Embed Size (px)
Citation preview
Fabio Takeshi Sakamoto
Desenvolvimento de uma Ferramenta de Auxılio aAnalise de Logs Gerados por Honeypot com Estudode Caso de uma Rede Sem Fio Padrao IEEE 802.11
Joinville / SC
Dezembro de 2006
Fabio Takeshi Sakamoto
Desenvolvimento de uma Ferramenta de Auxılio aAnalise de Logs Gerados por Honeypot com Estudode Caso de uma Rede Sem Fio Padrao IEEE 802.11
Orientador: Prof. Charles Christian Miers, M.Sc.
UDESC - UNIVERSIDADE DO ESTADO DE SANTA CATARINA
CENTRO DE CIENCIAS TECNOLOGICAS
DEPARTAMENTO DE CIENCIA DA COMPUTACAO
Joinville / SC
Dezembro de 2006
Monografia sob o tıtulo “Desenvolvimento de uma Ferramenta de Auxılio a Analise de
Logs Gerados por Honeypot com Estudo de Caso de uma Rede Sem Fio Padrao IEEE 802.11”,
defendida por Fabio Takeshi Sakamoto e aprovada em 30 de novembro de 2006, em Joinville,
Santa Catarina, pela banca examinadora constituıda pelos professores:
Prof. Charles Christian Miers, M.Sc.Departamento de Ciencia da Computacao - UDESC
Orientador
Prof. Adriano Fiorese, M.Sc.Departamento de Ciencia da Computacao - UDESC
Prof. Carlos Norberto Vetorazzi Jr., M.Eng.Departamento de Ciencia da Computacao - UDESC
Prof. Maurıcio Aronne Pillon, Dr.Departamento de Ciencia da Computacao - UDESC
Aos meus pais Sebastiao Hissashi Sakamoto e Laura Missako Hoyama Sakamoto
A minha irma Camila Yumi Sakamoto
A minha namorada Kristian Vicente
Agradecimentos
Primeiramente a Deus, pela dadiva da vida e pela forca espiritual para alcancar todos os
sonhos almejados.
Aos meus pais que com muito esforco, dedicacao e carinho possibilitaram para que mais
esta etapa de minha vida fosse concluıda e tambem por se privarem de minha companhia durante
esses anos, para que assim eu pudesse realizar um de seus sonhos.
A minha irma, Camila, pelo carinho e pela compreensao diante dos momentos em que
estive ausente.
Ao Professor Charles Christian Miers, pessoa pela qual tenho muita admiracao, agradeco-
lhe pelo incentivo a realizacao e apoio fornecido durante o desenvolvimento deste trabalho.
A todos os professores da UDESC, que de alguma forma contribuıram para o meu cresci-
mento intelectual e cientıfico.
“A funcao da ciencia
nao e acrescentar mais anos a vida,
mas acrescentar mais vida aos anos.”
John Osborn
Resumo
Neste trabalho sao abordados os conceitos que envolvem as redes sem fio 802.11 desdea sua origem ate suas aplicacoes, incluindo os seus equipamentos, estruturas, e aspectos rela-cionados a sua seguranca. Objetiva-se o entendimento dos elementos envolvidos no funciona-mento e uso desta tecnologia como fundamento para implementacao de um Honeypot neste tipode rede. Sendo assim, sao abordados os principais conceitos relacionados aos Honeypots, de-monstrando os benefıcios de sua utilizacao para justificar a empregabilidade em redes 802.11.Com implementacao de um Honeypot em uma rede 802.11 busca-se conseguir dados sobre ata-ques, que serao armazenados em logs, para que uma devida analise seja efetuada com o auxılioda ferramenta proposta neste trabalho. Apos a fundamentacao teorica, e perante as analises dasfuncionalidades e ferramentas, verificou-se a relevancia deste trabalho com base na necessidadede estudo de ataques as redes 802.11, e na deficiencia das ferramentas existentes de auxılio aanalise de logs de Honeypot. Este trabalho visa servir como base para gerar conhecimentoscom relacao aos ataques as redes 802.11, e auxiliar especialista na tarefa de analisar os logs dosHoneypots.
Palavras-chave: Honeypot, Redes Sem Fio, Seguranca da informacao, Logs.
Abstract
This work covers the concepts involving the wireless 802.11 network from its origin th-rough applications, including equipments, structures and related security aspects. The mainobjective is related to understand the involved elements in using this technology to implement aHoneypot into 802.11 network. In other words, this covers the main concepts related to Honey-pots and shows the advantages which justify its utilization into 802.11 network. Through theimplementing of Honeypot into 802.11 network, it can provide a attacks data in logs for furtheranalyses using the application proposed in this work. After theory analyses, and based on thefunctionality and tools results, it has been viewed that there is relevant necessity of study of at-tacks on network 802.11 and available tools to analyze the Honeypot´s logs. This work lookingforward to provide as basis to generate knowledge related to the attacks of 802.11 network andassist experts to analyze the Honeypot´s logs.
Keywords: Honeypot, Wireless Network, Information Security, Network Security, Logs.
Sumario
Lista de Figuras
Lista de Tabelas
1 Introducao p. 15
2 Redes Sem Fio p. 19
2.1 Historico das Redes Sem Fio . . . . . . . . . . . . . . . . . . . . . . . . . . p. 20
2.2 Redes Sem Fio padrao IEEE 802.11 . . . . . . . . . . . . . . . . . . . . . . p. 22
2.3 Equipamentos de uma Rede Sem Fio padrao IEEE 802.11 . . . . . . . . . . . p. 25
2.4 Topologias de Redes Sem Fio padrao IEEE 802.11 . . . . . . . . . . . . . . p. 27
2.4.1 ESS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 27
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 . . . . . . . . . . . . . . . p. 28
2.5.1 Vulnerabilidades e Riscos em Redes 802.11 . . . . . . . . . . . . . . p. 29
2.5.2 Mecanismos de Seguranca tipicamente empregados em Redes 802.11 p. 32
2.5.3 Problemas de Seguranca em 802.11 . . . . . . . . . . . . . . . . . . p. 34
2.6 Consideracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 36
3 Honeypots p. 37
3.1 Historico dos Honeypots . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 40
3.2 Honeyd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
3.3 Honeynets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45
3.4 Consideracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 46
4 Arquivos de Log p. 48
4.1 Os formatos de arquivos de Log . . . . . . . . . . . . . . . . . . . . . . . . p. 49
4.2 Analise de logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 51
4.3 Analise dos logs de um Honeypot . . . . . . . . . . . . . . . . . . . . . . . . p. 55
4.4 Metodologia de analise dos logs de um Honeyd . . . . . . . . . . . . . . . . p. 62
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd . . . . . p. 66
4.6 Instalacao do Honeypot em uma rede sem fio 802.11 . . . . . . . . . . . . . p. 77
4.7 Resultados da Analise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 79
4.8 Consideracoes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 84
5 Consideracoes Finais p. 85
Referencias Bibliograficas p. 88
Anexo A -- Classified: SUMMARY: 2006-05-08: UDESC p. 93
Apendice A -- Resultados da Analise do Honeyd na rede guiada p. 99
Apendice B -- Especificacao de Requisitos de Software p. 105
Apendice C -- Dependencias do Honeydog - Ferramenta de auxılio a analise dos
logs de um Honeyd p. 112
Apendice D -- Procedimento de Instalacao do Honeydog p. 114
Apendice E -- Plano ANTIGO de Trabalho de Conclusao de Curso (TCC) p. 117
Apendice F -- Plano de Trabalho de Conclusao de Curso (TCC) p. 123
Lista de Figuras
1 A famılia 802 e a relacao com o modelo de camadas OSI. Adaptado de (OHRT-
MAN; ROEDER, 2003) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 23
2 Um exemplo de ponto de acesso(MULLER, 2003) . . . . . . . . . . . . . . . p. 26
3 Topologia ESS. Adaptado de (ROSHAN; LEARY, 2003) . . . . . . . . . . . . . p. 28
4 Utilizacao de War Chalking(SUBURBIA, 2004). . . . . . . . . . . . . . . . . p. 31
5 Ambiente de uma rede convencional. Adaptado de (EDNEY, 2003) . . . . . . p. 35
6 Ambiente de uma rede sem fio convencional. Adaptado de (EDNEY, 2003) . . p. 35
7 Exemplo de uma rede com um Honeypot. Adaptado de (HONEYNET, 2002). . p. 39
8 Exemplo de uma rede com uma Honeynet. Adaptado de (HONEYNET, 2002). . p. 45
9 Registros da inicializacao de um sistema operacional OpenBSD armazenados
em um arquivo de log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 48
10 Arquivo de logs do Honeyd . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 59
11 Tela padrao do HoneydSum. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 60
12 Arquivo de logs do Honeyd . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 64
13 Tela de visualizacao dos logs . . . . . . . . . . . . . . . . . . . . . . . . . . p. 67
14 Tela de visualizacao dos logs . . . . . . . . . . . . . . . . . . . . . . . . . . p. 68
15 Tela de Filtro dos logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 69
16 Tela de Relatorio dos logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 70
17 Tela de Relatorio dos logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 71
18 Tela de Grafico dos logs por Sistema Operacional . . . . . . . . . . . . . . . p. 72
19 Tela de Grafico dos logs por Protocolo . . . . . . . . . . . . . . . . . . . . . p. 73
20 Tela de Grafico dos logs por Honeypots . . . . . . . . . . . . . . . . . . . . p. 73
21 Tela de Grafico dos logs por Atacantes . . . . . . . . . . . . . . . . . . . . . p. 74
22 Grafico dos Ataques por Porta . . . . . . . . . . . . . . . . . . . . . . . . . p. 74
23 Tela de Grafico dos logs por Hora . . . . . . . . . . . . . . . . . . . . . . . p. 75
24 Tela de Grafico dos logs por Data . . . . . . . . . . . . . . . . . . . . . . . . p. 75
25 Tela de analise automatizada . . . . . . . . . . . . . . . . . . . . . . . . . . p. 76
26 Tela de analise automatizada . . . . . . . . . . . . . . . . . . . . . . . . . . p. 76
27 Tela de analise automatizada . . . . . . . . . . . . . . . . . . . . . . . . . . p. 77
28 Grafico dos Protocolos utilizados nos ataques . . . . . . . . . . . . . . . . . p. 79
29 Grafico dos Ataques por Data . . . . . . . . . . . . . . . . . . . . . . . . . . p. 80
30 Grafico dos Ataques por Hora . . . . . . . . . . . . . . . . . . . . . . . . . p. 81
31 Grafico do numero de registros por Atacante . . . . . . . . . . . . . . . . . . p. 82
32 Grafico dos Ataques por Porta . . . . . . . . . . . . . . . . . . . . . . . . . p. 83
33 Relatorio de vulnerabilidades da porta 137 . . . . . . . . . . . . . . . . . . . p. 83
34 Grafico dos Protocolos utilizados nos ataques . . . . . . . . . . . . . . . . . p. 99
35 Grafico dos Ataques por Data . . . . . . . . . . . . . . . . . . . . . . . . . . p. 100
36 Grafico dos Ataques por Hora . . . . . . . . . . . . . . . . . . . . . . . . . p. 101
37 Grafico do numero de registros por Atacante . . . . . . . . . . . . . . . . . . p. 102
38 Grafico dos Ataques por Porta . . . . . . . . . . . . . . . . . . . . . . . . . p. 103
39 Relatorio de vulnerabilidades da porta 80 . . . . . . . . . . . . . . . . . . . p. 103
40 Tela Principal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 109
41 Tela de Analise de Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 109
42 Tela de Filtro de Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 110
43 Tela de Visualizacao de Graficos Estatıticos . . . . . . . . . . . . . . . . . . p. 111
44 Tela de visualizacao dos logs . . . . . . . . . . . . . . . . . . . . . . . . . . p. 113
Lista de Tabelas
1 Especificacoes do padrao IEEE 802.11(FRANCESCHINELLI, 2003; FREITAG,
2004; IEEE, 2006b) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 24
15
1 Introducao
Existe uma grande busca pela utilizacao de dispositivos moveis, impulsionada pelos avancos
tecnologicos em notebooks, PDAs e celulares, que cada vez estao mais compactos e com maio-
res capacidades de armazenamento e taxas de desempenho em termos de processamento. Para
permitir que a comunicacao entre os dispositivos moveis ocorra, as redes sem fio aparecem
como solucao, e estao em constante evolucao em busca de melhorias em termos de seguranca e
performance(GAST, 2005).
