Upload
dinhnhi
View
217
Download
0
Embed Size (px)
Citation preview
1
UNIVERSIDADE SÃO FRANCISCO
Engenharia de Computação
WAGNER ROBERTO PEREIRA
ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO
DE TECNICAS DE VIRTULIZAÇÃO EM AMBIENTES
CORPORATIVOS
Itatiba
2012
2
WAGNER ROBERTO PEREIRA – R.A. 002200801281
ANÁLISE DE SEGURANÇA NA IMPLEMENTAÇÃO
DE TECNICAS DE VIRTULIZAÇÃO EM AMBIENTES
CORPORATIVOS
Monografia apresentada á disciplina Trabalho
de Conclusão de Curso, do curso de Engenharia de
Computação da Universidade São Francisco, sob
orientação do Prof. Rodrigo Luis Nolli Brossi, como
exigência para conclusão do curso de graduação.
Orientador: Prof. Rodrigo Luis Nolli Brossi
Itatiba
2012
3
AGRADECIMENTOS
Primeiramente agradeço à Deus por ter colocado no meu caminho tantas
pessoas que, sempre me apoiaram e me deram forças para continuar. Agradeço aos
meus irmãos e pais, Adriana e Claudinei, por serem um exemplo de perseverança pra
mim, por sempre terem lutado para eu chegar onde cheguei. Agradeço a minha noiva
e minha filha, Eliane e Emily, por estarem ao meu lado, por sempre terem apostado, e
acreditado em mim e sempre ter me apoiado nas minhas decisões. Agradeço ao
professor, orientador e amigo Rodrigo Luis Nolli Brossi, pelo incentivo e dedicação
doados para a realização deste trabalho. E agradeço a todos meus amigos, familiares
e as pessoas que sempre me apoiaram, ajudaram e acreditaram em mim, pois devo a
todos os meus mais sinceros agradecimentos, porque sozinho não teria conseguido.
Dedico a todas essas pessoas esse meu trabalho de conclusão de curso.
4
RESUMO
Com a grande evolução das tecnologias computacionais e das
telecomunicações, a Internet deixou de ser um simples meio de comunicação e
passou a prover serviços, as empresas foram impulsionadas a investirem em
tecnologias que lhe ofereçam maior agilidade, mobilidade, qualidade, transparência,
baixo custo e segurança. Junto a essa evolução, a internet se tornou mais dinâmica,
interativa e com isso, surgiram novas ameaças virtuais como vírus, spyware, adware,
cavalo de tróia, worn, keylogger, hijacker, phishing. Em contra partida, meios de
proteção a rede também vem sendo criados a medida que as ameaças evoluem e
cada vez mais sendo procurados. A ferramenta de segurança que será abordada no
decorrer do trabalho será Honeypot. Honeypot são recursos que trazem subsídios aos
profissionais de segurança para a realização de estudos e soluções de problemas que
podem prejudicar a privacidade de uma rede, recursos de segurança criados para
serem sondados, atacados ou comprometidos, utilizados para distrair atividade
maliciosa de máquinas valiosas da rede servindo como mecanismo de alerta, ou,
utilizados para monitoração de um ataque, a fim de coletar informações do atacante,
explorar vulnerabilidades de segurança em sua rede e corrigi-las posteriormente. O
desenvolvimento deste estudo tem como objetivo introduzir os principais conceitos de
virtualização, assim como relatar experiências e casos de sucesso de empresas que
adotaram Honeypot como ferramenta de segurança e gerenciamento de
vulnerabilidades da rede.
Palavra chave: Virtualização, segurança, honeypot.
5
ABSTRACT
With the great development of computer technologies and telecommunications,
the Internet is no longer simply a means of communication and began to provide
services, companies were driven to invest in technologies that will offer greater agility,
mobility, quality, transparency, and low cost security. Along with this evolution, the
internet has become more dynamic, interactive and with this, new cyber threats like
viruses, spyware, adware, Trojan horse, worn, keylogger, hijacker, phishing. By
contrast, protection means the network has also been created as threats for evolve and
increasingly being sought. A security tool which will be addressed during the work will
be Honeypot. Honeypot subsidies are resources that bring security professionals to
conduct studies and solutions to problems that can harm the privacy of a network
security features designed to be probed, attacked or compromised, used to distract
malicious activity valuable network of machines serving as a warning mechanism, or,
used for monitoring an attack in order to collect information from the attacker, exploiting
security vulnerabilities in your network and fix them later. Development of this study is
to introduce the main concepts of virtualization, as well as share experiences and
success stories of companies that have adopted Honeypot tool as security and
vulnerability management network.
Keywords: Virtualization, security, honeypot.
6
Sumário
1. Introdução..............................................................................................................10
2. Objetivo..................................................................................................................11
3. Metodologia...........................................................................................................11
4. Revisão Bibliográfica.............................................................................................12
4.1. Virtualização ............................................................................................. 12
4.2. História da virtualização..............................................................................12
4.3. A importância da virtualização....................................................................13
4.4. Tipos de virtualização ............................................................................... 14
4.4.1. Virtualização de servidores ......................................................... 14
4.4.2. Virtualização de desktops ........................................................... 15
4.4.3. Virtualização de aplicativos ......................................................... 15
4.5. Segurança na virtualização.........................................................................15
4.6. Honeypot .................................................................................................. 17
4.7. Historia do Honeypot..................................................................................18
4.8. Importancia do honeypot............................................................................19
4.8.1. Honeypot de Produção.................................................................19
4.8.2. Honeypot de Pesquisa.................................................................21
4.9. Tipos de honeypot......................................................................................21
4.9.1. Honeypot de Baixa Interação ......................................................21
4.9.2. Honeypot de Alta Interação .........................................................23
4.10. Honeynet……...........................................................................................25
4.10.1. Honeynet Real ou Classica……………………...………………..26
4.10.2. Honeynet Virtual…………………............………..……………….28
5. Implementação do Honeypot.....................................................................................30
5.1. Criar a maquina virtual................................................................................30
5.2. Instalando o Sistema Operacional..............................................................35
5.3. Instalando o PentBox - Honeypot...............................................................41
5.4. Acesso ao PentBox - Honeypot..................................................................46
5.5. Ferramenta Valhala Honeypot - Windows..................................................49
5.6. Acesso ao Honeypot - Valhala....................................................................51
5.6.1. Log de acesso Valhala - Honeypot..............................................55
6 Conclusão..................................................................................................................58
7. Bibliografia................................................................................................................59
7
LISTA DE FIGURAS
Figura 1: Figura 1 - Exemplo da arquitetura de um Honeypot..................17
Figura 2: Figura 2 - Exemplo de arquitetura de uma honeynet.................24
Figura 3: Figura 3 - Exemplo da arquitetura de Honeynet.........................26
Figura 4: Figura 4 - Exemplo de honeynet clássica...................................27
Figura 5: Figura 5 - Exemplo de honeynet virtual......................................29
Figura 6: Figura 6 – Oraculo VM VirtualBox..............................................30
Figura 7: Figura 7 – Criando a maquina virtual.........................................31
Figura 8: Figura 8 – Alocando memória para maquina virtual..................31
Figura 9: Figura 9 – Definindo disco de boot.............................................32
