servios comprometidos por atacantes atravs da rede, a segurana na informtica toma cada vez mais um papel preponderante no planeja- mento e desenvolvimento de redes organizacionais e institucionais. Os honeypots so parte integrante da segurana e visam passar por sistemas e servios reais, desprotegidos e vulnerveis, de modo a capturar informao sobre o atacante e os mtodos que este utiliza para atacar um sistema. Este processo realizado sem que o atacante perceba que est lidando com um honeypot e que est revelando informao que pode compro- met-lo perante as autoridades competentes. Deste modo, so apresentados e discutidos os dois tipos existentes de honeypots: honeypots de baixa interatividade e honeypots de alta interatividade, assim como as suas vantagens e desvantagens.
1. A HISTRIA DO HONEYPOT O honeypot um host cuja nica utilidade ser invadido, permitindo a anlise das aes do invasor e sua identificao na rede. O primeiro relato do uso de honeypots para observar as aes de um invasor citado em The Cuckoo's Egg, livro de Cliff Stoll, um astronomo e administrador de sistemas computacionais, formado na Universidade do Arizona. O livro Stoll conta como caou um hacker alemo que invadiu o Laboratrio Nacional de Lawrence Berkeley nos Estados Unidos, num perodo de 10 meses, compreendidos entre 1986 e 1987. Logo aps surge An Evening with Berferd in Wich a Cracker is Lured, Endured, and Studied, um artigo de Bill Cheswick, profissional de segurana, onde relata as tentativas de ataques ocorridas em um sistema construido para ser comprometido. Foi o primeiro artigo com grande teor tcnico e metodologia.
As primeiras ferramentas para utilizao como honeypots vieram sete anos mais tarde, com a pioneira Deception Toolkit (DTK), desenvolvida por Fred Cohen, em novembro de 1997. Era uma ferramenta gratuita desenvolvida em C e Perl para sistemas Unix. Logo depois, em 1998, a primeira ferramenta comercial, CyberCop Sting, foi desenvolvida por Alfred Huger, para Windows NT. Em 1999, surgiu o Honeynet Project, um grupo de pesquisa formado por 30 profissionais de segurana, liderados por Lance Spitzner, e dedicados a pesquisar sobre a comunidade hacker e compartilhar suas experincias. Em 2001, eles lanaram a srie de artigos Know Your Enemy que compilava suas experincias e pesquisas. Recentemente as pesquisas envolvendo honeypots e honeynets so baseadas em trs reas principais: Honeytokens, Honeyfarms e Honeypots Dinmicos.
7
1.1. HONEYTOKENSTradicionalmente os honeypots e honeynets so associados a computadores, recursos fsicos utilizados para monitorar e/ou bloquear ataques; a real definio de um honeypot, apresentada no incio desse trabalho, a de ser um recurso de segurana criado para ser sondado, atacado ou comprometido, no o restringindo a um item fsico. Qualquer informao que possa ser plantada nos processos de informao, que colabore com o objetivo inicial de um honeypot, pode ser chamada como tal. Esse tipo de honeypot no fsico foi convencionado por Honeytoken. Um Honeytoken pode ser uma conta de usurio com falsos privilgios, uma planilha, uma abertura em um banco de dados, uma apresentao em PowerPoint, ou um login falso, por exemplo.
Qualquer uso de informao disponibilizada atravs de um Honeytoken uma atividade no autorizada. Dessa forma, o Honeytoken uma tcnica antiga e extremamente simples, sendo indicada principalmente para deteco de ameaas internas. Uma conta aparentemente privilegiada, contendo senha fraca, pode ser disponibilizada na rede; se os sistemas de monitoramento e deteco de intrusos estiverem preparados, o uso de tal conta pode ser imediatamente detectado, ajudando a identificar algum tentando usar essa conta, ou seja, acesso no permitido. Honeytokens, no entanto, possuem muitos empecilhos, pois a caracterizao do uso indevido feita atravs de sistemas de deteco de contedo, e uso de criptografia ou compactao de dados atrapalham essa anlise. A principal aplicao dos Honeytokens est no estudo do comportamento de um atacante, quando este compromete o sistema; e no valor de atrao adicionado ao ambiente, por exemplo, honeypots contendo nmeros de carto de crdito so muito mais atrativos.