Entre os principais benefıcios proporcionados pelas redes sem fio, se destacam a mobilidade
e a flexibilidade. A mobilidade permite que o usuario da rede se movimente com seu dispositivo
movel dentro da area de cobertura, sem perder conexao, do mesmo modo como ocorre em uma
conversa por telefone celular. Ja a flexibilidade e o fato de novos usuarios conseguirem conexao
com a rede sem fio, apenas respeitando-se os limites dos equipamentos, sem a necessidade de
gastos como a passagem de cabos das redes guiadas.
Devido as suas taxas de velocidade e seu alcance de cobertura, o padrao IEEE 802.11 e o
que se destaca entre os padroes de rede sem fio em redes domesticas e empresariais(FLICKENGER,
2002). Um usuario apenas liga o ponto de acesso e o notebook, e ja consegue acesso a rede sem
fio, sem ser necessarias configuracoes complexas. Devido a essa facilidade na instalacao de
uma rede 802.11, muitos usuarios mantem a configuracao padrao, deixando a rede vulneravel a
ataques, sem nenhum mecanismo de seguranca ativado(FLECK; POTTER, 2002).
Assim como Joinville apresenta redes 802.11 sem qualquer tipo de protecao, isso ocorre
em varias outras cidades. Basta um usuario mal intencionado possuir um dispositivo movel
com interface para uma rede 802.11 para conseguir conexao com a rede, e ter acesso a Internet
1 Introducao 16
e informacoes restritas/compartilhadas na rede. Essa possibilidade de conexao, seguida do
acesso as informacoes confidenciais, torna-se a principal vulnerabilidade das redes sem fio.
Alem disso, como em uma rede sem fio nao se sabe em que lugar da area de cobertura o
destinatario da mensagem esta, entao a mensagem e recebida por todos os nos da rede(GAST,
2005). Isto possibilita a utilizacao de ferramentas de escuta, capturando-se todas as informacoes
que trafegam pela rede, podendo acessar ate as senhas dos usuarios e documentos confidenciais.
Alem dos mecanismos de seguranca especıficos de redes 802.11 como, por exemplo, o RA-
DIUS, que e um mecanismo de autenticacao utilizado em redes sem fio, tambem sao utilizados
mencanismos de seguranca ja consolidados em redes guiadas. O firewall e o IDS(Intrusion De-
tection System) sao exemplos de mecanismos tipicamente empregados nas redes guiadas, e que
estao sendo empregados em redes sem fio para fornecer protecao e controle sobre os dados que
trafegam nela.
O Honeypot tambem e um mecanismo utilizado em redes guiadas, e que pode contribuir
com a seguranca de uma rede sem fio. Ele e um mecanismo que prepara um ambiente com vul-
nerabilidades e falhas para que seja invadido e comprometido, sendo efetuada uma monitoracao
das acoes do atacante, ou da ferramenta de ataque utilizada. Este trabalho da continuidade ao
trabalho de (FRANCA, 2005), que inseriu o CCT/UDESC no projeto HONEYNET.BR, atraves
da implementacao de uma Honeynet(rede de Honeypots). Mais especificamente, este trabalho
pretende inserir o Honeypot em uma rede sem fio 802.11, para conhecer os principais ataques
que ocorrem a este tipo de rede. Deste modo, atraves da utilizacao de um Honeypot de pesquisa,
e proposto um estudo dos principais ataques efetuados a uma rede 802.11, que em muitos dos
casos, nao estao devidamente protegidas. Esta falta de protecao foi demonstrada no trabalho
de (SOUZA; GREGIO; PALHARES, 2004), onde foi demonstrado que muitas das redes sem fio na
cidade de Sao Paulo estao desprotegidas.
Este estudo proposto e possıvel atraves da analise dos logs gerados pelo Honeypot. Os logs
sao registros das ocorrencias do sistema computacional, que neste caso e o Honeypot. Estes
registros sao armazenados em arquivo, compondo um historico das ocorrencias.
1 Introducao 17
O Honeyd1 e o Honeypot utilizado neste trabalho, sendo classificado como de baixa iteracao,
ou seja, apenas simula um sistema computacional, com seu sistema operacional, alguns servicos
e algumas aplicacoes. Em seus logs sao armazenados data e horario do ataque, protocolo, IP de
origem e de destino, porta de acesso, e Sistema Operacional utilizado pra o ataque.
O Trabalho de (VIRTI; TAROUCO; BERTHOLDO, 2005) conseguiu efetuar um levantamento
eficiente dos principais ataques sofridos nos Honeypots participantes do Consorcio Brasileiro
de Honeypots, e incentivou este presente trabalho. Este levantamento so foi possıvel com a
utilizacao dos logs dos Honeypots.
A analise de logs e um trabalho complexo, pois os logs nao possuem nenhum significado
para uma pessoa leiga, e torna-se necessario o envolvimento de um especialista em seguranca
da informacao, para que uma devida analise seja efetuada(FRANCA, 2005). Mesmo assim, o
especialista esta passıvel de erros, pois trata-se de um trabalho cansativo e complexo. Para
facilitar esta tarefa, a ferramenta proposta neste trabalho visa auxiliar a analise dos logs efetuada
pelo especialista, possibilitando tambem que uma pessoa sem conhecimentos na area possa
extrair algumas informacoes estatısticas e gerar alguns relatorios sobre os ataques registrados
nos logs.
Sendo assim, o objetivo geral deste trabalho e identificar os principais problemas em redes
sem fio padrao IEEE 802.11 atraves do emprego de ferramentas de Honeypot e disponibilizar
uma ferramenta que auxilie na metodologia de analise dos dados capturados. Para atingir o
objetivo geral estabelecido, determinados ıtens devem ser estudados de modo mais detalhado
e que sao assim considerados objetivos especıficos, relacionados no Apendice F - Plano de
Trabalho de Conclusao de Curso.
Apesar de o objetivo ser voltado aos ataques de rede sem fio, a ferramenta tambem pode ser
utilizada em logs de um Honeypot de rede guiada, pois os logs sao similares aos de rede sem
fio. Isso porque o Honeypot utilizado neste trabalho comeca a tratar os dados apenas na camada
de rede(modelo OSI), sendo que as diferencas entre a rede sem fio e guiada esta no nıvel de
1Honeyd - Honeypot de codigo aberto disponıvel em <http://www.honeyd.org>
1 Introducao 18
enlace de dados(modelo OSI).
O trabalho esta organizado em capıtulos, sendo que em cada um deles foi fornecido o co-
nhecimento necessario para a execucao/compreensao do seguinte, ate que seja possıvel discor-
rer sobre temas pertinentes ao objetivo do trabalho. Deste modo, buscou-se evitar explicacoes
de assuntos distintos dentro de um mesmo capıtulo, deixando mais obvio os pontos a serem
abordados.
No capıtulo 2 esta relatado o historico das redes sem fio, e seus principais conceitos, exis-
tindo enfoque nas redes sem fio padrao IEEE 802.11. Alem disso, sao abordadas as principais
questoes em relacao a seguranca deste tipo de rede, visto que existe pouca preocupacao na
instalacao deste tipo de rede em relacao aos dados que trafegam por ela.
O capıtulo 3 explica os principais conceitos de Honeypots e um breve historico desta fer-
ramenta, que auxilia no estudo dos ataques. Os logs sao conceituados no capıtulo 4, pois o
estudo dos ataques e efetuado com base na analise destes logs. Tambem e destacada a im-
portancia da analise dos logs, para que o aprendizado aconteca, gerando conhecimentos para a
comunidade de seguranca, encontrando-se vulnerabilidades desconhecidas, e tipos de ataques
desconhecidos.
A metodologia empregada neste trabalho se apoia em pesquisas referenciadas e em pesquisa
aplicada, devido a implementacao do Honeypot em uma rede sem fio, e o desenvolvimento de
uma ferramenta de auxılio a analise de logs de acordo com as especificacoes do apendice B.
Tambem foram efetuadas analises, e comparativos com ferramentas, que tambem auxiliam na
analise de logs, para constatar a inovacao proposta neste trabalho. O trabalho foi dividido em
etapas para que os objetivos fossem alcancados, sendo que em alguns momentos, mais de uma
etapa foi executada paralelamente2.
2Maiores informacoes sobre o cronograma e etapas podem ser obtidas no Apendice F - Plano de Trabalho deConclusao de Curso
19
2 Redes Sem Fio
A telefonia celular e um exemplo de redes sem fio, que possibilitam que os usuarios tenham
independencia de cabos fısicos, sendo possıvel se movimentarem com seus equipamentos por
qualquer local que a rede tenha alcance. Essa mobilidade e o principal atrativo das redes sem
fio, para que este tipo de rede se firme cada vez mais no mercado.
Outro benefıcio de se utilizar redes sem fio e a flexibilidade, pois dentro de uma area de
cobertura da rede, torna-se possıvel acrescentar mais usuarios, apenas sendo necessario respeitar
o limite de cada equipamento, sem ser necessario gastos com construcoes como passagem de
cabos(GAST, 2005). Dessa forma, se um usuario chega em uma area de cobertura da rede sem
fio, e necessita de acesso a rede, basta apenas ligar seu equipamento e ter acesso a rede. Em
uma rede guiada, o numero de usuarios fica restrito a quantidade de pontos de rede instalados,
sendo que em caso de necessidade de aumentar o limite, torna-se necessario instalacao de novos
pontos.
Um exemplo da facilidade proporcionada pela utilizacao de redes sem fio sao os HotSpots,
lugares que oferecem o servico de acesso a Internet atraves de uma rede sem fio, para usuarios
que desejarem acesso atraves de seus PDAs(Personal Digital Assistents), notebooks, etc. Ge-
ralmente esses locais cobram o servico, e sao estabelecimentos como cafes, ou ate mesmo
trens(REYNOLDS, 2003). Os HotSpots sao um exemplo pratico de que as redes sem fio possuem
grande utilidade, e interessa a todos usuarios de dispositivos moveis, devido a facilidade no uso.
Essa facilidade na instalacao e no uso da rede sem fio esta proporcionando sua proliferacao
em todo o mundo, porem sem existir uma grande preocupacao com as questoes de seguranca
que ela pode implicar(FLECK; POTTER, 2002). Isso possibilita que os atacantes possam acessar
2.1 Historico das Redes Sem Fio 20
uma rede sem fio desprotegida, com probabilidade pequena de serem descobertos.
Como as ferramentas tradicionais de seguranca, tais como firewall e IDS1(Intrusion Detec-
tion System), geram dados dos ataques, mas sem a finalidade de estudo sobre o comportamento
do atacante, os Honeypots aparecem como uma solucao eficiente para este fim. Os Honeypots
se mostraram eficientes nas redes guiadas para uma analise dos ataques, por meio dos logs
gerados(FRANCA, 2005).
Apesar das redes sem fio estarem sendo desenvolvidas ha algum tempo, as tecnologias de
rede sem fio empregadas ate o momento, sao recentes. Como essas tecnologias e padroes sao
novos e nao foi encontrado um trabalho de estudo, faz-se necessario o estudo dos possıveis
ataques a este tipo de rede. Porem, apesar dos Honeypots gerarem os logs, nao foi encontrada
nenhuma ferramenta ou metodologia que permita a analise desses logs de modo facilitado por
filtros sobre os dados e relatorios.
2.1 Historico das Redes Sem Fio
Nao se trata de um novo conceito, pois as comunicacoes sem fio ja ocorrem faz muito
tempo, em 1889 foi emitida a primeira mensagem por telegrafo, um sistema que ja utilizava
redes sem fio. Mas so a partir da decada de 70 que a comunicacao sem fio passou por uma
revolucao. Na decada de 80, as tecnologias de redes sem fio eram analogicas, e na decada de
90, elas mudaram para digital(WATSON, 2004). Desde entao elas continuam sendo digitais, mas
ganharam em qualidade e velocidade.
Em 1971, a Universidade do Havaı conseguiu desenvolver uma rede sem fio chamada
ALOHANET. A rede era composta por sete pontos computacionais em quatro ilhas transmi-
tindo e recebendo dados entre si por meio de canais de radio frequencia(RF)(FONSECA, 2001).
Ja em 1980, um outro grupo pioneiro formado por radioamadores projetou e construiu
os TNC(Terminal Node Computer), que trabalhavam de modo parecido com os modems te-
1IDS - Intrusion Detection System e um mecanismo que monitora a rede em busca de comportamentos suspei-tos, que possam caracterizar um ataque, para entao tomar uma acao contra o ataque, ou entao alertar os responsaveispela seguranca da rede
2.1 Historico das Redes Sem Fio 21
lefonicos, ou seja, interface para os computadores transmitirem e receberem os sinais digitais.