Figura 10: Figura 10 – Criação de discos virtuais........................................32
Figura 11: Figura 11 – Detalhes do armazenamento de disco virtual.........33
Figura 12: Figura 12 – Alocando o tamanho do disco virtual.......................34
Figura 13: Figura 13 – Especificações da maquina virtual criada...............35
Figura 14: Figura 14 – Modos de instalação do sistema operacional.........36
Figura 15: Figura 15 – Inicializando com o modo de interface gráfica.......36
Figura 16: Figura 16 – Interface gráfica.......................................................37
Figura 17: Figura 17 – Selecionando idioma...............................................37
Figura 18: Figura 18 – Localização e fuso horário.......................................38
Figura 19: Figura 19 – Selecionando o layout de teclado............................39
Figura 20: Figura 20 – Preparar espaço em disco virtual............................39
Figura 21: Figura 21 – Preparando para instalação....................................40
Figura 22: Figura 22 – Acesso após instalação do pacote de dados.........41
Figura 23: Figura 23 – Comando para baixar o pentbox.............................41
Figura 24: Figura 24 – Pacotes instalados..................................................42
Figura 25: Figura 25 – Atualizando o SVN..................................................42
Figura 26: Figura 26 – Tela inicial do pentbox............................................43
Figura 27: Figura 27 – Menu de configuração do honeypot.......................43
Figura 28: Figura 28 – Menu de opções de ferramentas............................44
Figura 29: Figura 29 – Definindo porta aberta............................................45
Figura 30: Figura 30 – Honeypot em execução..........................................46
Figura 31: Figura 31 – Endereço IP da maquina virtual..............................46
Figura 32: Figura 32 – Verificando as portas abertas com o Nmap...........47
Figura 33: Figura 33 – Putty acesso ao IP 124.0.2.190 porta 23................47
Figura 34: Figura 34 – Honeypot atacado...................................................48
8
Figura 35: Figura 35 – Log de acesso.........................................................48
Figura 36: Figura 36 – Ferramenta Valhala honeypot.................................49
Figura 37: Figura 37 – Criação de diversos ambientes de honeypot.........50
Figura 38: Figura 38 – Habilitando servidor telnet.......................................50
Figura 39: Figura 39 – Acesso via putty ao honeypot Valhala....................51
Figura 40: Figura 40 – O honeypot foi acessado pelo atacante..................52
Figura 41: Figura 41 – Acessando conteúdo do honeypot..........................52
Figura 42: Figura 42 – Acessando a pasta de Arquivos no honeypot........53
Figura 43: Figura 43 – Acesso negado ao tentar acessar o diretório.........53
Figura 44: Figura 44 – Monitoramento do acesso ao honeypot..................54
9
LISTA DE TABELA
Tabela 1 – Comparação entre Honeypot de baixa interatividade e Honeypot de
alta interatividade ........................................................................................................ 24
10
1. Introdução
Com o grande avanço tecnológico, as empresas são impulsionadas a
investirem em tecnologias que lhe ofereçam maior agilidade, mobilidade de
serviços, qualidade, flexibilidade da informação com maior transparência ao
usuário final, e o baixo custo. Em paralelo a essa evolução, a internet se tornou
mais dinâmica e interativa, o que possibilita que essas novas tecnologias sejam
utilizadas com mais frequência nas empresas e computadores pessoais tendo
muitas das vezes, funcionalidade de prover serviços.
A virtualização auxilia o trabalho em um ambiente onde haja uma
diversidade de plataformas de software, sem ter um aumento no número de
plataformas de hardware. Assim, cada aplicação pode executar em uma máquina
virtual própria, possivelmente incluindo suas bibliotecas e seu sistema operacional,
fazendo assim um melhor aproveitamento do processamento e memória de seu
hardware.
A segurança na virtualização pode ser analisada através de dois
mecanismos de segurança: físicos e lógicos. O mecanismo físico esta relacionado
com segurança local, onde a informação é hospedada, tendo como objetivo
restringir acessos através meios físicos como, fechaduras, blindagens e outros. Já
os mecanismos lógicos são tratados como meio de camuflar a informação de
modo de terceiros não tenham acesso, utilizando procedimentos como criptografia,
integridade, controle de acesso, protocolos seguros, e ferramentas como
honeypots e outros.
.
11
2. Objetivos
A elaboração deste projeto tem como objetivo, analisar e estudar a melhor
forma de implementação da ferramenta honeypots em ambientes corporativos
virtualizados.
3. Metodologia
Para conhecer quais os tipos e o funcionamento das criptografias mais comuns
que existem atualmente e quais os problemas de segurança enfrentados nas
empresas, um estudo será realizado tendo como base as referencias bibliográficas
que foram primeiramente apresentadas no Plano Inicial além de outras a serem
pesquisadas no andamento do trabalho.
Após consolidar os problemas de segurança enfrentados, demonstrará as
principais técnicas utilizadas na implementação da virtualização, visando garantia
melhor confiabilidade, integridade e disponibilidade nos serviços prestados pela
organização.
Por fim, com intuito de resolver os problemas comuns e relatar o
funcionamento do sistema com a virtualização, implementar no ambiente já
virtualizado como funciona a ferramenta honeypots que será utilizada para evitar
ataques, serão criados varias maquinas clientes com características atrativas para
ataques, com o intuito de detectar as atividades maliciosas na rede, e após obter
ideias e soluções para problemas reais vividos dentro dessa área de redes e
ambientes virtualizados corporativos.
12
4. Revisão Bibliográfica
4.1. Virtualização
Para DUARTE, virtualização é apresentada na maioria das vezes como
capacidade de fazer um mesmo hardware ser explorado por diversos ambientes
computacionais, então, considera-se virtualização como a técnica que cria ilusões
dos recursos físicos para serem explorados pelas maquinas virtuais. Essa técnica,
muito empregada em servidores, ainda tem como vantagem oferecer uma camada
de abstração dos verdadeiros recursos físicos de uma maquina, provendo um
hardware virtual para cada sistema torna-se também uma excelente alternativa de
migração de sistema.
4.2. História da Virtualização
A ideia de virtualização, apesar de ter mais atenção nos últimos anos a
virtualização surgiu na metade dos anos 1960, quando os gigantes e caros
computadores atingiram grandes velocidades de processamento, porem se mostravam
ineficientes nos aspectos de tempo de calculo, devido ao gerenciamento de processos
ser feito manualmente pelo operador. Então para melhor proveito de processamento
computacional era necessário executar vários processos em paralelo, e com isso
surgiu o conceito de tempo compartilhado, o que resultou na ideia de virtualização.
Em 1972, a IBM lançou um mainframe capaz de executar simultaneamente
diferentes sistemas operacionais sob a supervisão de um programa de controle, o
hipervisor. O sistema 370 da IBM foi o primeiro computador comercial inteiramente
projetado para virtualização, que com o sistema operacional CP/CMS, permitia
executar múltiplas instâncias simultaneamente. Este foi seguido pelo IBM z/VM, que
se aproveitava da virtualização via hardware de forma mais completa, onde todas duas
interfaces de hardware eram virtualizadas. O VM/CMS é muito bem conceituado e
amplamente distribuído na indústria e em ambientes acadêmicos.
13
Com o passar dos anos a virtualização começou a cair no esquecimento,
devido a criação de novas aplicações cliente-servidor, de acordo com a VMWare, com
o desenvolvimento de sistemas operacionais como o Windows e Linux em 1990
acabaram por estabelecer a arquitetura x86 como padrão da indústria. Devido ao alto
custo para aquisição de mainframe, empresas passaram a adquirir servidores de
plataforma x86, processo chamado de low-end (varias maquinas pequenas fazendo o
trabalho de um grande servidor). Com essa nova estratégia reduziu custos, porem em
cada implementação dos servidores x86, o uso do processamento ficava entre 10 a
15% da capacidade total do servidor, e acabando por sofrer do mesmo problema dos
mainframes da década 1960, ou seja, não se aproveitava toda sua capacidade
computacional.
Em 1999, a VMWare introduziu o conceito de virtualização na plataforma x86
como uma maneira mais eficiente para utilizar uma estrutura computacional que
possibilitasse o total aproveitamento dos recursos computacionais destes servidores.