1.2. HONEYFARMSEm ambientes corporativos grandes, com milhares de redes distribudas pelo mundo, o uso de honeypots invivel pelo custo exigido nos recursos e profissionais. O desafio aumenta ainda mais se for utilizado honeynets. Os honeypots de baixa interao capturam poucos dados, de grande valor sem dvida, mas nada comparado s honeynets, que so mais flexvel, poderoso e tambm mais complexo, consumindo muitas horas de trabalho, principalmente na anlise de argumentao. O acompanhamento de milhares de pontos de honeynet de uma rede consumiria tempo excessivo. Ento, uma soluo vivel a utilizao do conceito de Honeyfarm, que em vez de espalhar inmeros honeypots pela rede, simplificaria o processo concentrando-os em um nico lugar. Assim, toda atividade sem autorizao redirecionada, e os atacantes so encaminhados para um honeypot contido na Honeyfarm, achando que esto interagindo com um ponto de uma rede local.
8
2. O QUE HONEYPOTSegundo Lance Spitzner, um honeypot (em portugus, pote de mel) um recurso computacional de segurana que disfara os seus valores ao ser sondado, atacado ou comprometido. Em outras palavras, uma ferramenta de estudo de segurana, cuja funo principal deter atacantes, detectar ataques, capturar e analisar ataques automatizados, como Worms, alm de fornecer informaes importantes sobre a comunidade hacker.
um sistema que possui falhas de segurana, reais ou virtuais, colocadas de maneira proposital, a fim de que seja invadido e que o fruto desta invaso possa ser estudado.
Um honeypot tem como finalidade: coletar cdigos maliciosos, identificar varreduras e ataques automatizados, acompanhar as vulnerabilidades, motivar os atacantes, correlacionar informaes com outras fontes, auxiliar os sistemas de deteco de intruso, e manter atacantes afastados de sistemas importantes, desviando sua ateno para sistemas falsos. Os honeypots so subdivididos em dois grandes grupos: os honeypots de baixa interatividade e os honeypots de alta interatividade.
9
2.1. HONEYPOTS DE ALTA INTERATIVIDADEAo contrrio dos honeypots de baixa interatividade, nos honeypots de alta interatividade os atacantes interagem com Sistemas Operacionais, aplicaes e servios reais. Deve-se tomar cuidado na instalao e configurao dos sistemas, que permitem controle total do atacante e captura mais informaes sobre este, incluindo ferramentas e comandos. difcil de distinguir de um Sistema de Produo. Como exemplos de ferramentas usadas para programar honeypots de alta interatividade tm: Ferrametas: UML, VMware, Mantrap, sistemas e aplicativos reais; instalao padro de sistemas operacionais; artifcios de monitorao das atividades dos atacantes(LKM, patches).
2.1.1.
VANTAGENS:
Executam as verses reais Cuidados na instalao e configurao. Coleta de artefatos. Controle total Captura de mais informaes, incluindo ferramentas e comandos. Difcil de distinguir de um sistema de produo.
Dentre as vantagens da adoo e uso desses nas honeypots esto a elaborao de documentao dos procedimentos, a padronizao no armazenamento do material coletado, a eliminao de erros durante a manuteno dos honeypots, a automatizao das tarefas que so executadas e a diminuio do tempo entre a desativao e nova instalao de um host nesta rede. Honeypots de baixa interatividade nada mais que SO com servios comprometidos no perceptveis ao atacante.
10
2.2. HONEYPOTS DE BAIXA INTERATIVIDADEEm um honeypot de baixa interatividade so instaladas ferramentas para emular Sistemas Operacionais e servios com os quais o atacante ir interagir. Desta forma, o Sistema Operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento. Um honeypot de baixa interatividade simples e de fcil gerenciamento, o atacante no possui controle do sistema, e possui aes limitadas. Porm difcil de iludir um atacante experiente. O Back Officer Friendly, The Deception ToolKit (DTK), Specter, Honeyd, e LaBrea Tarpit, so exemplos de ferramentas utilizadas para implementar honeypots de baixa interatividade.
2.2.1.
VANTAGENS:
Emulam sistemas e servios Simples. Fcil gerenciamento Atacante no tem controle Aes limitadas, captura de trfego e malware Difceis de iludir atacantes avanados/ determinados.