Mas em 1985 que a FCC(United States Federal Communications Commision) possibilitou o uso
de frequencias centradas em 2.4 GHz pelos equipamentos de redes sem fio, conhecidas como
banda ISM(Industrial, Scientific and Medical), que desde entao e universalmente disponıvel
para uso das tecnologias de rede sem fio(REYNOLDS, 2003).
Alguns tipos de transmissao surgiram para a transmitir dados sem a utilizacao de fios, como
a radio frequencia, a microonda e o raio infravermelho. Sendo possıvel a utilizacao tambem
da luz ultravioleta, do raio X e do raio gama, mas estas possuem problemas de modulacao,
dificuldade na propagacao atraves de paredes, alem de serem prejudiciais a saude(PEREIRA,
2004). Dentre as tecnologias que utilizam a radio frequencia, destacam-se a Bluetooth(padrao
IEEE2 802.15), a Wi-Max(padrao IEEE 802.16) e o Wi-Fi3(padrao IEEE 802.11)(RISTA, 2005).
A decada de 80 tambem foi importante para as redes sem fio, devido ao inıcio no desenvol-
vimento de notebooks e PDAs, que sao as principais formas de o usuario fazer uso das redes sem
fio. Em 1990, NCR4 e Motorola comecaram a desenvolver placas de rede sem fio, sendo que
mais tarde outros fabricantes tambem seguiram esse caminho, e logo estavam desenvolvendo
equipamentos especıficos para redes sem fio. Porem, logo se tornou evidente a necessidade
de uma padronizacao, entao o grupo de trabalho IEEE 802 se adiantou, e em julho de 1997
o padrao 802.11 foi completado. Neste mesmo ano a FCC alocou, sem necessitar de licenca,
tres bandas de 100MHz entre 5.15GHz e 5.8GHz(Bandas UNII5). Assim como com as ISM,
os usuarios podem utilizar essas bandas sem necessitar de licenca, sendo que a FCC restringiu
apenas as emissoes fora da banda, e a potencia de transmissao(REYNOLDS, 2003).
No Brasil tambem nao e necessaria a obtencao de licenca, no caso de utilizacao de uma
rede sem fio(TELECO, 2006). Apesar disso, a ANATEL6, que e o orgao do governo que re-
2IEEE - Institute of Electrical and Electronics Engineers e uma organizacao sem fins lucratios. E a principalassociacao no mundo voltada as pesquisas para avanco tecnologico(IEEE, 2006a).
3Wi-Fi - Wireless Fidelity, do ingles Fidelidade Sem Fio, assim como WLAN(Wireless LAN), e um termobastante utilizado para se referir a uma rede sem fio padrao IEEE 802.11.
4NCR Corporation - National Cash Register e uma empresa de tecnologia especializada em solucoes paraindustrias
5UNII - Unlicensed National Information Infrastructure - e uma parte do espectro de frequencia de radio usadopelos dispositivos IEEE-802.11a
6ANATEL - Agencia Nacional de Telecomunicacoes
2.2 Redes Sem Fio padrao IEEE 802.11 22
gula o setor de telecomunicacoes brasileiro, regulamenta a utilizacao das bandas ISM(ANATEL,
2006b, 2006c) e UNII(ANATEL, 2006a), existindo apenas uma restricao, no caso das faixas ISM,
sendo necessaria autorizacao da ANATEL para utilizacao de equipamentos em localidades com
populacao superior a 500 mil habitantes e com potencia EIRP7 superior a 400 mW(ANATEL,
2005)8. A regulamentacao existe para que a comercializacao e utilizacao destas faixas de
frequencia seja controlada e nao desordenada.
2.2 Redes Sem Fio padrao IEEE 802.11
Existem muitas organizacoes engajadas na busca de melhorias para redes sem fio, tanto para
pequenas distancias como para grandes distancias, sendo que em redes domesticas e redes em-
presariais de computadores ha uma preocupacao quanto ao alcance de cobertura. Dessa forma, o
padrao que mais vem sendo utilizado para esta aplicacao e o padrao IEEE 802.11(FLICKENGER,
2002). Este padrao tem como caracterıstica a facilidade na instalacao, pois nao e necessario um
grande projeto e planejamento como nas redes guiadas.
Apesar do padrao IEEE 802.11 ter sido aprovado em 1997, o grupo de trabalho 802.11 foi
formado em 1990, ou seja, e um padrao que ja esta sendo estudado ha mais de uma decada,
e passando por evolucoes. Este padrao e membro da famılia IEEE 802, que e uma serie de
especificacoes para redes locais LAN(GAST, 2005). Desta forma, a figura 1 mostra o relaciona-
mento entre os componentes da famılia 802, e suas respectivas posicoes dentro do modelo de
camadas OSI.7EIRP - Effective Isotropically-Radiated Power representa a Potencia de transmissao total e efetiva do equipa-
mento de radio, considerando o ganho da antena e as perdas com o cabeamento(GEIER, 2002)8400mW de potencia EIRP equivale a 26,021 dBm(SILVA, 2006)
2.2 Redes Sem Fio padrao IEEE 802.11 23
Figura 1: A famılia 802 e a relacao com o modelo de camadas OSI. Adaptado de (OHRTMAN;ROEDER, 2003)
Todas as redes 802 possuem os componentes MAC9 e Fısico, sendo que o componente
MAC e um conjunto de regras que define como acessar uma mıdia e enviar dados, enquanto que
os detalhes de transmissao e recepcao de dados ficam para o componente Fısico(GAST, 2005).
Fica bem claro na figura 1 que existe apenas uma definicao para o MAC 802.11 e para 802.2
LLC(Logical Link Control), enquanto que existem varias especificacoes para o nıvel fısico de
802.11.
A base da especificacao 802.11 inclui o MAC 802.11 e tres padroes fısicos: FHSS(Frequency-
Hopping Spread-Spectrum) e DSSS(Direct-Sequence Spread-Spectrum) e Infravermelho (OHRT-
MAN; ROEDER, 2003). Novas revisoes para 802.11 adicionaram novos padroes para camada
fısica como 802.11b, 802.11a, 802.11g. O 802.11b especifica HR/DSSS(High Rate/ Direct-
Sequence Spread-Spectrum), e foram os primeiros produtos publicos de massa (ROSHAN; LE-
ARY, 2003).
Apesar das redes sem fio ja estarem se desenvolvendo ha muito tempo, so em 1999 que
9MAC - Media Access Control
2.2 Redes Sem Fio padrao IEEE 802.11 24
foram disponibilizadas para o mercado, como pode ser observado na tabela 1. A especificacao
802.11a descreve uma camada fısica baseada em OFDM(Ortogonal Frequency Division Mul-
tiplexing), e os primeiros produtos baseados nesta especificacao foram liberados em 1999. A
especificacao 802.11g foi aprovado em 2003 oferecendo mais velocidade, e com compatibili-
dade com 802.11b(GAST, 2005).
Tabela 1: Especificacoes do padrao IEEE 802.11(FRANCESCHINELLI, 2003; FREITAG, 2004;IEEE, 2006b)
Especificacao Descricao802.11 Padrao original(1997) que oferece as taxas de 1 e 2Mbps.802.11a Extensao do padrao original IEEE 802.11, aprovada em 1999,
para prover taxas de 54Mbps na banda de 5GHz, utilizando atecnica de OFDM para minimizar a interferencia causada pelossinais refletidos na parede.
802.11b Extensao do padrao original IEEE 802.11 capaz de prover taxasde ate 11Mbps na banda de 2.4GHz. Aprovada em 1999, e corri-gida em 2001. Baseada na versao DSSS do IEEE 802.11. Quandoe utilizada para acessar a Internet, sao denominadas redes Wi-Fi.
802.11d E um grupo global de harmonizacao aprovado em 2001. Cadapaıs possui suas normas em relacao as bandas de 2.4GHz e 5GHz,e o 802.11d busca criar padroes, que serao aprovados na maioriados paıses.
802.11e Especificacao que tem o intuito de fornecer caracterısticas de qua-lidade de servico e suporte multimıdia aos ambientes sem fio.
802.11f Recomendado para praticas de comunicacao entre Pontos deAcesso. Aprovada em 2003.
802.11g Oferece taxas de 20Mbps a 54Mbps em uma banda de 2.4GHz.Aprovada em 2003.
802.11h Modificacoes do IEEE 802.11 aprovadas em 2003, para atenderas regulamentacoes da Europa.
802.11i Extensao para aumentar a seguranca do padrao IEEE 802.11.Aprovada em 2004.
802.11j Modificacoes do IEEE 802.11 para atender as regulamentacoesdo Japao. Aprovada em 2004.
802.11k Sistema de Gerenciamento da rede sem fio.802.11m Revisao do padrao existente.
Estas especificacoes da tabela 1 sao adotadas a nıvel mundial, e definem um padrao para
que a tecnologia nao se desenvolva desordenadamente. Desta forma, todos os fabricantes desen-
volvem seus equipamentos de acordo com as devidas especificacoes para que exista compatibi-
lidade entre os mesmos. Os equipamentos em questao seguem o padrao IEEE 802.11 de redes
2.3 Equipamentos de uma Rede Sem Fio padrao IEEE 802.11 25
sem fio, e sao desenvolvidos sempre com o intuito de fornecer mobilidade10 e flexibilidade aos
usuarios.
2.3 Equipamentos de uma Rede Sem Fio padrao IEEE 802.11
A arquitetura de rede sem fio 802.11 e composta por estacoes, placas de rede sem fio,
Pontos de Acesso e o Sistema de Distribuicao. Os elementos da rede sao as estacoes, pois
sao elas que farao uso da infra-estrutura disponibilizada pela rede, em funcao do emprego dos
outros componentes. Estas estacoes geralmente sao notebooks, ou PDAs, mas tambem podem
ser computadores com placa de rede sem fio, que atenda ao padrao IEEE 802.11(RIBAS, 2002).
As placas de rede sem fio sao necessarias para que a estacao possa se comunicar atraves da rede
sem fio, sendo que essa comunicacao pode ser diretamente de placa com placa, ou por meio de
um Ponto de Acesso como interface, dependendo da topologia de rede sem fio utilizada.
O Ponto de Acesso possui como principal funcao servir de interface entre uma rede sem fio
e uma rede guiada, funcionando como uma ponte(bridge)(GAST, 2005). Uma ponte tem esta
funcao de ser uma interface entre dois tipos de meio, como neste caso entre os meios sem fio e
cabeado, funcionando como um tradutor. Outra funcao muito importante do Ponto de Acesso
e de trabalhar como um Hub(Repetidor), ou seja, quando uma estacao quer se comunicar com
outra, ela manda os dados para o Ponto de Acesso e ele repassa via broadcast para que a
maquina destino receba os dados(MULLER, 2003). Um exemplo de Ponto de Acesso pode ser
observado na figura 2.
Outra funcao dos Pontos de Acesso, e a de prover conexao sem fio entre dois ambientes.
Desse modo, um Ponto de Acesso estaria conectado a outro por um meio sem fio. Isso possibi-
lita fornecer conexao entre dois ambientes, que estao isolados, e a passagem de cabos entre eles
seria difıcil, implicando em gastos elevados.
10Existem duas categorias de mobilidade, em que o usuario se movimenta sem perder a conexao com a rede:a micro-mobilidade, em que o usuario de movimenta dentro de uma celula da rede; e a macro-mobilidade, que ousuario se movimenta pelas celulas da rede(GAST, 2005)
2.3 Equipamentos de uma Rede Sem Fio padrao IEEE 802.11 26
Figura 2: Um exemplo de ponto de acesso(MULLER, 2003)
Quando muitos Pontos de Acesso estao conectados formando uma grande area de cobertura,
eles precisam se comunicar para rastrear as estacoes moveis. O Sistema de Distribuicao fornece
a conexao entre os Pontos de Acesso. Desta forma, ele e o componente logico responsavel
pelo encaminhamento dos dados para seus destinos, permitindo a comunicacao entre os Pon-
tos de Acesso atraves da conexao entre os mesmos. Quando um quadro passa pelo Sistema de
Distribuicao, ele e encaminhado para o Ponto de Acesso em que a estacao movel destino esta
conectada, ou seja, o Sistema de Distribuicao encaminha o quadro para o seu destino. O padrao
802.11 nao especıfica uma tecnologia particular para Sistema de Distribuicao, sendo assim, a
maioria dos fabricantes combinam a funcao de ponte dos Pontos de Acesso e uma rede back-
bone11, como Sistema de Distribuicao, para interligar os Pontos de Acesso. A tecnologia de
rede backbone usada com sucesso pelos fabricantes e a Ethernet(GAST, 2005), e funciona como
um canal por onde passam todos os dados entre duas ou mais redes de dados(TANENBAUM,
1997).