A partir de 2005 fabricantes de processadores como Intel e AMD deram mais
atenção a necessidade de melhorar o suporte via hardware em seus produtos. A Intel
com sua tecnologia Intel VT e a AMD com a AMD-V. Estes hardwares contém
funcionalidades explícitas que permitem que hypervisor melhorados sejam utilizados
com a técnica de virtualização completa, que tornam mais fácil a implementação e
potencializam a melhora de desempenho.
4.3. A importância da virtualização
Atualmente no ambiente corporativo, a busca por novas tecnologias que
atendam as necessidades das empresas esta em constante crescimento, e cada vez
mais estão a procura de maior garantia, disponibilidade do serviço, integridade da
informação. Uma das razões pra se utilizar a virtualização, é a consolidação de
servidores, pois ao virtualizar um determinado número de sistemas em apenas um
servidor físico, conseguirá economizar espaço em estrutura física, espaço em disco,
refrigeração, energia e centralizará o gerenciamento.
Para determinar quais servidores podem ou não ser virtualizados, deve-se
fazer uma avaliação de recursos utilizando-se de ferramentas como MRTG ou Cacti
14
(ambos utilizam como ferramenta o protocolo SNMP) para monitorar o desempenho e
o uso de recursos em cada servidor. Uma vez virtualizado, deve ser feito um
acompanhamento, verificando se o novo servidor físico também ficará sobrecarregado,
é possível migrar determinado servidor virtual para outro servidor físico com o mesmo
em produção – sem necessidade de reboot, e sem afetar o funcionamento das
maquinas virtuais, tendo assim um balanceamento de carga entre as maquinas físicas.
A virtualização também é importante ao analisarmos a redundância em data centers,
com a migração em tempo real, uma vez identificada a possibilidade de falha de
determinada máquina física hospedeira, bastaria migrar as máquinas virtuais para
outros servidores físicos. Porém, se acontecer alguma falha não esperada em algum
servidor hospedeiro, todas as máquinas virtuais daquele equipamento podem ser
afetadas e máquinas virtuais poderão ser corrompidas.
4.4. Tipos de virtualização
4.4.1. Virtualização de servidores
De acordo com a Network World, virtualização de servidores é motivada em
ordem de importância, pelas seguintes razões: aumentar a taxa de utilização de
servidores, reduzir os custos operacionais de datacenters, melhorar os procedimentos
de recuperação de desastres e de backup, criar ambientes mais flexíveis para
desenvolvimento e teste de software e reduzir custos de administração de TI.
A virtualização é um processo que, através do compartilhamento de hardware,
permite a execução de inúmeros sistemas operacionais em um único equipamento.
Cada máquina virtual criada neste processo é um ambiente operacional completo,
seguro e totalmente isolado como se fosse um computador independente. A
virtualização de servidores é o processo no qual os sistemas operacionais e as
aplicações normalmente utilizadas em servidores físicos, passam a utilizar máquinas
virtuais, fazendo um uso mais eficiente do hardware, permitindo maior agilidade e
redução dos custos.
15
4.4.2. Virtualização de desktops
O conceito da virtualização de desktops é o mesmo empregado na
virtualização de servidores, a de possuir a capacidade de executar diversos desktops
virtuais em um ou mais servidores físicos. Este tipo de virtualização implica na
separação do modelo tradicional, na qual os usuários executam os seus sistemas
operacionais e aplicações localmente, onde todos os programas, aplicações,
processos e dados são mantidos e executados de forma centralizada.
Uma forma muito utilizada e difundida de virtualização, tratando-se de
desktops, é o servidor de terminais, onde os usuários conectados possuem uma
sessão dentro de um mesmo sistema operacional, onde cada usuário possui o seu
próprio sistema operacional e as suas aplicações, tal como se estivesse utilizando um
desktop normal.
4.4.3. Virtualização de aplicativos
O conceito da virtualização de aplicações é que os aplicativos são executados
na máquina local ou virtual, utilizando os seus recursos, mas não tem permissões para
fazer qualquer tipo de alteração. Ao invés disso, eles são executados em um pequeno
ambiente virtual que contém as entradas do registro, arquivos, DLLs e os demais
componentes que eles precisam para executar. Este ambiente virtual age como uma
camada entre a aplicação e o sistema operacional.
4.5. Segurança na Virtualização
As redes de computadores, e consequentemente a Internet segundo Laureano,
mudaram as formas como se usam sistemas de informação. As possibilidades e
oportunidades de utilização são muito mais amplas que em sistemas fechados, assim
como os riscos à privacidade e integridade da informação. Atualmente, é muito
importante que mecanismos de segurança de sistemas de informação sejam
projetados de maneira a prevenir acessos não autorizados aos recursos e dados
destes sistemas.
16
Conforme definido por SCHNEIER em Segredos e Mentiras, segurança é a
redução do perigo. Nunca se pode eliminar o risco, mas a segurança ajuda a reduzir
as ameaças de uma organização e seus recursos de informação relacionados.
De acordo com SÊMOLA, alguns critérios devem ser respeitados para um
sistema ser considerado seguro:
• Autenticidade: garante que a informação ou o usuário da mesma é
autêntico, ou seja, garante que a entidade envolvida é quem afirma ser;
• Não repúdio: não é possível negar a existência ou autoria de uma
operação que criou, modificou ou destruiu uma informação;
• Auditoria: implicam no registro das ações realizadas no sistema,
identificando os sujeitos e recursos envolvidos, as operações realizadas, seus
horários, locais e outros dados relevantes.
Em virtualização consideram-se três os princípios básicos para garantir a
segurança da informação, segundo KRAUSE e TIPTON:
• Confidencialidade: a informação somente está visível a sujeitos
(usuários e/ou processos) explicitamente autorizados;
• Disponibilidade: a informação deve estar prontamente disponível
sempre que for necessária;
• Integridade: a informação somente pode ser modificada por sujeitos
explicitamente autorizados e de formas claramente definidas.
A segurança visa também aumentar a produtividade dos usuários através de
um ambiente mais organizado, proporcionando maior controle sobre os recursos de
informática, viabilizando até o uso de aplicações de missão crítica. A combinação em
proporções apropriadas dos itens confidencialidade, disponibilidade e integridade
facilitam o suporte para que as empresas alcancem os seus objetivos, pois seus
sistemas de informação serão mais confiáveis.
17
4.6. Honeypot
De acordo com HONEY NET PROJ, honeypots são recursos de segurança
criados para serem sondados, atacados ou comprometidos por um atacante; podem
ser utilizados para distrair atividade maliciosa de máquinas valiosas da rede ou como
mecanismo de alerta (honeypots de produção); ou podem ser utilizados para
monitoração de um ataque (honeypots de pesquisa).
Segundo SPITZNER, honeypot é "um recurso de segurança mentiroso com
valores a serem sondados, atacados ou comprometidos". É uma ferramenta que
apenas emula outros sistemas, aplicações, cria um ambiente preso, ou pode ser
construído um sistema padrão. Independentemente de como você construir e usar o
honeypot, seu valor reside no fato de ser atacado, a fim de coletar informações e
meios usados para realizar o ataque. A Figura 1 é uma arquitetura apresentada de
honeypot.
Exemplo de arquitetura de Honeypot.
Figura 1: Exemplo da arquitetura de uma rede com Honeypot.
18
4.7. Historia do Honeypot
Segundo STOLL, em agosto de 1986 ele e outros administradores de rede do
Lawrence Berkley Laboratory perceberam que alguém estava atacando e obtendo
acesso a sua rede. Porém eles não tentaram interromper os ataques para manter o
invasor longe, e sim resolveram deixá-lo continuar o ataque enquanto eles
monitoravam a ação do invasor, mas as máquinas que sofreram o ataque não eram
preparadas para o fim de monitoramento, eram máquinas de uso do instituto, com
arquivos e serviços verdadeiros.