3. HONEYDOs Honeyd so uns honeypot de baixa interatividade que permite a emulao de centenas de sistemas em diferentes endereos IP, porm utilizado uma nica mquina. Para cada endereo IP possvel especificar o Sistema Operacional a ser emulado e as aplicaes e servios emulados em cada um. Para a emulao das aplicaes possvel utilizar subsistemas nativos do Honeyd ou ento programas externos. Nesta palestra ser demonstrada a configurao de um honeypot OpenBSD com Honeyd. Tambm ser feita a configurao do firewall do OpenBSD de modo a permitir a proteo do sistema host do honeypot e a captura do trfego malicioso pelo prprio firewall.
3.1. POR QUE UTILIZAR HONEYID?
Esse software possui capacidade de emular o funcionamento de diversos hosts, podendo, em cada um, simular a operao de um sistema operacional diferente. Para isso, objetivando aumentar a segurana e simular ao mximo as pilhas TCP/IP dos sistemas operacionais, o Honeyd capta o trfego de rede atravs de um proxy ARP (Arpd) [Arpd 2005], utilizando bibliotecas especficas (Libnet e Libcap)[Libnet 2005] e no fazendo uso de qualquer socket do sistema operacional. Desse modo, quando instalado em um ambiente UNIX, o comando netstat, que demonstra as
11 conexes de rede do host, no mostra as comunicaes relativas ao honeypot. As trocas de mensagens entre o Honeyd e os sistemas invasores so transparentes ao sistema operacional. O honeyd trabalha apenas com os protocolos TCP, UDP e ICMP. Atravs do honeyd possvel simular a existncia de uma complexa rede de computadores. Esta rede pode simular a operao de vrios hosts e roteadores, como, por exemplo, a estrutura apresentada na figura abaixo.
3.2. ARQUITETURA DO HONEYD
Como forma de exposio das principais funcionalidades do Honeyd, a figura acima apresenta uma estrutura de honeynet utilizando esse software. Para o exemplo, foram utilizados endereos IP no roteveis (bloco 10.0.0.0/8), porm, no sistema posto em produo, foram empregados endereos roteveis. No caso apresentado, s existem 5 hosts reais: 4 desktops e um computador operando com Honeyd. Apesar de esta mquina possuir o endereo 10.0.1.5, ela capaz de responder a toda conexo a qualquer IP existente no bloco 10.0.0.0/24. Na configurao descrita na figura, dos 255 endereos disponveis no bloco, apenas 6 foram utilizados: 4 para simular hosts e dois para simular roteadores. Nessa configurao optou-se ainda por emular uma rede com 10% de perda de pacotes entre o
12 roteador R1 e o roteador R2. Para os objetivos desse projeto, a principal caracterstica desejada foi a possibilidade do sistema registrar qualquer tentativa de acesso aos endereos IPs simulados pelo honeypot. Dessa forma, com a exposio do honeypot Internet, podese verificar o nmero de acessos determinadas portas e, com isso, ensejar uma pesquisa no intuito de avaliarmos as vulnerabilidades mais exploradas.
4. HONEYNETSHoneynets um tipo de honeypot. Um honeypot um recurso que o valor est em ser sondado, atacado ou comprometido. A Honeynet um honeypot de alta interatividade, o que significa que fornece sistemas operacionais reais para os atacantes interagirem. Essa interao alta pode nos ensinar muito sobre intrusos, tudo, desde como invadir sistemas at como eles se comunicam e por que eles atacam sistemas. Honeynets conseguem isso atravs da construo de uma rede de sistemas. Esta rede muito contida, onde todo o trfego de entrada e sada controlada e capturado. Projetado para pesquisa e obteno de informaes dos invasores. conhecido tambm como "honeypot de pesquisa" Cada sistema dentro da rede realmente um honeypot, um sistema concebido para ser atacado. No entanto, estes honeypots so sistemas totalmente funcionais, o mesmo encontrado na maioria das organizaes hoje. Quando estes sistemas so atacados, Honeynets capturam toda a atividade do atacante. Esta informao ento teachs muito sobre as ameaas que enfrentamos hoje. Para detalhes tcnicos sobre Honeynets, voc encorajado a rever Know Your Enemy: Honeynets. Uma Honeynet uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contm mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes.