Os equipamentos de rede sem fio utilizados variam de rede para rede, pois cada rede obe-
dece a uma topologia. Esta topologia e escolhida de acordo com as necessidades e limitacoes
financeiras e de ambiente, sendo que determinara os equipamentos a serem utilizados, e a
configuracao dos mesmos. Os equipamentos utilizados neste trabalho sao: Ponto de Acesso
e um computador com uma placa de rede sem fio .
11A traducao para o termo backbone e espinha dorsal, e o Sistema de Distribuicao vai estar posicionado destamaneira, de modo central em relacao as varias redes sem fio ligadas a ele por meio dos Pontos de Acesso.
2.4 Topologias de Redes Sem Fio padrao IEEE 802.11 27
2.4 Topologias de Redes Sem Fio padrao IEEE 802.11
A topologia de rede utilizada e o modo como a rede esta disposta fisicamente na organizacao
(TANENBAUM, 1997), ou seja, o modo em que estao organizados os nos da rede, e quais equi-
pamentos sao utilizados por ela. A topologia e escolhida de acordo com o tamanho da rede,
numero de nos, e como os mesmos estao organizados. Escolher uma topologia inicial nao
impede que depois seja feita uma alteracao de topologia.
Como ja mencionado na secao 2.3, e possıvel estabelecer conexao direta entre dispositi-
vos de redes sem fio, ou atraves de um Ponto de Acesso, de acordo com a topologia de rede
utilizada(ROSHAN; LEARY, 2003):
1. IBSS - Independent Basic Service Set
2. BSS - Basic Service Set
3. ESS - Extended Service Set
4. Redes Sem Fio em Malha
Estas sao as topologias mais utilizadas, e estao apresentadas de acordo com o nıvel de
complexidade na implementacao. A topologia IBSS e a de menor nıvel de complexidade, e a
rede sem fio em malha e a que possui o maior nıvel de complexidade com relacao ao modo de
utilizacao dos equipamentos. a topologia utilizada neste trabalho e a ESS.
2.4.1 ESS
Varias infra-estruturas BSS podem ser conectadas pelas suas interfaces uplink, que sao
portas dos Pontos de Acesso para serem conectadas a uma rede guiada. Essa conexao entre as
BSS pelas interfaces uplink se da pelo Sistema de Distribuicao (ROSHAN; LEARY, 2003), que
geralmente e implementado atraves de uma rede backbone guiada. Esta topologia pode ser
observada na figura 3.
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 28
Figura 3: Topologia ESS. Adaptado de (ROSHAN; LEARY, 2003)
Esta topologia e uma extensao da BSS(OHRTMAN; ROEDER, 2003), porque atraves do Sis-
tema de Distribuicao e feita a ligacao entre as varias BSS, sendo formada uma grande teia.
Muitas vezes, se faz o uso de uma rede guiada, que ja estava implementada antes da rede
802.11, para assumir o papel de Sistema de Distribuicao. Dessa forma, este tipo de topologia e
o mais indicado para redes que desejam compartilhar recursos e ter acesso a outras redes. Sendo
assim, alem da protecao provida pelos Pontos de Acesso, alguns mecanismos de seguranca da
rede guiada podem ser utilizados para auxiliar na protecao da rede 802.11.
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11
Como o padrao de rede sem fio IEEE 802.11 esta se proliferando no mundo inteiro, devido
a sua facilidade de instalacao, existe pouca preocupacao por parte dos usuarios com a seguranca
dos dados que trafegam pela rede(FLECK; POTTER, 2002). Em Joinville, e possıvel detectar este
tipo de rede disponıvel sem qualquer tipo de protecao, principalmente na regiao central proximo
a predios e empresas. Com base nessa observacao, ha uma necessidade de estudo quanto aos
ataques as redes 802.11, e consequentemente a aspectos basicos de seguranca em redes de
computadores.
A seguranca de redes e baseada nos princıpios de(SCHNEIER, 2000):
• Confidencialidade: garante que somente pessoas autorizadas terao acesso a rede e as
informacoes. Exatamente como uma carta confidencial, na qual somente as pessoas com
devidas permissoes vai poder acessar seu conteudo;
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 29
• Autenticidade: para que seja garantida, deve ser comprovado que e realmente quem diz
ser, comprovando a identidade;
• Integridade: este princıpio diz que a informacao e fiel ao autor original;
• Disponibilidade: este princıpio diz que a informacao e a rede estarao disponıveis quando
o usuario, que tiver permissao de acesso, e comprovar sua identidade, precisar acessa-las.
Se a rede nao for segura, os princıpios nao estarao garantidos. Percebe-se que os quatro
princıpios estao ligados um ao outro, e a seguranca realmente nao estara garantida se um dos
princıpios for comprometido. Uma rede pode ser considerada segura quando estes princıpios
forem cumpridos, seja esta rede guiada ou sem fio.
Com base no conhecimento dos princıpios da seguranca, sao analisadas as vulnerabilida-
des e os riscos das redes 802.11, para que sejam desenvolvidos e implementados os devidos
mecanismos de seguranca. Dessa forma, o grupo 802.11i estuda e desenvolve mecanismos de
seguranca voltados as redes sem fio. E e a infracao destes princıpios que este trabalho visa
estudar.
2.5.1 Vulnerabilidades e Riscos em Redes 802.11
A comunicacao nas redes 802.11 se da da seguinte forma: o no emissor da mensagem envia
os dados, colocando no cabecalho da mensagem o destinatario. Porem, nao se sabe em que
lugar da rede o no destinatario esta, pois ele pode estar em qualquer lugar da area de cobertura.
Sendo assim, a mensagem e enviada a todos nos no alcance de cobertura, para que o destinatario
receba a mensagem(GAST, 2005). Esta mensagem, na verdade, se trata do quadro do nıvel 2 do
modelo de camadas OSI: Nıvel de Enlace.
Como as redes 802.11 transmitem em broadcast, devido ao fato de nao saber onde o desti-
natario da mensagem esta, todos os nos podem escutar todas as mensagens(pacotes) (ROSHAN;
LEARY, 2003), embora descartem, na maioria das vezes, pois verificam que a mensagem nao se
destina a eles. Esta caracterıstica das redes 802.11 as torna vulneravel, pois um atacante, pode
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 30
se conectar a rede a partir de qualquer ponto de alcance, e comecar a ”escutar”o trafego da rede.
Qualquer usuario mal intencionado pode efetuar a ”escuta”do trafego da rede, mesmo sem
ter grandes conhecimentos, pois existem ferramentas de escuta de trafego, como tcpdump12 e o
ethereal13, que permitem a escuta dos pacotes que trafegam pela rede. Ferramentas como estas
existem para que profissionais da area de rede possam monitorar o trafego da rede, mas tambem
sao utilizadas por usuarios mal intencionados, que as utilizam sabendo o que procuram, como
por exemplo senha de usuarios.
Apesar desta vulnerabilidade ser conhecida, em muitos lugares e possıvel se detectar o
servico disponıvel de uma rede sem fio empresarial ou domestica, que deveria estar segura,
facilitando a um invasor para explora-la. Este problema foi detectado na capital dos Estados
Unidos(HOPPER, 2006), Washington DC, um lugar que na teoria, representa um dos lugares
mais seguros do mundo. Mas isto tambem ocorre em outras cidades, pois em Sao Paulo tambem
e possıvel detectar muitas redes sem fio sem a utilizacao de qualquer dispositivo de seguranca,
podendo ser exemplificado atraves da inseguranca e quantidade de redes sem fio existentes na
avenida Paulista em Sao Paulo/SP.
Atraves de ferramentas, como o NetStumbler14, instaladas em um notebook com uma placa
de rede sem fio e antena, e possıvel andar pela cidade detectando as redes disponıveis. Esta
tecnica e conhecida como War Driving. Como consequencia do War Driving, surgiu a tecnica
War Chalking, que consiste em sinalizar na rua a disponibilidade de uma rede sem fio(FLECK;
POTTER, 2002). Os sinais podem ser feitos atraves de pichacao no muro ou no chao, e estes
sinais informam banda e chave de acesso, conforme exemplo mostrado na figura 4.
12tcpdump - e uma ferramenta que mostra os cabecalhos dos pacotes que passam por uma determinada interfacede rede. Esta disponıvel em < htt p : //www.tcpdump.org/ >
13ethereal - e uma ferramenta capaz de mostrar os dados dos pacotes que trafegam pela rede, ou de um arquivocom os dados capturados anteriormente por ele, ou por outra ferramenta, como por exemplo o tcpdump. Estadisponıvel em < htt p : //www.ethereal.com/ >
14NetStumbler - Ferramenta que facilita a deteccao de redes sem fio 802.11. Esta disponıvel em<http://www.netstumbler.com/>.
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 31
Figura 4: Utilizacao de War Chalking(SUBURBIA, 2004).
Outra situacao nas redes sem fio e a interferencia de outros aparelhos que trabalham na
mesma frequencia, como por exemplo telefones sem fio, sendo possıvel ocorrer instabilidade
e indisponibilidade na rede(OHRTMAN; ROEDER, 2003). Este problema pode ser relacionado
as redes guiadas, principalmente em industrias, quando os cabos passam proximos a uma rede
eletrica de alta voltagem ou a uma maquina de automacao de grande porte, tambem gerando
problemas de instabilidade na rede. Embora a protecao fısica dos cabos nao resolva todos os
problemas, ela ajuda a minimizar os riscos de ataques a rede. Quando se utiliza uma rede sem
fio, os usuarios perdem toda a seguranca fısica fundamental dos cabos, necessitando de outros
recursos que proporcionem nıvel igual ou superior de seguranca.
Um atacante sabendo disto, pode fazer uso de aparelhos, para interferir no funcionamento
da rede. Estes aparelhos, que podem ser aparelhos domesticos, podem causar interferencias,
causando indisponibilidade para uma area de cobertura da rede sem fio, ou ate mesmo para toda
a rede sem fio.
As redes 802.11 possibilitam que alguns tipos de ataques sejam efetuados a rede. Basi-
camente, existem quatro tipos de ataques: Snooping15, Modificar, Mascarar, e Denial of Ser-
vice(DoS)16. A relacao entre os tipos de ataque e os princıpios da seguranca de redes pode ser
associados:
• Snooping: e o tipo de ataque que infringe o princıpio da confidencialidade, onde o ata-
cante apenas acessa a informacao privada, sem comprometer os dados. Geralmente, os
15Snooping - do ingles, bisbilhotar.16Denial of Service(DoS) - do ingles, Negacao de Servico.
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 32
atacantes comecam por este tipo de ataque, e depois avancam para os outros tipos de
ataque.
• Modificar: este tipo de ataque infringe o princıpio da integridade, sendo que, alem de
acessar a informacao, o atacante modifica os dados;
• Mascarar: este tipo de ataque infringe o princıpio da auntenticidade, e e uma simulacao
de um dispositivo para que o atacante nao seja detectado, sendo que consegue todos os
privilegios que o dispositivo simulado(EDNEY, 2003);
• DoS: e o tipo de ataque que infringe o princıpio da disponibilidade, e e uma categoria to-
talmente diferente dos outros tipos de ataque, pois visa a indisponibilidade de um servico
prestado pela rede, atraves de varios ataques simultaneos a ele. Estes ataques simultaneos
podem se dar atraves da utilizacao de softwares especıficos para isto, ou atraves de si-
multaneas requisicoes artificiais, como por exemplo varios pings, que irao comprometer
a CPU, memoria, ou recursos de rede(MOORE; VOELKER; SAVAGE, 2001).
Sao muitas as possibilidades para que um atacante possa agir, sendo que dificilmente sera
descoberto. Dessa forma, existem varias formas de ataque que sao utilizadas, e existem varias
linhas de estudo para tentar minimizar as vulnerabilidades e os riscos. Os mecanismos de
seguranca existem com este objetivo de minimizacao de vulnerabilidades e riscos, para que os
usuarios possam ter a devida seguranca na utilizacao da rede.
