Autores: Cristine Hoepers, Klaus Steding-Jessen e Marcelo H. P. C. Chaves
Versão: 1.1 -- 10/08/2007
Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido [2].
Existem dois tipos de honeypots: os de baixa interatividade e os de alta interatividade.
Em um honeypot de baixa interatividade são instaladas ferramentas para emular sistemas operacionais e serviços com os quais os atacantes irão interagir. Desta forma, o sistema operacional real deste tipo de honeypot deve ser instalado e configurado de modo seguro, para minimizar o risco de comprometimento.
O honeyd [4,5] é um exemplo de ferramenta utilizada para implementar honeypots de baixa interatividade.
Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicações e serviços reais.
Exemplos de honeypots de alta interatividade são as honeynets [6,7] e as honeynets virtuais [8].
Definição 1: uma Honeynet é uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contém mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes [3].
Definição 2: uma Honeynet nada mais é do que um tipo de honeypot. Especificamente, é um honeypot de alta interatividade, projetado para pesquisa e obtenção de informações dos invasores. É conhecido também como "honeypot de pesquisa" [1].
Uma vez comprometida, a honeynet é utilizada para observar o comportamento dos invasores, possibilitando análises detalhadas das ferramentas utilizadas, de suas motivações e das vulnerabilidades exploradas.
Uma honeynet normalmente contém um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicações e serviços. Também contém mecanismos de contenção robustos, com múltiplos níveis de controle, além de sistemas para captura e coleta de dados, e para geração de alertas.
Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais.
Em uma honeynet real os dispositivos que a compõem, incluindo os honeypots, mecanismos de contenção, de alerta e de coleta de informações, são físicos.
Para exemplificar, uma honeynet real poderia ser composta pelos seguintes dispositivos:
As vantagens deste tipo são: baixo custo por dispositivo; mais tolerante a falhas (ambiente é distribuído), e os atacantes interagem com ambientes reais.
As principais desvantagens são: manutenção mais difícil e trabalhosa; necessidade de mais espaço físico para os equipamentos, e custo total tende a ser mais elevado.
Uma honeynet virtual baseia-se na idéia de ter todos os componentes de uma honeynet implementados em um número reduzido de dispositivos físicos. Para isto, normalmente é utilizado um único computador com um sistema operacional instalado, que serve de base para a execução de um software de virtualização, como o VMware (Virtual Infrastructure Software) [9] ou o UML (User Mode Linux) [10]. Os softwares de virtualização permitem executar diversos sistemas operacionais com aplicações e serviços instalados, ao mesmo tempo.
As honeynets virtuais ainda são subdivididas em duas categorias: de auto-contenção e híbridas. Na primeira, todos os mecanismos, incluindo contenção, captura e coleta de dados, geração de alertas e os honeypots (implementados através de um software de virtualização) estão em um único computador. Na segunda, os mecanismos de contenção, captura e coleta de dados e geração de alertas são executados em dispositivos distintos e os honeypots em um único computador com um software de virtualização.
As vantagens das honeynets virtuais são: manutenção mais simples; necessidade de menor espaço físico para os equipamentos, e custo final tende a ser mais baixo.
As principais desvantagens são: alto custo por dispositivo, pois são necessários equipamentos mais robustos; pouco tolerante a falhas (muitos componentes concentrados em um único ponto); o software de virtualização pode limitar o hardware e sistemas operacionais utilizados; o atacante pode obter acesso a outras partes do sistema, pois tudo compartilha os recursos de um mesmo dispositivo (no caso da categoria de auto-contenção), e possibilidade do atacante descobrir que está interagindo com um ambiente virtual.
Um honeypot/honeynet traz como grande vantagem o fato de ser implementado de forma que todo o tráfego destinado a ele é, por definição, anômalo ou malicioso. Portanto é, em teoria, uma ferramenta de segurança isenta de falso-positivos, que fornece informações de alto valor e em um volume bem menor do que outras ferramentas de segurança, como por exemplo um IDS.
A grande desvantagem é que, diferente de um IDS de rede, por exemplo, um honeypot/honeynet só é capaz de observar o tráfego destinado a ele, além de poder introduzir um risco adicional para a instituição.
É importante ressaltar que honeypots/honeynets devem ser utilizados como um complemento para a segurança da rede de uma instituição e não devem ser encarados como substitutos para:
O valor dos honeypots/honeynets baseia-se no fato de que tudo o que é observado é suspeito e potencialmente malicioso, e sua aplicação depende do tipo de resultado que se quer alcançar.
Honeypots de baixa interatividade oferecem baixo risco de comprometimento e são indicados para redes de produção, quando não há pessoal e/ou hardware disponível para manter uma honeynet, ou quando o risco de um honeypot de alta interatividade não é aceitável.
Normalmente, o uso de honeypots de baixa interatividade também está associado aos seguintes objetivos:
Já honeypots de alta interatividade são indicados para redes de pesquisa. Podem ser utilizados para os mesmos propósitos que os honeypots de baixa interatividade, mas introduzem um alto risco para instituição, e são justificáveis quando o objetivo é estudar o comportamento dos invasores, suas motivações, além de analisar detalhadamente as ferramentas utilizadas e vulnerabilidades exploradas. É importante lembrar que o uso de honeypots de alta interatividade demanda tempo, pessoal mais qualificado e técnicas de contenção eficientes.
Segue uma tabela comparativa que pode auxiliar na decisão sobre que tipo de honeypot deve ser implementado em uma instituição.
|
Para operar, um honeypot/honeynet necessita de um bloco de endereçamento IP da instituição, que seja roteável e que não esteja sendo utilizado. Este bloco deve ser visto como uma rede isolada ou um novo segmento de rede da instituição. Não deve fazer parte de qualquer rede ou segmento de rede previamente sendo utilizado.
É fortemente recomendado que não haja poluição de dados como, por exemplo, o administrador do honeypot/honeynet acessando-o via rede para realizar procedimentos de manutenção, ou realizando varreduras no bloco de endereçamento IP do honeypot/honeynet para verificar se os serviços estão realmente funcionando, entre outros. Caso contrário, pode ser extremamente difícil distinguir entre os eventos que fazem parte dos procedimentos de administração e manutenção e os eventos gerados por atividades maliciosas.
Também é muito importante que não haja qualquer tipo de filtragem para o bloco de endereçamento IP alocado para o honeypot/honeynet, pois assim existem mais chances de se observar técnicas utilizadas pelos atacantes antes desconhecidas, ataques novos, etc.
$Date: 2022/03/16 19:17:47 $