No ano de 1991, CHESWICK relatou que ao perceber que um computador da
AT&T Bell Laboratories estava sofrendo um ataque resolveu fazer algo parecido com o
descrito por STOLL, mas este preparou especialmente uma máquina para ser
invadida, assim poderia melhor controlar os acessos e permissões do invasor, além de
não comprometer assim os arquivos e sistemas reais da rede.
Porém foi em 1998 que Fred Cohen desenvolveu e distribuiu gratuitamente
pela internet a ferramenta chamada “The Deception Toolkit”. Esta ferramenta tinha o
objetivo de simular vulnerabilidades em softwares conhecidos, emitindo respostas
específicas para cada tentativa de invasão que a ferramenta sofresse, para assim
tornar o sistema mais real para que o atacante não perceba que caiu em uma
armadilha. Neste modo surgiu o que pode ser considerado o primeiro honeypot de
aplicação.
Nesta época SPITZNER, surgiu o termo honeypot como definição para um
recurso de segurança preparado especificamente para ser sondado, atacado ou
comprometido e para registrar essas atividades. Após o surgimento do DTK diversas
outras tecnologias de honeypots foram desenvolvidas, incluindo diversos produtos
comerciais como o Cybercop Sting, o NetFacade e o NFR BackOfficer Friendly.
Em 1999 um grupo de pesquisadores e profissionais da área de segurança
criou uma rede especificamente projetada para ser comprometida, dando início ao
‘The Honeynet Project’, um projeto que consiste em quatro fases.
Mesmo com os conceitos de honeypots serem da época de STOLL e
CHESWICK foi apenas no ano de 2002 que foi concedido ao termo honeypot uma
19
definição clara, sendo definido como recurso de segurança cujo valor está na sua
sondagem, ataque ou comprometimento.
4.8. Importância do Honeypot
SPITZNER relatou que diferentemente de outros mecanismos de segurança,
como firewalls e sistemas de detecção de intrusos, um honeypot não foca em um
problema específico, e sim é uma ferramenta que contribui de uma forma mais
abrangente na arquitetura da segurança. A importância dos honeypots, e os
problemas que ele pode resolver estão diretamente ligados à maneira que é
construída, implantados e utilizados.
Honeypots tem vantagens e desvantagens que influenciam diretamente em sua
importância, de acordo com o criador da ferramenta honeypots Marty Roesch Snort,
existem duas categorias, são elas "produção" e "pesquisa".
4.8.1. Honeypot de Produção
O propósito de um honeypot de produção é para ajudar a mitigar os riscos,
agregar valor para as medidas de segurança de uma organização. Ele age como
"aplicação da lei", o seu trabalho é detectar e lidar com bandidos. Tradicionalmente, as
organizações comerciais usam honeypots de produção para ajudar a proteger suas
redes.
São sistemas que aumentam a segurança de um organização, são mais fáceis
de construir porque requerem menos funcionalidades. Usualmente possuem as
mesmas configurações que a rede de produção da organização e transportam para ela
todo o aprendizado obtido com os ataques sofridos. Será analisado Honeypots de
Produção segundo as categorias de segurança definidos por SCHNEIER em seu livro
”Secrets and Lies” que divide segurança em prevenção, detecção e resposta.
20
Nos termos definidos por SCHNEIER, prevenção significa manter os invasores
fora de sua rede. Faz-se então uma analogia com a segurança de uma casa,
prevenção significa instalar uma cerca no jardim, fechar as janelas e trancar as portas,
ou seja, fazer todo o possível para manter do lado de fora qualquer ameaça. Sob este
ponto de vista, honeypots tem pouco a acrescentar, uma vez que não conseguem
barrar os possíveis atacantes, de fato possuem o objetivo oposto.
Alguns pesquisadores alegam que honeypots são importantes para a
prevenção, por adicionarem alguns fatores como: o tempo e os recursos gastos na
tentativa de ataque a uma honeypot, quando estes recursos poderiam estar sendo
direcionados para uma rede de produção; e a preocupação infringida ao atacante por
este saber que a rede de uma organização pode ser na verdade uma honeypot. Estes
argumentos são válidos para ataques contra alvos de escolha, onde os atacantes tem
um grande nível de conhecimento e analisam a informação que recebem do alvo para
efetuarem o ataque. Para alvos de oportunidade, nos quais o que mais importa para o
atacante é a quantidade de alvos atingidos e na maioria das vezes, tais ataques são
automatizados e uma honeypot agrega pouco valor de prevenção.
A detecção se refere a alertar atividades não autorizadas. Seguindo a mesma
analogia da segurança de uma casa, detecção significaria instalar alarmes pela casa,
detectores de movimento. Detecção é importante, pois mais cedo ou mais tarde a
prevenção falhará, seja por causa de uma má configuração do firewall ou uma nova
vulnerabilidade de um serviço oferecido pelo sistema. E na detecção que uma
honeypot tem maior importância, uma vez que todo tráfego gerado para a honeypot é
suspeito e deve ser verificado. Apenas em alguns casos serão gerados falsos
positivos, no caso de alguém acidentalmente apontar seu browser para o endereço IP
da honeypot. A detecção também se torna mais fácil, pois os logs gerados pela estão
livres do ruído existente em uma rede de produção real.
Uma vez identificado um ataque, algumas ações são necessárias como coletar
evidencias de como o atacante conseguiu acesso ao sistema, o que ele fez ao
sistema, de onde ele conseguiu acesso, e o encaminhamento destas informações as
autoridades responsáveis, tais ações se referem a resposta dada ao ataque.
21
4.8.2. Honeypot de Pesquisa
Segundo SPITZNER, o honeypot de pesquisa tem como finalidade de
pesquisar ameaça enfrentada pelas organizações, e como melhor proteger contra
essas ameaças. Age como "contra inteligência", seu trabalho é obter informações
sobre os bandidos e com isso utiliza-la para proteger contra essas ameaças,
geralmente é utilizado por universidades, governo, militares ou organizações de
investigação de segurança.
Os Honeypots de Pesquisa oferecem uma plataforma de estudo visando
compreender a comunidade hacker, não apenas estudar as ferramentas utilizadas
para a invasão, que normalmente são deixadas no sistema pelo atacante, mas obter
informações preciosas como: qual ferramenta utilizada para testar o sistema, qual
explorador utilizado para comprometê-lo e cada tecla utilizada após a invasão do
sistema, afirma SPITZNER. Embora o ganho de conhecimento sobre as ações e
motivações da comunidade hacker seja enorme, uma honeypot de pesquisa pouco
acrescenta a uma organização, pois estão focadas nas ações do atacante e não
apenas sua detecção.
4.9. Tipos de honeypot
De acordo com SPITZNER em “Tracking Hackers”, existem muitos tipos de
honeypots, o que os tornam bastantes difíceis de serem detectados por um invasor,
porém, eles podem ser divididos em duas categorias principais, que são os de baixa
interação e de alta interação. Este tipo de divisão ajuda a entender que tipo de
honeypot esta sendo tratado e suas vantagens e desvantagens.
4.9.1. Honeypot de Baixa Interação (Low-Interaction
Honeypot)
Afirma SPITZNER, que a interação de um honeypot define exatamente que
nível de atividade permitirá ao atacante, honeypots de baixa interação oferecem ao
atacante uma interação bastante limitada, normalmente eles funcionam emulando
serviços e sistemas operacionais. As atividades do atacante é limitada ao nível de
emulação aplicada ao honeypot.
22
De acordo com PROVOS, nos honeypots de baixa interatividade, o atacante
interage com emulações de serviços de rede, que não correspondem a serviços reais
e portanto não serão realmente comprometidos.