2.5.2 Mecanismos de Seguranca tipicamente empregados em Redes 802.11
Embora as redes 802.11 nao possuam a protecao basica de acesso aos elementos fısicos,como
cabos nas redes guiadas, existem solucoes que visam minimizar os riscos de ataques e vulnera-
bilidades. Estas solucoes se preocupam com a vulnerabilidade basica da rede sem fio que e o
fato de a mensagem ser enviada em broadcast, embora, algumas solucoes sejam bem basicas e
herdadas das redes guiadas.
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 33
Cada no da rede sem fio, possui o seu endereco MAC unico, que ja vem definido pelo fabri-
cante na placa de rede. A mensagem, que e o quadro do nıvel de enlace do modelo de camadas
OSI, possui um campo de cabecalho MAC, onde estao guardados os enderecos MAC do no
remetente e do no destinatario. Este metodo pode ser considerado um mecanismo de seguranca
basico, ja que apenas o no destinatario pode abrir a mensagem(EDNEY, 2003). Porem existem
varios metodos, de tipos de ataque, que permitem mascarar uma alteracao do endereco MAC
para que a mensagem seja falsificada, permitindo assim acesso de computadores nao autoriza-
dos. Como comprovacao da simplicidade de implementar um ataque deste genero pode-se citar
que e possıvel alterar o endereco MAC no MS−Windows atraves da ferramenta regedit17 e no
GNU/Linux atraves do comando ifconfig eth0 hw ether MAC:ADDRESS:NOVO18.
Existem tambem ferramentas de escuta (sniffer), que permitem que todos os pacotes que
trafegam pela rede sejam capturados e analisados. O tcpdump e o ethereal sao exemplos de
ferramentas de escuta que sao facilmente encontradas na Internet para auxiliar no gerenciamento
de redes, mas permitem que o usuario mal intencionado possa ate descobrir as senhas dos
usuarios da rede, atraves da analise de trafego capturado.
O endereco MAC e apenas um mecanismos de seguranca basico, ja herdado das redes
guiadas. Dessa forma, existem outros mecanismos de seguranca que se baseiam nos princıpios
de criptografia, autenticacao, e controle de acesso.
A criptografia, e uma maneira de fazer com que o princıpio de confidencialidade seja
respeitado no que se diz respeito a troca de mensagens. Deste modo, somente as pessoas,
que possuam os requisitos necessarios para que a mensagem seja decodificada, conseguirao
ler e enviar mensagens dentro do padrao inicialmente estipulado entre os envolvidos nessa
comunicacao(MENEZES; OORSCHOT; VANSTONE, 2001). Como mecanismos baseados em crip-
tografia, podem ser citados os padroes WEP (Wired Equivalent Privacy) e WPA(Wi-Fi Protec-
ted Access).17Regedit - Ferramenta que permite alterar informacoes do registry, que e uma base de dados do MS−Windows
que armazena as configuracoes e opcoes do sistema operacional. O MAC pode ser alterado no caminhoHKEY LOCAL MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972−E325−11CE−BFC1−08002BE10318}
18Ifconfig - Ferramenta utilizada no GNU/Linux para configurar a interface de rede para TCP/IP.
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 34
Tanto o WEP como o WPA sao mecanismos que fornecem seguranca por meio da crip-
tografia, visando a confidencialidade e integridade da informacao. Com o mesmo objetivo,
existem os mecanismos de autenticacao, como o MAC e o RADIUS(Remote Access Dial In
User Service), que oferecem acesso as informacoes somente aos usuarios autorizados. Alem da
autenticacao, uma preocupacao da seguranca e o controle de acesso, que pode ser fornecido por
um firewall.
O firewall e uma ferramenta, que originalmente foi desenvolvida para ser utilizada em redes
guiadas, mas surgiu nas redes sem fio como uma solucao para um problema de seguranca: o
controle de acesso. Em outras palavras, trata-se de um mecanismo para suprir a necessidade
de controlar quem esta acessando a rede sem fio. O firewall, assim como nas redes guiadas,
trabalha na rede sem fio controlando quais pacotes podem entrar ou sair da rede. Existem varios
firewalls especificamente desenvolvidos para redes sem fio, podendo ser citados os Firebox X
Edge Wireless19 e o Firebox SOHO 6 Wireless20, que tambem pode desempenhar o papel de
Ponto de Acesso. Desse mesmo modo, outras ferramentas das redes guiadas, como os IDS e os
Honeypots, ainda podem ser aproveitadas nas redes sem fio para que outros problemas sejam
resolvidos.
2.5.3 Problemas de Seguranca em 802.11
As redes sem fio padrao IEEE 802.11 ainda possuem problemas em relacao a seguranca,
pois nem todos os campos da seguranca foram devidamente estudados. Nao e tao simples de
se atender todos os campos da seguranca, pois ha uma mudanca de paradigma(EDNEY, 2003),
conforme mostram as figuras 5 e 6.
19Firebox X Edge Wireless - Disponıvel em <http://www.watchguard.com/products/edge.asp>20Firebox SOHO 6 Wireless - Disponıvel em <http://www.watchguard.com/products/fireboxsoho6w.asp>
2.5 Seguranca de Redes Sem Fio Padrao IEEE 802.11 35
Figura 5: Ambiente de uma rede convencional. Adaptado de (EDNEY, 2003)
Figura 6: Ambiente de uma rede sem fio convencional. Adaptado de (EDNEY, 2003)
Com essa mudanca de paradigma, fica difıcil saber ao certo quais sao os ataques mais uti-
lizados, isso se deve a complexidade da Seguranca de redes, pois quando se trata deste assunto,
nao se deve pensar apenas nas maquinas, hardwares e softwares, mas tambem deve-se pensar
nos seres humanos, pois a seguranca vai depender deles(EDNEY, 2003). Alem disso, nao se
pode esquecer, que a disciplina de Seguranca de Redes, se preocupa muito com as acoes dos
atacantes, que sao seres humanos, embora muitas vezes se utilizam de ataques automatizados.
A inocencia e a falta de informacao sao caracterısticas de muitos dos usuarios de computa-
dores que estao sujeitos a Engenharia Social21, que atraves de uma boa conversa pode conseguir
senhas. A preguica, pode fazer com que o usuario desabilite a acao de um anti-vırus para poder
acessar com maior agilidade seus e-mails, podendo ocasionar uma infeccao da maquina. A ma
vontade e a ma ındole, podem criar atacantes buscando acessar sistemas aos quais nao possuem
permissao. Estes sao simples exemplos, mas existem uma infinidade de outros ataques.
21Engenharia Social consiste num conjunto de tecnicas utilizadas por fraudadores com a finalidade de obteracesso nao autorizado a sistemas computacionais e nao computacionais.
2.6 Consideracoes 36
2.6 Consideracoes
Constatando-se a consolidacao das redes sem fio, principalmente em funcao da mobilidade
proporcionada aos usuarios, e observando-se a falta de conhecimento sobre os ataques nas redes
sem fio, contata-se a necessidade de se estudar o comportamento malicioso neste tipo de rede.
Uma boa forma de analisar o comportamento dos atacantes e atraves da analise de seus ataques.
Embora essa analise ja exista em redes guiadas, seu emprego em redes sem fio e limitado. Sendo
assim, nao existem muitos dados que auxiliem no estudo do comportamento dos atacantes, de
modo a auxiliar a seguranca das redes sem fio.
Os Honeypots surgem como maneira de se analisar o comportamento dos atacantes. Sao
ferramentas que podem ser implementadas com finalidade de estudo(Honeypots de pesquisa)
ou para desviar a atencao dos atacantes(Honeypots de producao), e ficam disponıveis na rede,
com o objetivo de serem atacados e comprometidos, para que sejam colhidas informacoes
do atacante. Para atrair o atacante, os Honeypots podem simular redes e os seus computa-
dores(MARCELO; PITANGA, 2003). Essa simulacao tem o objetivo de enganar o atacante, de
modo que nao seja percebida a farsa, e que seu comportamento seja natural, ou seja, ataque
normalmente conforme seus instintos.
Em redes guiadas as ferramentas Honeypot tem se consolidado como uma forma eficiente
de coletar dados, para uma analise dos ataques. E como ja existe um servidor Honeynet instalado
no CCT/UDESC(FRANCA, 2005), este presente trabalho se propoe a continuar o trabalho de
(FRANCA, 2005) em uma rede sem fio, para uma analise e estudo dos ataques ocorridos.
37
3 Honeypots
No inıcio do seculo XXI, ha um certo desconforto em relacao a seguranca dos dados em um
computador conectado a uma rede, a Internet, ou em ambas. Isto se deve ao fato de que existe
uma grande probabilidade de que o computador sofra ataques, seja invadido, ou seja compro-
metido(SCHNEIER, 2000). A probabilidade e grande, pois existe uma quantidade elevada de
atacantes no mundo inteiro que, conhecendo as vulnerabilidades dos computadores, se apro-
veitam para explorar os computadores em busca de aprimorar conhecimentos, ou em busca de
benefıcios proprios.
As vulnerabilidades e os riscos apresentados pelas redes de computadores, despertaram o
interesse pelo estudo e desenvolvimento de mecanismos de seguranca capazes de minimizar
as possibilidades de que a seguranca da rede seja comprometida. Embora seja necessario co-
nhecimento, sobre a origem e objetivo das atividades suspeitas ou das tecnicas utilizadas para
comprometimento da seguranca(SCHNEIER, 2000), a maioria das tecnicas e ferramentas conven-
cionais de seguranca, tais como firewall, IDS, anti-vırus, criptografia, sao de carater combativo.
O IDS e um mecanismo que monitora a rede em busca de comportamentos suspeitos, que
possam caracterizar um ataque, para entao tomar uma acao contra o ataque, ou entao alertar
os responsaveis pela seguranca da rede(ESCAMILLA, 1998). Assim como os firewall, o IDS
tambem gera arquivos de log, mas nao possuem objetivo principal de estudo sobre os ataques,
servindo apenas para consulta do especialista para tentar localizar o motivo de um problema
ocorrido na rede.
Para suprir a necessidade de estudo do objetivo e das tecnicas utilizadas pelos atacantes,
existem os Honeypots. Os Honeypots sao ferramentas, que preparam um ambiente para que
3 Honeypots 38
seja atacado, e a partir daı seja feita uma monitoracao das acoes do atacante. Atraves desta
monitoracao, dados sao coletados e armazenados em logs, para que uma devida analise seja
efetuada(SPITZNER, 2002). Desse modo, e possıvel que um especialista em seguranca possa
estudar e analisar os registros armazenados nos logs, formando conhecimento de como ocorrem
os ataques.
As redes de computadores estao sujeitas a acao de atacantes, que tem a intencao de ter
acesso, alterar informacoes e comprometer o servico, de modo a aprimorar seus conhecimentos
em termos de ataques, ou visando benefıcio proprio, seja em termos financeiros ou intelec-
tual. Tambem podem estar interessados em prejudicar os usuarios da rede, podendo alterar as
informacoes, criar informacoes falsas, ou torna-las indisponıveis.
Percebe-se que o problema e gerado por acoes de seres humanos, como citado na secao
2.5.3, ou seja, seres sujeitos a inocencia, falta de informacao, preguica, ma vontade e ma ındole.
Essas sao tipos de caracterısticas que precisam ser combatidas. Alem disso, os seres huma-
nos sao seres inconstantes, tendendo a nao obedecer regras, e procedimentos exatos como as
maquinas. O comportamento humano e muito complexo, e sao necessarias ferramentas para
auxiliar neste estudo.
Uma maneira de se analisar o comportamento dos atacantes, e atraves da observacao de seu
comportamento durante os ataques. Com essa observacao, e possıvel conhecer qual a motivacao
e quais as tecnicas utilizadas pelo atacante. A observacao do comportamento de um atacante
e muito difıcil, pois e necessario saber quando e onde um atacante vai agir. Porem, quando
se conecta uma estacao a Internet, e nesta estacao se instala um personal firewall, logo se
observa avisos de que a estacao esta sofrendo tentativas de invasao. Portanto, ao se instalar um
dispositivo em uma rede com acesso a Internet, sao grandes as possibilidades de que ela sofra
ataques.
Assim, um modo de se observar o comportamento do atacante, e atraves da preparacao de
um ambiente, como mostra o exemplo da figura 7, que atraia o atacante, e enquanto esteja sendo
invadido, permita que as acoes do atacante sejam monitoradas, e e isso que um Honeypot faz.
3 Honeypots 39
Pode se dizer, que um Honeypot e um recurso da rede cuja principal funcao e de ser atacado e
comprometido(SPITZNER, 2002).