13 Uma vez comprometida, a honeynet utilizada para observar o comportamento dos invasores, possibilitando anlises detalhadas das ferramentas utilizadas, de suas motivaes e das vulnerabilidades exploradas. Uma honeynet normalmente contm um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicaes e servios. Tambm contm mecanismos de conteno robustos, com mltiplos nveis de controle, alm de sistemas para captura e coleta de dados, e para gerao de alertas. Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais. 4.1. HONEYNETS REAIS Em uma honeynet real os dispositivos que a compem, incluindo os honeypots, mecanismos de conteno, de alerta e de coleta de informaes, so fsicos. Para exemplificar, uma honeynet real poderia ser composta pelos seguintes dispositivos: diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicaes e servios reais instalados; Um computador com um firewall instalado, atuando como mecanismo de conteno e de coleta de dados; Um computador com um IDS instalado, atuando como mecanismo de gerao de alertas e de coleta de dados; Um computador atuando como repositrio dos dados coletados; Hubs/switches e roteador (se necessrio) para fornecer a infra-estrutura de rede da honeynet. As vantagens deste tipo so: baixo custo por dispositivo; mais tolerante a falhas (ambiente distribudo), e os atacantes interagem com ambientes reais. As principais desvantagens so: manuteno mais difcil e trabalhosa; necessidade de mais espao fsico para os equipamentos, e custo total tende a ser mais elevado.
14
4.2. HONEYNETS VIRTUAISUma honeynet virtual baseia-se na idia de ter todos os componentes de uma honeynet implementados em um nmero reduzido de dispositivos fsicos. Para isto, normalmente utilizado um nico computador com um sistema operacional instalado, que serve de base para a execuo de um software de virtualizao, como o VMware(Virtual Infrastructure Software) ou o UML (User Mode Linux) Os softwares de virtualizao permitem executar diversos sistemas operacionais com aplicaes e servios instalados, ao mesmo tempo. As honeynets virtuais ainda so subdivididas em duas categorias: de auto-conteno e hbridas. Na primeira, todos os mecanismos, incluindo conteno, captura e coleta de dados, gerao de alertas e os honeypots (implementados atravs de um software de virtualizao) esto em um nico computador. Na segunda, os mecanismos de conteno, captura e coleta de dados e gerao de alertas so executados em dispositivos distintos e os honeypots em um nico computador com um software de virtualizao. As vantagens das honeynets virtuais so: manuteno mais simples; necessidade de menor espao fsico para os equipamentos, e custo final tende a ser mais baixo. As principais desvantagens so: alto custo por dispositivo, pois so necessrios equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados em um nico ponto); o software de virtualizao pode limitar o hardware e sistemas operacionais utilizados; o atacante pode obter acesso a outras partes do sistema, pois tudo compartilha os recursos de um mesmo dispositivo (no caso da categoria de auto-conteno), e possibilidade do atacante descobrir que est interagindo com um ambiente virtual.
15
4.3. ABRANGENCIAUm honeypot/honeynet traz como grande vantagem o fato de ser implementado de forma que todo o trfego destinado a ele , por definio, anmalo ou malicioso. Portanto , em teoria, uma ferramenta de segurana isenta de falso-positivos, que fornece informaes de alto valor e em um volume bem menor do que outras ferramentas de segurana, como por exemplo, um IDS. A grande desvantagem que, diferente de um IDS de rede, por exemplo, um honeypot/honeynet s capaz de observar o trfego destinado a ele, alm de poder introduzir um risco adicional para a instituio. importante ressaltar que honeypots/honeynets devem ser utilizados como um complemento para a segurana da rede de uma instituio e no devem ser encarados como substitutos para: Boas prticas de segurana; Polticas de segurana; Sistemas de gerenciamento de correes de segurana (patches); Outras ferramentas de segurana, como firewall e IDS. Aplicabilidade O valor dos honeypots/honeynets baseia-se no fato de que tudo o que observado suspeito e potencialmente malicioso, e sua aplicao depende do tipo de resultado que se quer alcanar. Honeypots de baixa interatividade oferecem baixo risco de comprometimento e so indicados para redes de produo, quando no h pessoal e/ou hardware disponvel para manter uma honeynet, ou quando o risco de um honeypot de alta interatividade no aceitvel. Normalmente, o uso de honeypots de baixa interatividade tambm est associado aos seguintes objetivos: Detectar ataques internos; Identificar varreduras e ataques automatizados; Identificar tendncias; Manter atacantes afastados de sistemas importantes; Coletar assinaturas de ataques; Detectar mquinas comprometidas ou com problemas de configurao; Coletar cdigo malicioso (malware). J honeypots de alta interatividade so indicados para redes de pesquisa. Podem ser utilizados para os mesmos propsitos que os honeypots de baixa interatividade, mas introduzem um alto risco para instituio, e so justificveis quando o objetivo estudar o comportamento dos invasores, suas motivaes, alm de analisar detalhadamente as ferramentas utilizadas e vulnerabilidades exploradas. importante lembrar que o uso de honeypots de alta interatividade demanda tempo, pessoal mais qualificado e tcnicas de conteno eficientes. Segue uma tabela comparativa que pode auxiliar na deciso sobre que tipo de honeypot deve ser implementado em uma instituio.