As vantagens deste tipo de honeypot são: simplicidade, facilidade de
implantação e manutenção e baixo risco. Geralmente sua implantação envolve a
instalação de um software, seleção do tipo de sistema operacional ou serviços que
serão emulados e monitorados. Este honeypot “plug and play” minimiza bastante o
risco exatamente por não deixar que o atacante tenha acesso ao sistema operacional,
o que evita também seu uso como trampolim para invasão de outros computadores da
rede.
A principal desvantagem destes honeypots são seus logs (registros) limitados
pois eles são projetados para capturar somente atividades maliciosas conhecidas,
dependendo da qualidade do emulador, este tipo pode ser facilmente percebido pelo
atacante. As ferramentas mais conhecidas deste tipo de honeypot são: Specter,
Honeyd e KFSensor.
Niels Provos, desenvolvedor do honeyd, que é uma ferramenta OpenSource
projetada para funcionar em sistemas Unix, trabalha sobre o conceito de
monitoramento de IPs não utilizados. Desta forma, ele intercepta a conexão feita para
um IP não utilizado e então começa a interagir com o atacante, fazendo assim se
passar por uma vítima. O honeyd detecta e registra qualquer conexão a qualquer porta
TCP ou UDP, além de permitir que o usuário configurar a emulação de outros serviços
em portas específicas, como um serviço de FTP monitorando a porta TCP 21.
Quando um atacante conecta ao servidor de FTP emulado, toda a sua
atividade é registrada, bem como podemos capturar seu login e senha, os comandos e
talvez até mesmo sua identidade e o que eles estão procurando. Geralmente seus
emuladores funcionam da mesma maneira. São programados para receberem uma
conexão e reagirem.
O honeyd, além de emular serviços específicos, pode também emular
sistemas operacionais, ou seja, eles podem parecer para o atacante como sendo um
roteador Cisco, um servidor web em um Windows XP ou um servidor DNS Linux. Há
vantagens em emular diferentes sistemas operacionais, a primeira é que o honeypot
pode ser mais facilmente misturado à rede assumindo a aparência e o comportamento
23
dos sistemas reais de produção e a segunda é que você pode oferecer ao atacante
exatamente o sistema que você gostaria de estudar.
4.9.2. Honeypot de Alta Interação (High-Interaction
Honeypot)
Honeypots de alta interação são soluções complexas pois envolvem sistemas
operacionais e aplicações reais, nada é emulado, o se oferece aos atacantes são
sistemas reais. Se quiser um honeypot executando um servidor FTP, terá que fazer
um sistemas operacional real executando um servidor FTP real.
De acordo com Tracking Hackers as vantagens são que se pode capturar uma
vasta quantidade de informações, pois dando sistemas reais para o atacante interagir
consegue aprender e entender completamente seu comportamento e tudo sobre as
novas ferramentas de invasões, como os chamados rootkits. Outra grande vantagem é
que este tipo de honeypot não faz nenhum tipo de suposição com relação as ações do
invasor, ou seja, podemos fazer registros de todas as suas atividades, permitindo
aprender com comportamentos que não esperávamos, o que não acontece com os
honeypots de baixa interação .
Este tipo de honeypot é bem mais complexo de instalar e manter e apresenta
alto risco se não for bem administrado e monitorado. As ferramentas mais conhecidas
utilizadas para implementação deste tipo de honeypot são: Symantec Decoy Server e
Honeynets.
Segundo Spitzner em Tracking Hackers, honeynets são os principais exemplos
de honeypots de alta interação. É uma arquitetura, uma rede completa de
computadores preparados para serem atacados. A ideia é que se possa ter uma
arquitetura que forneça uma rede altamente controlada, onde toda e qualquer
atividade seja monitorada e capturada. Nessa rede coloca-se falsas vítimas em
computadores reais, executando aplicações reais. Quando os atacantes atacam, caem
dentro destes sistemas e não percebem que estão em uma honeynet. Toda a sua
atividade, desde sessões SSH criptografadas até e-mails e upload de arquivos são
capturadas sem que eles percebam. Isto é feito através da inserção de módulos no
kernel dos sistemas de honeypots que permitem a captura de todas as atividades dos
atacantes ao mesmo tempo em que controlam suas atividades. O controle é feito
utilizando um HoneyWall Gateway, este sistema aceita o tráfego de entrada, porém
controla o tráfego de saída utilizando para isso sistemas de prevenção de intrusos,
24
que permite ao atacante interagir com o sistema de honeypot e evita que do ponto que
esta ele possa invadir outros computadores da rede.
O exemplo desta arquitetura pode ser visto na Figura 2.
Figura 2 – Exemplo de arquitetura de uma honeynet.
Segue abaixo a Tabela 1 que compara Honeypots de baixa interatividade e
Honeypot de alta interatividade.
Características Honeypot de baixa
interatividade
Honeypot de alta
interatividade/Honeynet
Instalação fácil mais difícil
Manutenção fácil trabalhosa
Risco de comprometimento baixo alto
Obtenção de informações limitada extensiva
Necessidade de mecanismos de contenção não sim
Atacante tem acesso ao S.O. real não sim
Aplicações e serviços oferecidos emulados reais
Atacante pode comprometer o honeypot não sim
Tabela 1 – Comparação entre Honeypot de baixa interatividade e de alta interatividade.
25
4.10. Honeynet
Honeynet [The Honeynet Project] não é um sistema único, mas sim uma rede
de sistemas e aplicativos múltiplos, projetada para ser comprometida e observada. Um
honeynet [Honeynet Project, 2001] é uma coleção de honeypots de alta interatividade
com diferentes sistemas operacionais, configurações e serviços de rede. Por sua
diversidade, essa rede tem um alto potencial de atração de ataques. Além dos
honeypots, uma honeynet possui firewalls para evitar que tráfego malicioso se
propague a partir dela para outras redes, detectores de intrusão para monitorar as
atividades maliciosas e servidores de login para o registro de eventos. A implantação
de uma honeynet implica em alocar vários computadores, com sistemas operacionais
e serviços distintos, o que pode significar um alto custo de implantação e operação.
Nesse contexto, máquinas virtuais podem ser usadas para construir honeynets
virtuais. Honeynet virtual [Honeynet Project, 2003] é simplesmente uma honeynet
construída com máquinas virtuais ao invés de computadores reais.
A virtualização traz vantagens, como o menor custo de implantação e gerência,
mas pode também trazer inconvenientes, como limitar as possibilidades de honeypots
aos sistemas que podem ser virtualizados sobre a plataforma computacional escolhida
e caso o sistema nativo seja comprometido, toda a honeynet estará comprometida.
Para [Honeynet Project, 2003], uma honeynet pode ser totalmente virtual, quando
todos os computadores envolvidos são máquinas virtuais, ou híbrida, quando é
composta por honeypots virtuais e máquinas reais para as funções de firewall,
detecção de intrusão e login.
Uma honeynet é uma ferramenta de pesquisa, que consiste de uma rede
projetada especificamente para ser comprometida, e que contém mecanismos de
controle para prevenir que seja utilizada como base de ataques contra outras redes.
Ou seja, uma honeynet nada mais é do que um tipo de honeypot, especificamente, de
alta interatividade, projetado para pesquisa e obtenção de informações dos invasores,
é conhecida também como um Honeypot de Pesquisa. Uma vez comprometida, a
honeynet é utilizada para observar o comportamento dos invasores, possibilitando
análises detalhadas das ferramentas utilizadas, de suas motivações e das
vulnerabilidades exploradas.
26
O exemplo desta arquitetura pode ser visto na Figura 3.
Figura 3: Exemplo da arquitetura de Honeynet.