O Honeypot, que pode ser traduzido como Pote de Mel, possui este nome devido a carac-
terıstica adocicada do mel que atrai seus apreciadores(FRANCA, 2005). Desta forma, o Honeypot
e um mecanismo que tem a finalidade de atrair atacantes.
Figura 7: Exemplo de uma rede com um Honeypot. Adaptado de (HONEYNET, 2002).
Um detalhe importante e que o Honeypot, pode ser uma maquina real preparada para ser
atacada, como mostra a figura 7, ou entao ser um servico que simula uma maquina(SPITZNER,
2002). Em ambos os casos, os Honeypots podem ser utilizados atrair atividades maliciosas para
proteger as maquinas valiosas, ou como mecanismos de alerta, fornecendo uma seguranca maior
a rede. Outro modo de serem utilizados, e para a monitoracao de um ataque(ROJAS, 2003), ou
seja, permitir que seja efetuado um estudo posterior ao ataque.
O Honeypot pode ser real, ou seja, ser implementado com maquinas, sistemas e aplicacoes
reais, ou ser virtual, sendo que os sistemas, servicos e aplicacoes serao simulados. Desse modo,
os Honeypots podem ser classificados em relacao ao seu nıvel de interacao(DIEBOLD; HESS;
SCHAFER, 2005). Dependendo do Honeypot utilizado, ele pode propiciar maior interacao com
o atacante, permitindo um estudo mais detalhado das acoes do mesmo, e com menores proba-
bilidades do atacante descobrir que esta em uma armadilha.
Os Honeypots, que tiveram sua primeira utilizacao no final da decada de 80, estao em
3.1 Historico dos Honeypots 40
constante evolucao e se consolidaram como mecanismo de estudo dos ataques. Porem, nao foi
encontrada nenhuma metodologia consistente de analise dos logs gerados pelo Honeypot, de
modo a facilitar o estudo dos ataques.
3.1 Historico dos Honeypots
O Conceito dos Honeypots nao e novo, tendo em vista que ha muito tempo, os governos,
exercitos e ate organizacoes comerciais ja faziam uso de tecnicas deste tipo, porem, sem co-
nhecimento publico. Essa filosofia e baseada na tatica dos campos de batalha, onde se busca
conhecer e entender as tecnicas utilizadas pelos inimigos(SPITZNER, 2002).
Sun Tzu ja sabia que era necessario conhecer o inimigo para aumentar suas chances de
vitoria no combate(TZU, 1991). Apesar de nao ser um conceito novo, apenas no inıcio da
decada de 90 que foram feitas as primeiras publicacoes divulgando a utilizacao destas tecnicas.
Talvez, so a partir desse momento que a comunidade de seguranca se deu conta de que era muito
interessante observar as acoes durante um ataque.
A primeira publicacao que divulgou a utilizacao de um Honeypot data de 1988 intitulada
como ”The Cuckoo´s Egg”foi escrita pelo astronomo Clifford Stoll(TALABIS, 2006). Este do-
cumento relatava a experiencia do autor, que entre 1986 e 1987 localizou e encurralou um
atacante(MARCELO; PITANGA, 2003). O astronomo ao inves de cortar o acesso, permitiu que o
atacante agisse, enquanto observava a acao do atacante.
Em um outro documento, de 1991 e intitulado ”An Evening with Berferd”, Bill Cheswick
relata como monitorou e estudou as tecnicas utilizadas pelo hacker Berferd. Criou armadilhas
para o hacker, que tinha conseguido acesso ao sistema gracas a um problema no servidor de
emails Sendmail. Este documento possui grande teor tecnico e foi bastante utilizado por varios
especialistas da area de seguranca como metodologia para atrair e capturar atacantes(MARCELO;
PITANGA, 2003).
Em 1997, uma das primeiras solucoes de Honeypot foi disponibilizada para a comuni-
3.1 Historico dos Honeypots 41
dade de seguranca. Este Honeypot, desenvolvido por Fred Cohen, se chamava Deception To-
olkit(SPITZNER, 2002), e tambem ficou conhecido como DTK. De modo geral, e uma colecao
de scripts escritos na linguagem de programacao PERL. Atraves do DTK, e possıvel simular
varias vulnerabilidades do sistema operacional UNIX, respondendo a determinadas entradas do
atacante. Por exemplo, se o atacante tentar explorar uma vulnerabilidade do aplicativo Send-
Mail, o DTK vai dar a resposta que o atacante espera(TALABIS, 2006), e deste modo, o atacante
nao suspeitara que esta dentro de uma armadilha. Sendo muito interessante o fato de ser um
software de codigo aberto.
Um dos primeiros Honeypots comerciais vendidos para o publico foi o CyberCop Sting,
desenvolvido em 1998. Diferentemente do DTK, o Sting simulava vulnerabilidades do sistema
operacional MS Windows NT, sendo capaz de simular uma rede inteira(MARCELO; PITANGA,
2003), enganando o atacante atraves de respostas falsas aos ataques.
Em 1998, foi desenvolvido o Honeypot NetFacade por Martin Roesch. Este Honeypot foi
desenvolvido para o governo americano, para simular uma rede IP classe C inteira com ate
254 sistemas. Alem disto, ele tambem era capaz de simular sete sistemas operacionais diferen-
tes(TALABIS, 2006). Este trabalho tambem iniciou o conceito do Snort1(SPITZNER, 2002).
Ainda em 1998, foi lancado o BackOfficer Friendly, que foi desenvolvido por Marcus Ra-
nun. Foi o primeiro Honeypot amplamente divulgado ao publico, promovendo o conceito de Ho-
neypot a muitas pessoas que tiveram seu primeiro contato com este tipo de ferramenta(FRANCA,
2005). Desta forma, sua importancia esta no fato da popularizacao do conceito atraves de sua
divulgacao publica.
O ano de 1999 foi muito importante devido a criacao do projeto Honeynet por Lance Spitz-
ner e mais trinta especialistas de seguranca. Spitzner, ex-militar e autor de varios artigos e
livros famosos, desenvolveu uma grande quantidade de metodos para implementacao de Ho-
neypots(MARCELO; PITANGA, 2003). Neste mesmo ano, Spitzner publicou uma serie de artigos,
que mais tarde deram origem ao livro ”Conheca o seu inimigo”(SPITZNER, 2002). O objetivo
1Snort - IDS de codigo aberto. Esta disponıvel em <http://www.snort.org/>
3.1 Historico dos Honeypots 42
da comunidade Honeynet e dedicar-se ao estudo dos atacantes, e compartilhar os aprendizados
com a comunidade, de modo a existir um melhor entendimento do comportamento dos atacantes
e tornar possıvel a construcao de infra-estruturas de seguranca mais eficazes.
Nos anos de 2000 e 2001, muitas organizacoes utilizaram Honeypots para capturar worms2
(vermes), como o CodeRed II e o W32/LeavesWorm(MARCELO; PITANGA, 2003). Muitas
organizacoes tambem adotaram os Honeypots para detectar ataques e para estudar novos tipos
de ameacas(SPITZNER, 2002), sendo este um marco, como inıcio da utilizacao de Honeypots em
empresas.
Em 2002, os Honeypots provaram seu valor detectando e capturando um novo tipo de ata-
que ao dtspcd3 do UNIX Solaris(SPITZNER, 2002). Este tipo de vulnerabilidade ja havia sido
reportada pelo CERT4 em 2001(MARCELO; PITANGA, 2003). Foi a constatacao da importancia
dos Honeypots, e ratificacao do objetivo de estudo das tecnicas utilizadas pelos atacantes, de
modo a descobrir novas ameacas.
Neste mesmo ano de 2002, foi lancado o Honeyd, desenvolvido por Niels Provos. Um
Honeypot de codigo aberto que foi amplamente divulgado por todo publico e e muito utili-
zado(MARCELO; PITANGA, 2003). Ainda em 2002, nasceu uma nova iniciativa chamada de
Honeynet Research Alliance, sendo composta por grupos do mundo inteiro que estao interessa-
dos na pesquisa de Honeypots, podendo assim desenvolver e compartilhar ferramentas por todo
mundo(TALABIS, 2006).
Em 2005, com o trabalho intitulado ”Estudo de Honeynets para implementacao do projeto
HONEYNET.BR no CCT/UDESC”de Lisiane Anderson Franca, a UDESC inseriu-se no pro-
jeto Honeynet.br(FRANCA, 2005; BRAZILIAN.HONEYPOTS.ALLIANCE, 2006). Este fato foi muito
importante, pois inseriu a universidade no contexto nacional de seguranca, fornecendo dados,
que contribuem para o estudo das tecnicas e motivacoes dos atacantes.
2Worm - e um tipo de vırus, que infecta um computador, e, sem necessitar de outro software, se propaga pelarede. Exemplos de Worms sao o CodeRed II e o W32/LeavesWorm.
3dtspcd e uma aplicacao que executa como daemon e aceita requisicoes de clientes para que possam iniciaraplicacoes remotas.
4CERT e o centro dos especialistas em seguranca da Internet, e pode ser acessado em <http://www.cert.org>
3.2 Honeyd 43
Este presente trabalho e uma continuidade do trabalho de (FRANCA, 2005). Uma vez que os
resultados obtidos com a implementacao de um Honeyd foram comprovados com o trabalho de
(FRANCA, 2005), este presente trabalho pretende fazer um estudo dos ataques efetuados a uma
rede sem fio IEEE 802.11, de modo a produzir uma ferramenta de auxılio a analise dos logs
gerados pelo Honeypot.
3.2 Honeyd
Entre os varios Honeypots disponıveis, o Honeyd se destaca por ter popularizado o conceito
de Honeypot. Sua popularizacao foi facilitada por ser um Honeypot de codigo aberto, propor-
cionando a possibilidade de ser personalizado, sendo possıvel desenvolver novos servicos a
serem simulados por ele, de acordo com a necessidade(SPITZNER, 2002). Essa possibilidade de
personalizacao permite que sejam definidos quais os servicos a serem simulados, e o grau de
interacao que o servico vai ter com o atacante. Foi desenvolvido em 2002 por Niels Provos para
ser executado em sistemas baseados em Unix, como OpenBSD ou GNU/Linux, mas tambem
pode ser executado em MS−Windows(SPITZNER, 2003a), sendo esta portabilidade, outro fator
importante para sua popularizacao.
Para que a simulacao do servico ocorra, e feita a utilizacao de um listener, que e um script
responsavel pela simulacao. O listener e um script associado a porta relacionada ao servico que
responde a comandos pre-definidos. O Consorcio Honeynet.BR ja desenvolveu listeners para
alguns servicos como, por exemplo, o de SSH5(Secure Shell) e de RPC6(Remote Procedure
Call)(HONEYNET.BR, 2006b).
E possıvel se detectar conexoes em qualquer porta TCP, e a simulacao de servicos nao e
necessaria para se detectar ataques(SPITZNER, 2002). A simulacao de servicos apenas define
a interacao que o Honeyd vai ter com o atacante, e isso e muito importante para o estudo do
5SSH - programa de computador e um protocolo de rede que permite a conexao com outro computador na rede,de forma a executar comandos de uma unidade remota.
6RPC - As rotinas RPC permitem a programas que facam chamadas de procedimento em outras maquinasatraves da rede.
3.2 Honeyd 44
ataque. O Honeyd e um Honeypot de baixa interatividade7, e simula sistemas operacionais
distintos, ao mesmo tempo, e seus servicos e aplicacoes(FRANCA, 2005). Desta forma, a partir
de uma maquina, torna-se possıvel simular os sistemas que se tenha interesse de estudar, e
conforme as necessidades, disponibilizar os servicos desse sistema.
O Honeyd e um Honeypot, que introduz novos conceitos, pois alem de simular o sistema
operacional, ele pode monitorar todos os enderecos IP que nao estao sendo utilizados na rede.
Sempre que uma requisicao de conexao a um desses enderecos ocorrer, o Honeyd assume a
identidade do endereco, e entao comeca a interagir com o atacante(SPITZNER, 2003a). Esta ca-
racterıstica o torna bastante dinamico, pois uma requisicao para um endereco IP que nao esta
sendo utilizado e, provavelmente, um ataque, e aı surge a oportunidade de estudo do comporta-
mento do atacante.
Outra caracterıstica importante, e que o Honeyd simula topologias arbitrarias, sendo possıvel
se construir uma topologia com utilizacao de roteadores. Podem ser simulados roteadores, e
tambem a configuracao de latencia, roteamento assimetrico e interconexao das maquinas per-
tencentes a topologia(FRANCA, 2005).