4.4. TABELA COMPARATIVA
16 Caractersticas Instalao Manuteno Risco de comprometimento Obteno de informaes Necessidade de mecanismos de conteno Atacante tem acesso ao S.O. real Aplicaes e servios oferecidos Atacante pode comprometer o honeypot Honeypot baixa interatividade Fcil Fcil Baixo Limitada No No (em teoria) Emulados No (em teoria) de Honeypot de alta interatividade/Honeynet Mais difcil Trabalhosa Alto Extensiva Sim Sim Reais Sim
4.5. POSICIONAMENTO NA REDEPara operar, um honeypot/honeynet necessita de um bloco de endereamento IP da instituio, que seja rotevel e que no esteja sendo utilizado. Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituio. No deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado. fortemente recomendado que no haja poluio de dados como, por exemplo, o administrador do honeypot/honeynet acessando-o via rede para realizar procedimentos de manuteno, ou realizando varreduras no bloco de endereamento IP do honeypot/honeynet para verificar se os servios esto realmente funcionando, entre outros. Caso contrrio, pode ser extremamente difcil distinguir entre os eventos que fazem parte dos procedimentos de administrao e manuteno e os eventos gerados por atividades maliciosas. Tambm muito importante que no haja qualquer tipo de filtragem para o bloco de endereamento IP alocado para o honeypot/honeynet, pois assim existem mais chances de se observar tcnicas utilizadas pelos atacantes antes desconhecidas, ataques novos, etc.
4.6. HONEYNETS NO BRASILPara quem ainda no sabe a internet brasileira j conta com uma honeynet h um bom tempo. Ela se chama Honeynet.BR, criada e mantida em parceria por especialistas do Instituto Nacional de Pesquisas Espaciais (INPE) e do grupo brasileiro de resposta a incidentes de segurana NBSO. A histria desse projeto tem incio com uma palestra do especialista Lance Spitzner, um dos criadores do Honeynet Project. "Em junho de 2000, tivemos a chance de assistir uma apresentao de Lance Spitzner sobre o conceito de Honeynets e seu potencial. Depois disso, passamos a acompanhar o progresso do projeto. Outros contatos com ele e com o projeto surgiram, mas ainda no havia uma estrutura para programar uma honeynet aqui no pas", revela Hoepers, do NBSO.
17 Apesar das dificuldades, a idia ganharia fora a partir de 2001. "Nessa poca, o INPE e o NBSO iniciaram uma cooperao maior e, no final daquele ano, surgiu a idia de programar um prottipo do projeto como um laboratrio do Curso de Ps-graduao em Segurana de Sistemas de Informao do INPE. Deste prottipo, partiu-se para um projeto maior, desenvolvendo pesquisa na rea e envolvendo diversos alunos de doutorado e mestrado", relata. Assim, em maro de 2002 comeariam as operaes do Honeynet.BR. Trs meses aps o seu lanamento, o projeto receberia um importante reconhecimento. "Devido orientao do nosso projeto pesquisa, em junho de 2002 o Projeto Honeynet.BR tornou-se membro da Honeynet Research Alliance, que rene diversos grupos de vrias partes do mundo, todos empenhados em desenvolver a tecnologia de honeynets", diz. Depois do pioneirismo do Honeynet.BR, a expectativa que, em pouco tempo, o nmero de projetos nessa rea ganhe novos adeptos no Brasil. Quer um exemplo? No incio deste ms, o Laboratrio de Redes de Alta Velocidade (RAVEL), ligado COPPE e contando com o apoio da FAPERJ, colocou em operao um projeto envolvendo uma honeynet. "A idia surgiu nas discusses com o Professor Lus Felipe de Moraes e o colega de mestrado Demetrio Crrion, no Programa de Engenharia de Sistemas e Computao (PESC) da COPPE/UFRJ. Vimos oportunidade de desenvolver um trabalho semelhante ao conhecido Honeynet Project, estudando de forma mais aprofundada os ataques que ocorrem na Internet", revela Alexandre Pinaffi Andrucioli, mestrando do RAVEL.