Segundo HOEPERS, existem dois principais tipos de honeynets, as
denominadas reais ou clássicas, e as virtuais. Para a escolha do tipo a ser
implementado deve ser considerado a necessidade, objetivo e investimento disponível
para a infraestrutura a ser utilizada na honeynet.
4.10.1. Honeynet Real ou Clássica
MARINHO diz que uma honeynet real é composta por vários dispositivos
físicos que colaboram na detecção e captura de informações de ataques. Alguns
destes dispositivos contidos na estrutura da honeynet atuam no controle de tráfego,
como roteadores, firewalls e IDS, enquanto que outros são responsáveis pela captura
e armazenamento das informações de ataques, sendo os honeypots. São sistemas
reais com instalações específicas, que podem utilizar sistemas operacionais variados
e independentes.
As principais vantagens e desvantagens na escolha deste tipo serão citadas a
seguir.
27
Vantagens:
Ambiente distribuído tolerante a falhas;
Dispositivos reais;
Maior interação com o atacante;
Captura de informações mais precisas.
Desvantagens:
Custo de implementação elevado;
Dificuldades na instalação e administração;
Complexidade na manutenção;
Necessidade de espaço físico maior.
A Figura 4 mostra a estrutura genérica de uma honeynet clássica onde cada
honeypot é um computador. Geralmente refletem as mesmas estruturas que as
organizações teriam em sua rede interna.
Figura 4 – Exemplo de Honeynet clássica.
28
4.10.2. Honeynet Virtual
A honeynet virtual é composta por dispositivos de uma honeynet
implementados em um número reduzido de dispositivos físicos. Para isto,
normalmente é utilizado um único computador com um sistema operacional instalado,
que serve de base para a execução de um software de virtualização, que permite
emular outros sistemas operacionais simultaneamente, com aplicações e serviços
instalados, segundo MARINHO. As honeynets virtuais ainda são subdivididas em duas
categorias: honeynets de autocontenção e honeynets híbridas.
Nas honeynets de autocontenção, todos os mecanismos, incluindo contenção,
captura e coleta de dados, geração de alertas e os honeypots (implementados através
do software de virtualização) estão em um único computador.
Já nas honeynets híbridas, os mecanismos de contenção capturam e coletam
dados e geração de alertas que são executados em dispositivos distintos, enquanto
que os honeypots são executados em um único computador com um software de
virtualização.
Vantagens:
Custo reduzido (menor gasto com equipamentos e energia elétrica);
Fácil gerenciamento;
Simples instalação e administração, se comparado a honeynet real;
Espaço físico reduzido.
Desvantagens:
Limitação nos sistemas operacionais e serviços oferecidos pelos
softwares de virtualização;
Se o software de virtualização for comprometido, o invasor pode
dominar e controlar toda a honeynet virtual;
Interação com o atacante é inferior se comparado com a honeynet real.
30
5. Implementação do Honeypot
5.1. Criar a maquina virtual
No projeto foi utilizado o software de virtualização Oraculo VM VIRTUALBOX,
como mostra a Figura 6, que foi criado pela empresa de software Innotek GmbH,
comprada em 2008 pela Sun Microsystems , e agora desenvolvido pela Oracle
Corporation , como parte de sua família de produtos de virtualização . Oracle VM
VirtualBox é instalado em um sistema operacional anfitrião, como um aplicativo, o
aplicativo host permite que os sistemas operacionais hóspedes adicionais, cada um
conhecido como um sistema operacional do cliente , para ser carregado e executado,
cada um com seu próprio ambiente virtual. A ferramenta Virtualbox foi escolhida pois
além de ser uma ferramenta fácil de utilizar, ela supri as necessidades propostas para
esse projeto.
Figura 6 : Oraculo VM VirtualBox
31
Agora será criada a maquina virtual. Colocar o nome da maquina, selecionar o
sistema operacional e sua versão, como mostra a Figura 7.
Figura 7: Criando a maquina virtual.
Escolher a quantidade de memória a ser alocada para a maquina virtual que
será instalada, assim como mostra na Figura 8.
Figura 8: Alocando memória para maquina virtual.
32
Será necessário optar entre criar um novo disco rígido ou utilizar algum já
existente, porem, como é para fins de estudo, optei por criar um novo disco rígido,
como mostra a Figura 9.
Figura 9: Definindo o disco de boot.
No procedimento de criação da maquina virtual, é necessário optar pelo tipo
que arquivo que será utilizado na instalação do sistema operacional. Figura 10.
33
Figura 10: Criação de discos virtuais.
Como não é possível especificar o quanto certo será utilizado pelo sistema
operacional, optei por alocar o espaço no disco rígido dinamicamente, Figura 11, ou
seja, assim que necessário o próprio sistema vai utilizando mais dos recursos de
espaçamento do disco.
Figura 11: Detalhes do armazenamento de disco virtual.
A maquina virtual irá utilizar a recursos da maquina fisica, por isso deve-se
alocar além da memória, deve-se também alocar espaço físico no HD(HardDisk), foi
alocado de inicio 8Gb dinamicamente, assim como mostra a Figura 12.
34
Figura 12: Alocando o tamanho do disco virtual.
A máquina virtual esta preste a ser criada, apresenta as seguintes
configurações:
Memória de 1Gb(Gigabyte).
Armazenamento dinâmico de 8Gb(Gigabyte).
Placa de rede em modo Bridge.
A placa de rede tem que ser no modo Bridge, pois a maquina irá receber a
conexão de internet e passará através de uma “ponte” para o MAC virtual, que assim
terá também a conexão de rede ativa.
35
Figura 13: Especificações da maquina virtual criada.
5.2. Instalando o Sistema Operacional
O sistema operacional utilizado nesse projeto de implementação da ferramenta
honeypot, foi o sistema Linux BackTrack 5 r3, é uma distribuição baseada
no Debian distribuição GNU / Linux que visa forense digital e testes de penetração de
uso. Oferece aos usuários fácil acesso a uma coleção abrangente e grande de
segurança relacionados com ferramentas que vão desde scanners de portas para os
crackers de senha.
No projeto foi utilizado o sistema operacional BackTrack 5 r3 de 32bitspois a
maquina física não suporte arquitetura x64 como maquina virtual, devido ao numero
de processador que a maquina hospedeira contem.
Iniciar a maquina com o LiveCD para instalar, após dar o boot, selecionar a 1º
opção que inicia como modo texto padrão da como mostra a Figura 14.
36
Figura 14: Modos de instalação do sistema operacional.
Após o carregamento das configurações, digitar o comando ‘startx’, que tem
como finalidade iniciar com a interface gráfica do sistema operacional, como pode se
ver na Figura 15 e Figura 16.
Figura 15: Comando de inicialização do modo de interface gráfica.
37
Figura 16: Interface gráfica.
Para fazer a instalação do sistema operacional, baste dar um duplo clique no
arquivo que esta no Desktop, com o nome ‘Install BackTrack’. Selecionar o idioma
desejado para a instalação. Figura 17.
38
Figura 17: Instalando sistema operacional, selecionando idioma.
Selecionar a região que esta localizada no mundo, para que o fuso horário e a
região sejam corrigidos. Figura 18.
Figura 18: Arrumando localização e fuso horário.
Selecionar a melhor opção que seja compatível com seu teclado, como mostra
a Figura 19.
39
Figura 19: Selecionando o layout de teclado.
Selecionar a melhor opção referente a partição do HD virtualmente alocado.
Figura 20.
Figura 20: Preparar espaço em disco virtual.
40
Na figura 21, mostra como ficou particionado o HD para instalação do software.
Figura 21: Preparando para instalação.