Como e um Honeypot, o Honeyd visa gerar informacoes para estudo do comportamento dos
atacantes, e para isso, ele gera dados em arquivos de logs. Estes logs sao gerados no formato
syslog(HONEYD, 2006), formato que e um padrao monitorado por servidores syslog, como sera
explicado com mais detalhes na secao 4.1.
Os Honeypots permitem que sejam observados os ataques ao sistema preparado para ser ata-
cado. Dessa forma, fornece informacoes importantes para o estudo dos ataques a uma maquina
vulneravel. Porem, existe a necessidade de estudar o comportamento do atacante em uma rede
de dados na ıntegra, entao surgiram as Honeynets para suprir esta necessidade.
7Honeypot de baixa interatividade e um tipo de Honeypot que simula um computador, e por ser um sistemasimulado nao fornece muita interatividade com o atacante.
3.3 Honeynets 45
3.3 Honeynets
Ao se instalar uma rede, sao grandes as probabilidades de que ela sofrera ataques e tentativas
de acessos nao autorizados, tanto internos, como externos. O detalhe e que muitos dos atacantes,
ao conseguir acesso nao autorizado, nao visam apenas uma maquina, mas procuram acesso a
varios componentes da rede. Procuram vasculhar ela, em busca de falhas e vulnerabilidades das
quais poderao se aproveitar, podendo acessar estacoes de trabalho e servidores.
Como os Honeypots preparam um ambiente com apenas uma maquina a ser comprometida,
surgiram as Honeynets, que criam um ambiente de uma rede de computadores. De modo similar
aos Honeypots, a Honeynet e uma rede criada com a finalidade de ser atacada e comprometida,
de modo a fornecer informacoes uteis para o estudo das ferramentas, tecnicas e motivacoes dos
atacantes(HONEYNET, 2002).
As maquinas que formam a rede da Honeynet, possuem sistemas executando servicos e
aplicacoes. As Honeynets podem possuir as mesmas vulnerabilidades das redes organizacio-
nais, de modo a gerar dados sobre redes com aqueles tipos de vulnerabilidades. A figura 8
mostra a estrutura basica de uma Honeynet.
Figura 8: Exemplo de uma rede com uma Honeynet. Adaptado de (HONEYNET, 2002).
3.4 Consideracoes 46
Uma Honeynet, em termos gerais, e implementada atraves de uma rede de Honeypots.
Esta rede pode ser constituıda de maquinas que utilizam sistemas operacionais, servicos e
aplicacoes, como MS−Windows, GNU/Linux, servidor de e-mail, servidor ftp, entre outros.
Implementado-se esta rede atras de um IDS e um firewall, agrega-se um grande valor a Honey-
net, pois mais dados serao coletados para uma analise(HONEYNET, 2002). A figura 8 exempli-
fica uma Honeynet formada por alguns Honeypots atras de um IDS e de um firewall. Alem de
criarem uma sensacao realista de rede, o IDS e o firewall, protegem a rede controlada. Essa
protecao e muito importante, pois uma vez que o atacante conseguiu acesso a Honeynet, ele
pode facilmente conseguir acesso a rede controlada, no caso de nao existir nenhum mecanismo
de protecao.
As Honeynets podem ser reais, ou virtuais, dependendo de que tipo de Honeypots estao
sendo utilizados. Se estiver utilizando Honeypots Reais, ou seja, maquinas com sistemas e
aplicacoes reais preparadas para serem atacadas, trata-se de uma Honeynet Real. Enquanto que
a Honeynet virtual faz o uso de Honeypots virtuais, que simulam sistemas e servicos(PEIXOTO,
2002).
Uma Honeynet virtual, apesar de nao fornecer uma simulacao completa e fiel a um sistema
real, nao requer um grande investimento financeiro. Ja em uma Honeynet real, existe a vantagem
de que ela fornece dados sobre maquinas, servicos e aplicacoes reais. Desta forma, ela gera
muitas informacoes importantes para o estudo sobre os ataques, de modo que e muito difıcil um
atacante perceber que esta em uma armadilha. Porem, e necessaria a disponibilizacao de um
espaco fısico grande para alocacao desta Honeynet. Todos estes dados gerados sobre os ataques
sao armazenados em arquivos de logs, para que sejam devidamente verificados e analisados por
um especialista.
3.4 Consideracoes
Observa-se que os Honeypots sao ferramentas que ja sao consolidadas como mecanismos de
estudo do comportamento dos atacantes. Esta consolidacao se deve a evolucao da caracterıstica
3.4 Consideracoes 47
de auxiliar na descoberta de novas tecnicas de ataques, e, consequentemente, novas ameacas.
Sabendo-se disto, a implementacao de um Honeypot em uma rede sem fio, pode trazer dados
para estudos sobre os ataques a este tipo de rede.
E de interesse da comunidade de seguranca a existencia de fontes de informacoes capazes
de permitir estudos para solucoes de problemas de seguranca. Este trabalho permite auxiliar na
procura por solucoes de problemas de seguranca de redes 802.11 atraves da ferramenta desen-
volvida com o intuito de auxiliar na analise dos logs do Honeyd.
48
4 Arquivos de Log
Com a importancia dos computadores aumentando a cada dia, e os problemas a que eles
estao sujeitos (como por exemplo invasoes, mau funcionamento, falha de servicos) torna-se
necessaria uma maneira de armazenar um historico das ocorrencias deste sistema complexo
que e o computador. Exatamente isto que os logs sao, um historico das ocorrencias do sistema
computacional. Sendo eles um mecanismo que serve para buscar o motivo pelo qual ocorreu
um problema, depois que o fato foi consumado(SCHNEIER; KELSEY, 1999). Em outras palavras,
os logs armazenam um historico dos eventos do sistema em questao, como pode ser observado
na figura 9, para que depois eles sejam utilizados conforme a necessidade do especialista.
Figura 9: Registros da inicializacao de um sistema operacional OpenBSD armazenados em umarquivo de log.
Quando se trata de arquivos de log, pode ser feita uma analogia com uma conta telefonica:
suspeita-se que ligacoes nao autorizadas foram efetuadas do aparelho telefonico, entao uma boa
pratica, e verificar a conta telefonica, em busca das ligacoes de saıda que partiram da linha
4.1 Os formatos de arquivos de Log 49
telefonica. Cada registro de ligacao efetuada na conta telefonica, equivale a um log, e pela
verificacao da conta telefonica e possıvel verificar o bom ou mau uso da linha telefonica. Desse
mesmo modo, e possıvel verificar o funcionamento e historico de ocorrencias de um sistema
computacional atraves de seus logs.
Existem varios formatos de arquivos de logs, e o formato utilizado depende das necessida-
des de armazenamento de registros do sistema. Alguns arquivos de log estao em formato texto e
outros em binario. Alguns utilizam caracteres de tabulacao para separar dados, enquanto outros
utilizam vırgula, ou simplesmente iniciam uma nova linha para separar os dados(BABBIN et al.,
2006). A escolha do formato a ser utilizado pelo sistema vai determinar como os dados estao
organizados, e dependera de como, para que, por quem, de quanto em quanto tempo, onde e por
qual motivo serao utilizados.
4.1 Os formatos de arquivos de Log
Os principais padroes de formato existentes sao: CSV, TSV, XML, Datagrid, Chart, Syslog,
NAT, W3C, IIS, SQL e TPL. Sendo que os formatos Datagrid, Chart e NAT possuem o intuito
de serem apresentados em formatos de graficos(GIUSEPPINI; BURNETT, 2004). Pode-se observar
que o formato adequado, auxiliara na manipulacao do arquivo de log:
• Os formatos CSV(Comma-Separated Values) e TSV(Tab-Separated Values) sao os ar-
quivos de log no formato texto que possuem seus dados separados por vırgula e pelo
caracter de tabulacao, respectivamente. O TSV pode ter seus dados separados nao apenas
pelo caracter de tabulacao, mas tambem por espaco, ou qualquer outra string previamente
definida(BABBIN et al., 2006). Tornando o formato TSV flexıvel, quanto ao aspecto do se-
parador dos dados. Tanto o formato CSV como TSV, podem ser importados por planilhas
de calculo populares, de modo a facilitar na observacao dos registros e organizacao dos
dados;
• O XML(Extensible Markup Language) e um simples e flexıvel formato de texto que, ori-
4.1 Os formatos de arquivos de Log 50
ginalmente, foi projetado para auxiliar na publicacao eletronica em larga escala. Mas o
XML tambem e muito importante na descricao, armazenamento, e na troca de uma vari-
edade de dados na Web(CONSORTIUM(W3C), 1996). O XML e uma linguagem muito pa-
recida com o HTML(HyperText Markup Language), pois tambem utiliza as tags1, porem
o desenvolvedor pode definir suas proprias tags(SCHOOLS, 1999). Tornando-se assim o
XML uma poderosa maneira de se organizar os dados dos arquivos de log devido a sua
flexibilidade, pois o desenvolvedor do sistema pode estruturar a saıda dos registros de
modo a facilitar a manipulacao das informacoes;
• O formato SYSLOG e proveitoso em organizacoes que utilizam servidores SYSLOG para
monitorar os logs e informacoes de varios servicos importantes da organizacao(GIUSEPPINI;
BURNETT, 2004). O servidor SYSLOG e um sistema de registro de mensagens de logs
que esta disponıvel em todas as versoes modernas do UNIX, e tambem pode ser instalado
em outros sistemas operacionais(SOLHA, 1999);
• O formato W3C, que dentre os softwares que o utilizam, pode ser citado o IIS2 por
padrao para seus arquivos de log, e existem muitas aplicacoes que interpretam este for-
mato(BABBIN et al., 2006). Utilizar este formato, permite que seja utilizada uma aplicacao
ja existente, como por exemplo o Wusage Web Server Log Analyzer3;
• O formato SQL permite que os arquivos de log sejam convertidos e armazenados em tabe-
las, de modo a serem armazenadas em um banco de dados do tipo relacional(GIUSEPPINI;
BURNETT, 2004).
• O formato TPL(File Template Output Format) permite que o responsavel defina uma tem-
plate do formato dos dados de saıda(BABBIN et al., 2006). Em outras palavras, o formato
TPL e definido pelo desenvolvedor, de modo a padronizar a saıda de seu logs e satisfazer
1Tags - Sao muito utilizadas nas paginas da Web, pois sao a base do HTML. Sao formadas por palavras-chaveque atuam como um assunto ou categoria. As tags se caracterizam por estar entre os operadores de maior emenor(< e >).Um exemplo de tag: <br>.
2IIS - Internet Information Server e um servidor web da Microsoft. Esta disponıvel em<http://www.microsoft.com/windowsserver2003/iis/default.mspx>
3Wusage Web Server Log Analyzer - e uma aplicacao que efetua analise dos logs de servidores Web, como IISe o Apache. Esta disponıvel em <http://www.boutell.com/wusage/ >.
4.2 Analise de logs 51
suas necessidades especıficas;
• Os formatos Datagrid, Chart e NAT sao utilizados para que sejam gerados graficos com
base nos registros dos arquivos de log(GIUSEPPINI; BURNETT, 2004; BABBIN et al., 2006).
E uma maneira de facilitar a visualizacao dos registros, e possibilita que pessoas, que nao
sejam especialistas, possam tambem observar e analisar, de modo resumido, o conteudo
dos arquivos de log.
O Formato SQL, tem saıda para um banco de dados relacional, enquanto que os outros for-
matos possuem saıda texto no padrao ASCII. Alem destes formatos descritos, existem tambem
os logs que estao no formato binario, e so podem ser lidos com ferramentas especıficas. Um
exemplo de log binario, e um dos formatos de log de saıda do IDS, que mostra os pacotes de
atividades maliciosas capturados na rede. Desse modo, cada sistema possui seu formato de log,
de acordo com o seu foco, e e muito importante a escolha do formato correto, para que a devida
analise seja efetuada.
4.2 Analise de logs
O volume de dados gerados em arquivos de log, geralmente e bastante grande, dificultando
o trabalho da pessoa que ira analisa-los. Isto ocorre por que a maioria dos sistemas sofrem
varias ocorrencia ao longo do dia, e registram todas estas ocorrencias em logs, gerando um
volume consideravel de dados.
Efetuar a geracao destes dados, e armazena-los em arquivos de log nao e o problema, uma
vez que basta configurar o sistema computacional em questao. Sendo assim, a dificuldade
surge ao identificar quais destes dados sao uteis e relevantes, e de que forma eles serao analisa-
dos(PINHEIRO, 2005).