5. INSTALAO HONEYPOT NO LINUXNeste post, veremos um passo-a-passo para instalar um honeypot de baixa interatividade com a ferramenta honeyd. Primeiro, instalamos um linux Ubuntu Server 10.04 i386. O computador no precisa ser muito potente, o que eu utilizei tinha s 512MB de memria, por exemplo. Durante a instalao, eu configurei as parties assim:
Partio /boot: com 100MB de espao e sistema de arquivos ext4; Partio de swap: com 1GB de espao e sistema de arquivos Linux swap; Partio /: com o restante do espao do HD virtual e sistema de arquivos ext4.
Instalei o Ubuntu com todas as opes padro. As nicas alteraes foram:
Instalei o servidor OpenSSH, para facilitar o gerenciamento do servidor, posteriormente; Desativei as atualizaes automticas (eu prefiro faz-las quando quiser ).
Depois, instalei alguns pacotes necessrios:# sudo su # apt-get update # apt-get install gcc # apt-get install g++ # apt-get install libpcap-dev
18# apt-get install libreadline-dev # apt-get install libzip-dev Voc vai precisar baixar as bibliotecas libdnet e libevent. Abaixo, como as instalei:
libdnet verso 1.11 tar -zxvf libdnet-1.11.tar.gz cd libdnet-1.11 ./configure prefix=/opt/libdnet make make install libevent verso 1.4.14b-stable
# # # # #
Mesma coisa que a libdnet, s alterando o nome dos caminhos e pastas para o respectivo libevent, claro . Feito isto, passamos para a instalao do honeyd verso 1.5c: # tar -zxvf honeyd-1.5c.tar.gz # cd honeyd-1.5c # ./configure prefix=/opt/honeyd with-libevent=/opt/libevent withlibdnet=/opt/libdnet # make # make install Tambm instalei uma ferramenta auxiliar, que precisaremos, o arpd verso 0.2: # tar -zxvf arpd-0.2.tar.gz # cd arpd Apliquei algumas correes necessrias (clique aqui para v-las). # ./configure prefix=/opt/arpd with-libevent=/opt/libevent withlibdnet=/opt/libdnet # make # make install # cd /lib # ln -sf /opt/libevent/lib/libevent-1.4.so.2
19Estes dois ltimos passos foram necessrios porque seno o arpd no funcionava Pronto! Tudo instalado! Agora, criei arquivos de inicializao do honeyd e do arpd:
/etc/init.d/honeyd
#! /bin/sh ### BEGIN INIT INFO # Provides: honeyd # Required-Start: $networking $arpd # Required-Stop: $networking $arpd # Default-Start: 2 3 4 5 # Default-Stop: # Short-Description: honeyd ### END INIT INFO CONFIG=/opt/honeyd/share/honeyd/honeyd.conf LOG=/var/log/honeyd/honeyd.log #Defina abaixo qual sera o IP do honeypot! ENDERECO=192.168.1.251 case $1 in start) /opt/honeyd/bin/honeyd -l $LOG -i eth0 -f $CONFIG $ENDERECO ;; stop) killall honeyd ;; restart) $0 stop sleep 2 $0 start ;; *) echo Usage: /etc/init.d/honeyd {start|stop|restart} exit 1 esac exit 0
20
/etc/init.d/arpd
#! /bin/sh ### BEGIN INIT INFO # Provides: arpd # Required-Start: $networking # Required-Stop: $networking # Default-Start: 2 3 4 5 # Default-Stop: # Short-Description: arpd ### END INIT INFO #Defina abaixo qual sera o IP do honeypot! ENDERECO=192.168.1.251 case $1 in start) /opt/arpd/sbin/arpd -i eth0 $ENDERECO >> /dev/null 2>&1 ;; stop) killall arpd ;; restart) $0 stop sleep 2 $0 start ;; *) echo Usage: /etc/init.d/arpd {start|stop|restart} exit 1 esac exit 0 Adicionei estes arquivos inicializao automtica do Ubuntu. Assim, se eu precisasse reiniciar o honeypot, o honeyd e o arpd seriam iniciados junto com o Ubuntu: # update-rc.d honeyd defaults # update-rc.d arpd defaults E antes de iniciar manualmente os dois servios, ainda precisei criar o arquivo de configurao do honeyd:
21
/opt/honeyd/share/honeyd/honeyd.conf (exemplo bem simples, no vai ter simulao de servios, apenas contabilizar as tentativas de acesso)
create template set template personality Linux kernel 2.4.18 2.4.20 (X86) set template uptime 1728650 set template maxfds 35 bind 192.168.1.251 template Lembre-se de alterar o IP que o honeypot utilizar na ltima linha! Agora sim! Tudo pronto! s iniciar o arpd e o honeyd: /etc/init.d/arpd start /etc/init.d/honeyd start At o prximo post! #tar -zxvf arpd-0.2.tar.gz #cd arpd #./configure prefix=/opt/arpd libdnet=/opt/libdnet #make #make install with-libevent=/opt/libevent with-
6. VANTAGENS E DESVANTAGENSHoneypots possuem um conceito bem simples, demonstrando que qualquer dispositivo que armazene logs possa ser utilizado para este fim. Mas esta simplicidade trs vantagens e desvantagens aos honeypots.