Após instalação o sistema operacional irá se reiniciar, ao iniciar para fazer login
o usuário padrão é ‘root’ e a senha é ‘toor’. Figura 22. Após realizar o login entrar na
interface gráfica através do comando ’startx’.
41
Figura 22: Acesso após instalação do pacote de dados.
5.3. Instalando o Pentbox - Honeypot
No trabalho sera abordado a ferramenta PentBox, como sendo um honeypot de
baixa interação, onde fornece serviços ao invés de sistemas operacionais reais.
PenTBox é uma suíte de segurança com programas como crackers de senhas,
negação de ferramentas de teste de Serviço (DoS e DDoS), geradores de senha
segura, honeypots. Destinado a testar a segurança, estabilidade de redes.
Programado em Ruby, e orientada para sistemas GNU / Linux , compatível com
Windows, MAC e Linux.
Para instala-lo, após entrar na maquina virtual com o sistema operacional
BackTrack no modo de interface gráfica, abrir o terminal e para baixar o pacote de
dados do PentBox, através do comando. Figura 23.
Figura 23: Comando para baixar o pentbox.
42
Após a instalação do pacote, entrar na pasta ‘pentbox’.
Figura 24: Pacotes instalados.
Atualizar o SVN pelo comando. ‘svn update’. Figura 25.
Figura 25: Atualizando o SVN.
Depois de atualizar, abra o pentbox, pelo comando ‘./pentbox.rb’ para fazer as
configurações do honeypot de baixa interação, Figura 26.
43
Figura 26: Tela inicial do pentbox.
Ao abrir o pentbox, foi selecionado a opção 2 – Network tools . Figura 27.
Figura 27: Menu de configuração do honeypot.
44
Em seguida, foi selecionado a opção 3 – Honeypot , pois será a ferramenta a
ser implementada. Figura 27.
Figura 27: Menu de opções de ferramentas.
Ao escolher a ferramenta honeypot, será necessário definir se a configuração
será feita automática ou manualmente, optei aqui por fazer manualmente (2 – Manual
Configuration), mostrado na Figura 28. Configurando manualmente, pede-se pra
adicionar uma porta (Insert port to Open ), essa porta ficará aberta por tempo
indeterminado até que a ferramenta não esteja mais em execução. A porta escolhida
nesse trabalho foi a porta 23.
Após definir a porta, é necessário digitar uma mensagem que será mostrada ao
atacante no momento do acesso ou ataque, mostrado na Figura 28.
45
Figura 28: Configurando manualmente, definindo porta a ser aberta e
mensagem apresentada.
Com a definição da porta aberta e a mensagem que será mostrada ao atacante
bem definida, é necessário escolher alguns serviços a mais na configuração, são eles
a parte de Log e Alerta de acesso. No decorrer do trabalho optou-se por salvar os
Logs e alertar alguns acesso, para que tenha um controle de que host esta atacando e
o que o atacante esta utilizando como meio de acesso. Os logs serão salvos no
diretório ( /pentbox/other/log_honeypot.txt ) Figura 29.
Como pode ser observado na Figura 29, o honeypot já esta em execução com
a porta 23 aberta para acessos, no decorrer será feito ataque para que o mesmo fique
registrado no log e possa ser mostrado.
46
Figura 29: Honeypot em execução.
5.4. Acesso ao PentBox - Honeypot
O teste de invasão foi realizado com o programa PuTTy que é um cliente de
SSH e telnet, desenvolvido originalmente por Simon Tatham para a plataforma
Windows. PuTTY é um software de código aberto que está disponível com código
fonte e é desenvolvido e suportado por um grupo de voluntários. Figura 32. O ataque
foi realizado direcionando para o IP 124.0.2.190, e para a porta 23. Figura 30.
Figura 30: Endereço de IP da maquina virtual.
Para saber quais portas estão abertas no host, é necessário dar o comando:
‘nmap’, como mostra a Figura 31.
47
Figura 31: Verificando as portas abertas com o Nmap.
Figura 32: Putty acesso ao IP 124.0.2.190 porta 23.
Ao acessar, instantaneamente já aparece que o honeypot esta sendo atacado,
como mostra a Figura 33. O honeypot detecta que esta sendo invadido, e alerta na
tela de execução do mesmo, mostrando também o IP do atacante.
48
Figura 33: Honeypot atacado.
A figura 34, mostra o log dos ataques, quem fez ou tentou fazer acesso ao IP
124.0.2.190 direcionando para a porta 23. Os logs ficam registrados no diretório.
/root/pentbox/other/log_honeypot.txt
Figura 34: Log de acesso.
49
5.5. Ferramenta Valhala Honeypot - Windows
A ferramenta Valhala Honeypot traz o conceito de pote de mel para todos
sistemas operacionais, permitindo facilidade e velocidade, possui os seguintes
servidores: WEB, FTP, TFTP, POP3, ECHO, DAYTIME, SMTP, FINGER e PORT
FORWARDING. Simula portas de trojans conhecidos, como Netbus, Subseven, e
ainda possibilita utilizar portas extras. Figura 35. A ferramenta Valhala esta instalada
em ambiente Windows 7, cujo IP:124.0.2.219.
Figura 35: Ferramenta Valhala Honeypot.
Para configurar o valhala, basta clicar em ’Configurar’, será aberto várias
possibilidades de criar um honeypot, Figura 36. A opção escolhida no projeto foi o
acesso via telnet, pois com essa ferramenta faz-se o acesso completo de um sistema
operacional emulado. Figura 37.
51
Após a configuração do ambiente honeypot criado, ao voltar a tela inicial do
Valhala, deve-se começar a monitorar as portas.
5.6. Acesso ao Honeypot - Valhala
O acesso será feito via telnet utilizando o programa Putty, o IP e a porta a ser
acessado é : 124.0.2.219 e porta 23. Figura 38.
Figura 38: Acesso via putty o honeypot valhala.
Ao fazer o acesso, é aberto em linha de comando o honeypot ao atacante,
porem diferentemente dos outros honeypots de baixa interação, esse possibilita a
interação do atacante com o honeypot, contudo o acesso é limitado, podendo fazer
alguns comandos, e acessos a algumas pastas, como poderá ser visto nas figuras a
seguir.
52
O acesso foi realizado ao honeypot. Figura 39.
Figura 39: O honeypot foi acessado pelo atacande.
O atacante consegue ver todo o conteúdo do honeypot, foi dado o comando
‘dir’ que serve para listar todo o conteúdo da pasta que esta acessando. O honeypot
foi configurado para não dar acesso total, nessa implementação foi dado somente
acesso ao diretório ARQUIVOS, como mostra a Figura 40.
Figura 40: Acessando conteúdo do honeypot.
53
Novamente foi dado o comando ‘dir’ para listar tudo o que há dentro da pasta.
Figura 41.
Figura 41: Acessando a pasta de Arquivos no honeypot.
Ao tentar acessar as pastas que não se tem acesso mostra-se a mensagem
‘Voce não tem permissão para acessar esse diretorio’, como pode ser observado na
Figura 42.
Figura 42: Acesso sendo negado ao tentar acesso ao diretório.
54
A ferramenta valhala honeypot, ao ser acessado ela também gera um Log,
esse log pode ser visto em tempo real ou pode ser salvo para uma analise futura. A
analise do log em tempo real pode ser vista na Figura 43. Na parte superior esta a tela
do Log e na parte inferior da imagem esta o sistema sendo invadido.
Figura 43: Monitoramento do acesso ao honeypot.
55
5.6.1. Log de acesso Valhala - Honeypot
Log são registros de eventos em um sistema de computadores, o Valhala além
possibilitar ver quem esta acessando em tempo real, também disponibiliza o
salvamento do log para uma futura analise de dados de acesso. Abaixo são os dados
salvos durante o processo que implementação e testes da ferramenta Valhala.
