pontifÍcia universidade catÓlica de campinas curso de engenharia da computação disciplina de...
TRANSCRIPT
![Page 1: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/1.jpg)
PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINASCurso de Engenharia da Computação
Disciplina de Tópicos em Redes B
Alunos:Gustavo SicoliLuiz Fernando Testa ContadorRafael Diniz de FreitasRenato Seiti Tsukada
![Page 2: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/2.jpg)
Este seminário visa apresentar as armadilhas para invasores de sistemas, conhecidas como honeypots, e seu uso como ferramenta de pesquisa. As discussões vão se centrar em honeypots de baixa interatividade, sua origem, vantagens e desvantagens das soluções mais conhecidas. Baseado na ferramenta Valhala Honeypot , será mostrado como configurar um honeypot e monitorar os logs gerados, através de ferramentas que emulam um ambiente para demonstração do mesmo.
![Page 3: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/3.jpg)
Honeypot = Pote de Mel
São recursos computacionais dedicados aserem sondados, atacados ou comprometidos,num ambiente que permita o registroe controle dessas atividades.
“Um honeypot é um recurso de rede cuja função é de ser atacado e compremetido (invadido). Significa dizer que um Honeypot poderá ser testado, atacado e invadido. Os honeypots não fazem nenhum tipo de prevenção, os mesmos fornecem informações adicionais de valor inestimável”
Lance Spitzner - 2003
![Page 4: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/4.jpg)
Detectar ataques internos; Identificar varreduras e ataques
automatizados; Identificar tendências;Manter atacantes afastados de
sistemas importantes;Coletar assinaturas de ataques;Detectar máquinas comprometidas
ou com problemas de configuração;Coletar código malicioso (malware).
![Page 5: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/5.jpg)
Baixa Interatividade Alta Interatividade
![Page 6: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/6.jpg)
Emulam serviços e sistemas O atacante não tem acesso ao sistema
operacional real O atacante não compromete o honeypot Fácil de configurar e manutenção Baixo risco Informações obtidas são limitadas Exemplos: Back Ofcer Friendly, DeceptionToolkit(DTK), Specter, Honeyd, Labrea,
Tarpit
![Page 7: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/7.jpg)
Mais difíceis de instalar e manter Maior risco Necessitam mecanismos de
conteção, para evitar que sejam usados para lançamento de ataques contra outras redes
Coleta extensa de informações Exemplos: honeynets e honeynets
virtuais
![Page 8: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/8.jpg)
![Page 9: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/9.jpg)
Uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes
É conhecido também como "honeypot de pesquisa” ,de alta interatividade, projetado para pesquisa e obtenção de informações .
![Page 10: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/10.jpg)
Honeynets Reais Honeynets Virtuais
![Page 11: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/11.jpg)
Diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicações e serviços reais instalados;
Um computador com um firewall instalado, atuando como mecanismo de contenção e de coleta de dados;
Um computador com um IDS instalado, atuando como mecanismo de geração de alertas e de coleta de dados;
Um computador atuando como repositório dos dados coletados;
hubs/switches e roteador (se necessário) para fornecer a infra-estrutura de rede da honeynet.
![Page 12: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/12.jpg)
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um computador
Um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o Vmware,VirtualBox.
As honeynets virtuais ainda são subdivididas em duas categorias: Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dado, geração de alertas e os honeypots (implementados através de um software de virtualização)
Na segunda, esses mecanismos são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.
![Page 13: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/13.jpg)
Honeynets Virtuais
Vantagens: manutenção mais simples; necessidade de menor espaço físico, e custo final tende a ser mais baixo.
Desvantagens : alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas, atacante pode obter acesso a outras partes do sistema.
através do software de Virtualização
![Page 14: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/14.jpg)
Honeynets Reais
Vantagens: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais.
Desvantagens : manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.
![Page 15: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/15.jpg)
Honeypots/Honeynets devem ser utilizados como um complemento para a segurança e não devem ser usados como substitutos para:
Boas práticas de segurança; Políticas de segurança; Sistemas de gerenciamento de
correções de segurança (patches); Outras ferramentas de segurança,
como firewall e IDS.
![Page 16: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/16.jpg)
![Page 17: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/17.jpg)
![Page 18: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/18.jpg)
![Page 19: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/19.jpg)
![Page 20: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/20.jpg)
![Page 21: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/21.jpg)
Porque usar Honeyd?
Simula sistemas, executando em espaços de endereçamento não alocados Simula diversos hosts virtuais ao mesmo
tempo Simula um SO no nível de pilha do TCP/IP Engana o nmap e o xprobe Suporta redirecionamento de um serviço Suporta somente os protocolos TCP, UDP e
ICMP
![Page 22: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/22.jpg)
A Ferramenta Honeydsum Escrita em Perl Gera sumários em texto e HTML válido Gera grácos personalizados Sistema de ltros como, portas, protocolos,
endereços IPs e redes, etc. Sanitização dos logs por endereço/rede de
origem e/ou destino Correlacionamento de eventos entre
diversos honeypots
![Page 23: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/23.jpg)
![Page 24: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/24.jpg)
![Page 25: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/25.jpg)
Analise de Logs por Honeyd ( usando TCP/UDP)
![Page 26: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/26.jpg)
Analise de Logs por Honeyd (Utilizando SSH)
![Page 27: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/27.jpg)
Analise de Logs por Honeyd (Ataque por HTTP)
![Page 28: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/28.jpg)
![Page 29: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/29.jpg)
![Page 30: PONTIFÍCIA UNIVERSIDADE CATÓLICA DE CAMPINAS Curso de Engenharia da Computação Disciplina de Tópicos em Redes B Alunos: Gustavo Sicoli Luiz Fernando Testa](https://reader035.vdocuments.site/reader035/viewer/2022062623/552fc0f8497959413d8b4f15/html5/thumbnails/30.jpg)
Honeypots e Honeynets: Definicões e Aplicacões http://www.cert.br/docs/whitepapers/honeypots-honeynets/
Resultados Preliminares do Projeto SpamPots http://www.cert.br/docs/whitepapers/spampots/
Consórcio Brasileiro de Honeypots http://www.honeypots-alliance.org.br/
The Honeynet Project http://www.honeynet.org/
CERT.br http://www.cert.br/
NIC.br http://www.nic.br/