6.1. VANTAGENSPouca necessidade de recursos de hardware j que o honeypot apenas ir registrar as atividades maliciosas; Possibilidade de identificar tanto as tcnicas quanto as ferramentas utilizadas pelo invasor; Captura de trafego criptografado, que muitas vezes no consegue ser analisada por um sistema de IDS convencional; Anlise de pequena quantia de dados, j que os logs so apenas das tentativas de invaso, sem estarem misturados com os logs de sistemas de produo. um sistema simples, pois apenas necessria a configurao do ambiente para comear o monitoramento, sem necessitar o desenvolvimento de algoritmos complexos.
6.2. DESVANTAGENSA viso dos ataques fica restrita a apenas as aes em que o honeypot esteja diretamente envolvido, a menos que ocorra algum tipo de interao dos sistemas reais com o honeypot.
22 Pode ocorrer de aparecerem falsos positivos e falsos negativos anlise dos logs caso o honeypot no tenha sido bem configurado; Um honeypot mal configurado tambm pode ser utilizado pelo invasor para ter acesso rede real.
7. INSTITUIES QUE UTILIZAM HONEYPOTS:Estas instituies tm como objetivo aumentar a capacidade de deteco de incidentes, correlao de eventos e determinao de tendncias de ataques no espao da internet brasileira. Para atingir estes objetivos as seguintes atividades so desenvolvidas: mantida uma rede distribuda de honeypots de baixa interatividade (utilizando honeyd), cobrindo uma quantidade razovel do espao de endereos Ipv4 da internet do Brasil; Foi disso um sistema que notifica, diariamente, os grupos de tratamento de incidentes das redes responsveis por originar ataques aos honeypots; So Mantidas estatsticas publicas, so elas: Grficos dirios dos fluxos de rede do trafico de direcionado a todos os honeypots; Grficos gerados a cada hora com o sumario do trfego TCP e UDP direcionando aos honeypots, incluindo as tendncias observadas.
7.1. LOCALIZAOVeja a Seguir a localizao das Instituies que utilizam honeypots, abaixo:
23
# 01 02 03 04 05 06 07 08 09 10 11 12 13 14
Cidade So Jos dos Campos Rio de Janeiro So Paulo Campinas So Jos do Rio Preto Piracicaba Petrpolis Braslia Porto Alegre Ribeiro Preto So Carlos Florianpolis Uberlndia Lins
Instituies INPE CBPF, Embratel, Fiocruz, PUC-RIO, RedeRio ANSP, CERT.br, Diveo, Durand, LOCAWEB,PRODESP, TIVIT, UNESP, UOL, USP, VIVO CTI, ITAL, UNICAMP UNESP USP LNCC CTIR Gov, Ministrio da Justia, TCU, UnB CERT-RS, TRI USP USP UFSC DAS CTBC Telecom ---
24 15 16 17 18 19 20 21 22 23 Passo Fundo Curitiba Belm So Leopoldo Belo Horizonte Recife Salvador Vitria Americana UPF CELEPAR, Onda, PoP-PR --Unisinos CSIRT PoP-MG, Diveo EMPREL UFBA PoP-ES ADG