(11:34:19) O IP 124.0.2.219 tentou invasão por telnet (conexão)
(11:34:20)Comunicação via rede falhou
(11:34:42) O IP 124.0.2.219 tentou invasão por telnet (ÿûÿû
ÿûÿû'ÿýÿû ÿý ls )
(11:34:43)Comunicação via rede falhou
(11:34:51) O IP 124.0.2.219 tentou invasão por telnet (dir )
(11:34:52)Comunicação via rede falhou
(11:37:21) O IP 124.0.2.219 tentou invasão por telnet (cd arquivos/ )
(11:37:22)Comunicação via rede falhou
(11:37:48) O IP 124.0.2.219 tentou invasão por telnet (cd arquivos )
(11:37:49)Comunicação via rede falhou
(11:37:55) O IP 124.0.2.219 tentou invasão por telnet (dir )
(11:37:56)Comunicação via rede falhou
Modo console iniciado: Modo Logs
Modo console iniciado: Modo Configurações
modo servidor interrompido
(11:39:02) O IP 124.0.2.219 tentou invasão por telnet (conexão)
56
(11:39:03)Comunicação via rede falhou
(11:39:50) O IP 124.0.2.219 tentou invasão por telnet (ÿûÿû
ÿûÿû'ÿýÿû ÿý dir )
(11:39:51)Comunicação via rede falhou
(11:39:58) O IP 124.0.2.219 tentou invasão por telnet (dir )
(11:39:59)Comunicação via rede falhou
(11:41:07) O IP 124.0.2.219 tentou invasão por telnet (cd arquivos )
(11:41:08)Comunicação via rede falhou
(11:41:16) O IP 124.0.2.219 tentou invasão por telnet (dir )
(11:41:17)Comunicação via rede falhou
(11:42:04) O IP 124.0.2.219 tentou invasão por telnet (cd )
(11:42:05)Comunicação via rede falhou
(11:42:08) O IP 124.0.2.219 tentou invasão por telnet (cd.. )
(11:42:09)Comunicação via rede falhou
(11:42:16) O IP 124.0.2.219 tentou invasão por telnet (ifconfig )
(11:42:17)Comunicação via rede falhou
(11:42:45) O IP 124.0.2.219 tentou invasão por telnet (dir )
(11:42:46)Comunicação via rede falhou
(11:42:54) O IP 124.0.2.219 tentou invasão por telnet (cd clientes )
(11:42:55)Comunicação via rede falhou
(11:43:03) O IP 124.0.2.219 tentou invasão por telnet (cd documentos )
(11:43:04)Comunicação via rede falhou
57
(11:43:12) O IP 124.0.2.219 tentou invasão por telnet (cd funcionarios )
(11:43:13)Comunicação via rede falhou
58
6. Conclusão
O grande a avanço tecnológico e dos meios de comunicação, é justificado pela
busca incessante de profissionais da área em acompanhar a descoberta de ataques,
ameaças de segurança e falhas nos sistemas computacionais, para isso a utilização
de métodos que corrijam estas falhas e aprimorem os sistemas de segurança que
combatem essas ofensivas são essenciais.
No decorrer da pesquisa e realização das atividades propostas neste trabalho,
foi possível constatar a importância da sentença “informação é poder”. Importância no
sentido de se obter uma segurança em seu ambiente de rede, uma vez que se pode
conhecer cada um dos pontos críticos da rede, falhas, vulnerabilidades, tipos de
ataques mais frequentes, fluxos e rotas.
A ferramenta de segurança honeypot proposta nesse trabalho se mostrou
altamente eficiente para este fim, descrevendo o trafego malicioso, coletando
informações do atacante e as registrando, para que possa ser analisada. Com os
registros é possível estudar o invasor, elaborar meios que impeçam de novos ataques
e consertar erros de segurança na rede.
Como trabalhos futuros, propõe-se implantação efetiva de honeypot na
empresa SETTICOM, tanto conectados à Internet quanto na rede interna, de forma a
otimizar a segurança dos sistemas e proteger as informações da empresa,
proporcionando todos os benefícios descritos no decorrer deste trabalho.
59
7. Bibliografia
BELLOVIN S. M., “There Be Dragons,” in Proceedings of the Third Usenix Security
Symposium, 1992.
CHESWICH W. R., “An Evening with Berferd in Which a Cracker is Lured,
Endured, and Studied,” in Proceedings of the Winter Usenix Conference, (San
Francisco, California, USA), pp. 163–174, 1992.
COHEN F., “Deception ToolKit.” Risks Digest, Vol 19.62, Mar. 1998. Disponível em:
< http://catless.ncl.ac.uk/Risks/19.62.html > . Acesso em: 10 Set. 2012.
DUARTE Otto, (2008). Virtualização - VMWare x Xen. Disponível em: <
http://www.gts.ufrj.br/grad/09_1/versao- final/virtualizacaoo/conceito
%20de%20virtualizacao.html > , acesso 18 abr. 2012.
HOEPERS, C; STEDING J. K. Honeynets Applied to the CSIRT Scenario .
Disponível em: < http://www.honeynet.org.br/papers/hnbr-first2003.pdf > Acesso em:
11 Set. 2012.
HOEPERS C; STEDING J. K; CHAVES, M. H. P.C. Honeypots e Honeynets:
Definições e Aplicações 2007, Disponível em:
<http://www.cert.br/docs/whitepapers/honeypots-honeynets>. Acesso em: 19 Out.
2012.
60
HONEY NET PROJ. “Conheça seu inimigo – O Projeto Honeynet”. Editora
Pearson, São Paulo, 2002.
KRAUSE M.; TIPTON H. F. Handbook of Information Security Management.
Auerbach Publications. 1999.
MARINHO, Renato Rodrigues. HONEYPOTS: Acompanhando os passos de uma
invasão em tempo real. Fortaleza, 2004. (Trabalho de Conclusão do Curso de
Informática) UNIFOR - Universidade de Fortaleza, 2004.
SCHNEIER Bruce. Segredos e Mentiras: Segurança digital em um mundo
conectado. 1. ed. John Wiley Consumer, 2000. 432 p.
SÊMOLA M. Gestão da Segurança da Informação - Uma visão executiva. Campus,
Rio de Janeiro. 2003.
SPITZNER, L.; RANUM, M. “Honeypots: Tracking Hackers,” in SANS 2002 Annual
Conference, (Orlando, Florida, USA), April 2002.
SPITZNER Lance. Tracking Hackers – Deficition and Value of Honeypots.
Disponível em : <http://www.tracking- hackers.com/papers/honeypots.html> Acesso
em 17 jul. 2012.
SPITZNER L. “Learning the Tools and the Tactics of the Enemy with Honeynets”
in Proceedings of the 12th Annual Computer Security Incident Handling Conference
(Chicago, Illinois, USA), June 2000.
61
STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4.
ed. São Paulo: Pearson Prentice Hall, 2008. 492 p.
STOLL C., The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer
Espionage. Gar-den City, NY: Doubleday, 1989. ISBN 0-385-24946-2.
STOLL C., “Stalking the Wily Hacker,” Communications of the ACM, vol. 31, pp. 484–
497, May 1988.
TANENBAUM, Andrew S.; STEEN, Maarten Van. Sistemas Distribuidos: Principios
e paradigmas. 2. ed. São Paulo: Pearson Prenttice Hall, 2007. 398 p.
VMWORLD BRAZIL – Tecnologia e Informação. Conhecendo a origem da
virtualização. Brasilia, mai. 2010. Disponivel em:
<http://www.vmworld.com.br/br/index.php/component/content/article/50-
virtualizacao/80-historia-conhecendo-a-origem-da-virtualizacao.html>. Acesso em: 18
abr. 2012.