Os logs podem ser utilizados em diferentes areas, como por exemplo em ensino a distancia,
analise de desempenho de sistemas de busca, seguranca de redes de computadores, entre ou-
tras(BABBIN et al., 2006). Embora sejam areas distintas, a finalidade e a mesma: gerar um co-
4.2 Analise de logs 52
nhecimento, de modo a permitir melhorias em suas respectivas areas, atraves do estudo destes
logs.
Na maioria das vezes, as ocorrencias estao associadas a algum usuario, ou seja, este usuario
efetuou acoes, e as mesmas foram monitoradas e armazenadas nos logs. Sendo assim, uma
analise muito comum, e relativamente simples, e a verificacao de por quanto tempo o usuario
acessou o sistema, sendo recuperados o horario inıcio e final de acesso, e o usuario(IP de seu
computador)(AIRES; ALUISIO, 2003). Este tipo de analise e o mais simples e de nıvel mais
basico, pois efetua apenas uma analise superficial, que pode ser utilizada, por exemplo, em
uma analise estatıstica que fornecera, a media do tempo de acesso dos usuarios. Esta tecnica
e bastante limitada, pois nada garante que durante este perıodo o usuario ficou todo o tempo
acessando o sistema, e em nenhum momento parou para realizar outra tarefa, como ir almocar,
por exemplo.
Nas areas de analise de desempenho de sistemas de busca, a analise dos logs tem se mos-
trado bastante eficiente em mostrar quais as maiores dificuldades dos usuarios, e o que eles
estao buscando na maioria das vezes. Trata-se de um nıvel mais avancado do que apenas ve-
rificar o tempo de acesso ao sistema, pois analisa tambem o que o usuario pesquisou, e como,
seja atraves de uma pesquisa simples, ou com a utilizacao de operadores especiais(’e’, ’ou’, +,
−)(PINHEIRO, 2005). Sabendo o que os usuarios buscam, o sistema de busca pode ser melho-
rado, facilitando as buscas e pesquisas para o usuario.
A primeira vista, ou sob o olhar de uma pessoa nao preparada, o arquivo de logs e um amon-
toado de dados que nao fazem sentido nenhum. Logo se percebe, a necessidade de envolver um
especialista para poder analisa-los(HONEYNET, 2002). Em outras palavras, a analise dos logs
efetuada por uma pessoa, e bastante complicada, pois exige que seja especialista no assunto, e
mesmo assim sera sujeita a erros, por se tratar de um trabalho cansativo e repetitivo.
Para facilitar a analise dos logs existem varias ferramentas disponıveis no mercado, como
por exemplo o LogSite4 e o SawMill5, que sao capazes de efetuar analises automatizadas, de
4LogSite - disponıvel em <http://www.albedo.co.uk>5SawMill - Software de codigo aberto para analise de logs. Disponıvel em <http://sawmill.sourceforge.net/>
4.2 Analise de logs 53
modo a mostrar dados estatısticos e resumos dos arquivos de logs, ou apenas mostra-los de uma
maneira mais facil de ser interpretada(CONSORTIUM(W3C), 1999). A utilizacao destas ferramen-
tas possui algumas limitacoes, pois se restringe a area de atuacao e ao formato do arquivo de
log utilizado, embora existam tambem ferramentas de conversao de formato de arquivos de log.
Na area de seguranca de redes de computadores, area deste presente trabalho, a analise dos
logs e muito importante, pois em muitos casos, solucoes, compreensoes, e melhorias de siste-
mas so se tornam possıveis gracas ao aprendizado proporcionado pela analise(SCHNEIER, 2000).
Muitas vezes, ocorrencias inimaginaveis sao descobertas, ou causas de problemas sao descober-
tas em decorrencia das analises dos logs, ou seja, a analise dos logs auxilia na minimizacao de
riscos, falhas e vulnerabilidades das redes de computadores, de modo a fornecer uma seguranca
maior a informacao.
Os logs dos firewalls podem ser analisados, de forma a gerar conhecimentos importantes
para protecao da rede. Em seus logs podem ser identificadas tentativas de acesso nao per-
mitidas pelo firewall, tentativas de varredura6 e escuta na rede(HONEYNET, 2002), e somados
a identificacao do usuario, que esta registrado pelo seu endereco IP, pode se descobrir uma
possıvel origem de ataques, ou a presenca de um Worm na rede gerando trafego excessivo, e
queda no desempenho da rede, sendo esta apenas uma exemplificacao da utilizacao dos logs do
firewall.
A utilizacao da analise dos logs do firewall auxilia na resposta de algumas questoes sobre a
seguranca da rede(MANAGEENGINE, 2006):
• Quem sao os usuarios da rede que mais acessam a Web?
• Quais sao os usuarios que estao tentando acessar conteudo proibido?
• As tentativas de invasao sao originarias de onde?
6Ataques de varredura - O ataque de varredura, e uma sondagem em estacoes verificando portas abertas, ouseja, vulneraveis para possıveis atividades maliciosas(SCHNEIER, 2000). Existem dois tipos:
1. Varredura em busca de portas abertas em uma maquina;
2. Varreduras por uma porta especıfica em varias maquinas.
4.2 Analise de logs 54
• Quais servidores sofrem a maior quantidade de tentativas de ataque?
• Quanto da largura de banda esta sendo utilizada?
Por este motivo, e necessario fazer uso dos logs gerados pelos firewalls por meio de uma
analise adequada. Porem, como os logs dos firewall nao sao voltados para o estudo de ataques,
nao estao dispostos de uma maneira facilitada de ser analisada, e como nao e o principal objetivo
do firewall, muitas vezes nao sao utilizados. Apesar disto, tambem existem ferramentas que
automatizam o processo de analise dos logs do firewall, um exemplo e o ManageEngine Firewall
Analyser7.
Outro tipo de ferramenta que tambem gera muitos logs, que podem ser utilizados para
analise, e o IDS. So que o IDS e um caso especial, pois sao gerados dois tipos de logs. Como o
IDS fica escutando a rede, verificando os pacotes, em busca de atividades suspeitas, tem acesso
ao pacote em si, e ao dado do pacote. Desse modo, ele gera logs binarios, que e um arquivo de
logs, contendo os pacotes suspeitos; e tambem gera logs em formato texto, com informacoes
sobre as atividades suspeitas detectadas(HONEYNET, 2002). Alem disso, o IDS tambem pode
exibir mensagens de alerta, ou enviar mensagens eletronicas ao administrador da rede quando
uma atividade suspeita for detectada. Essa atividade suspeita e reconhecida, pois o IDS conhece
as assinaturas de varios tipos de ataque, e e exatamente em busca disso que ele procura enquanto
fica escutando os pacotes que trafegam pela rede.
Existem trabalhos que demonstram a utilidade tanto dos logs em formato texto, como em
formato binario. Um exemplo foi a analise dos logs binarios de um IDS que explica como
e por quem foram feitos os ataques contra um servidor com o sistema operacional Sun Sola-
ris. Tal ataque explorou uma falha de estouro de buffer8 em um servico do sistema operacio-
nal(NEVILLE, 2003). Assim como no firewall, a analise dos logs do IDS nao e facil, exigindo a
atencao de um especialista em seguranca, e esforco neste trabalho repetitivo e cansativo. Para
7ManageEngine Firewall Analyser - Disponıvel em: <http://manageengine.adventnet.com/products/firewall/>.8Estouro de Buffer ou Buffer Overflow: e um ataque que explora uma falha de um programa, onde e reservado
um determinado tamanho de buffer para uma entrada, mas o atacante entra com um tamanho maior, chegando aocupar espacos adjacentes da memoria. O estouro de buffer, pode levar o programa a executar codigos maliciosos,ou entao leva-lo a resultados inesperados.
4.3 Analise dos logs de um Honeypot 55
minimizar este problema, tambem existem ferramentas que automatizam a analise do logs do
IDS, como por exemplo o Fwlogwatch9.
O trabalho de (NEVILLE, 2003) demonstrou a importancia da analise dos logs do IDS, au-
xiliando na busca de solucoes de problemas na rede. Foi possıvel localizar uma falha em um
servidor, atraves da analise de seus logs binarios, detectando-se a exploracao da falha com a
utilizacao de um script. Devido a esta analise, foi possıvel corrigir a falha para que novos
ataques deste tipo nao voltassem a ocorrer.
O IDS e uma ferramenta muito proxima dos Honeypots, ja que gera dados sobre o ataque.
Desse modo, pode ser feito um estudo atraves dos logs obtidos atraves da monitoracao feita
pelo IDS(HONEYNET, 2002). Porem, o IDS fica restrito as assinaturas dos ataques que ele
conhece, pois se ocorrer um ataque desconhecido, entao nao sera considerado como atividade
suspeita(SCHNEIER, 2000). Alem disso, o principal objetivo do IDS nao e o estudo do ataque, e
como so detecta atividades suspeitas com base nos seus ataques conhecidos, tende a nao auxiliar
na descoberta de novos tipos e tecnicas de ataques.
Nestas ferramentas(IDS e firewall), os logs armazenam dados de atividades suspeitas, po-
dendo elas serem maliciosas. Como nos Honeypots todo trafego e originario de atividade mali-
ciosa, todos registros dos logs sao de ataques, enquanto que nos logs de IDS e de firewall podem
ser registradas tambem atividades que nao sejam ataques.
4.3 Analise dos logs de um Honeypot
Assim como a maioria dos sistemas computacionais que geram logs, os logs gerados pelos
Honeypots possuem informacoes importantes, e bastante uteis para a investigacao de proble-
mas ocorridos. Mais especificamente no caso dos Honeypots, os logs sao a base para o estudo
do ataque em busca de tecnicas, ferramentas, e motivos pelos quais o atacante acessou o sis-
tema(HONEYNET, 2002). Da mesma forma que nos outros sistemas, os logs dos Honeypots sao
9Fwlogwatch - Desenvolvido por Boris Wesslowski como software de codigo aberto, e esta disponıvel em<http://fwlogwatch.inside-security.de/>.
4.3 Analise dos logs de um Honeypot 56
de difıcil analise, conforme discutido na secao 4.2.
A analise dos logs deve preferencialmente ser efetuada com o Honeypot fora de producao,
para proteger a integridade dos dados, inviabilizando ataques ao servidor, alem de nao serem
gerados novos logs no arquivo(HONEYNET, 2002). Deste modo, enquanto e feita uma analise
no arquivo de logs, fica garantido que so o especialista esta tendo acesso aos logs. Uma maneira
de se efetuar uma analise adequada e realiza-la em tres fases:
• Analise do perıodo anterior ao ataque;
• Analise do ataque;
• Analise do perıodo posterior ao ataque.
E importante pensar no perıodo anterior ao ataque, pois em muitos casos, o atacante faz
uma sondagem inicial em busca das falhas e vulnerabilidades do sistema. Esta fase da analise
nao e tao obvia quando se pensa em analisar um ataque, pois o intuitivo e partir para analisar
o ataque em si(HONEYNET, 2002). Sabendo disto, e preciso verificar ocorrencias anteriores ao
ataque, buscando por possıveis varreduras, ou tentativas frustradas de acesso ao Honeypot.
E necessario analisar o ataque em si, em busca das tecnicas e ferramentas utilizadas, e
do motivo pelo qual o atacante esta agindo(HONEYNET, 2002). Atraves de uma analise ade-
quada, todas estas informacoes sobre o atacante podem ser obtidas, alem de ser possıvel resu-
mir estes dados, de modo a apresenta-los estatisticamente, em graficos, de modo a facilitar na
visualizacao por parte de uma pessoa leiga no assunto.
Enquanto o Honeypot esta tendo seus logs analisados, pode ser constatada uma tentativa de
repeticao do ataque em questao. Por este motivo, e importante continuar a analise deste ataque
apos ele ter sido efetuado(HONEYNET, 2002). Um possıvel motivo para o atacante tentar invadir
novamente o Honeypot, e porque ele esta tentando instalar um codigo malicioso que o auxiliara
em um ataque(como o DoS distribuıdo, que e um ataque de DoS com a utilizacao de varias
maquinas simultaneamente, aumentando a eficiencia do ataque, indisponibilizando o servico
atacado com maior eficiencia).
4.3 Analise dos logs de um Honeypot 57
Ja existem trabalhos, como o de (VIRTI; TAROUCO; BERTHOLDO, 2005), que conseguiram
efetuar um levantamento eficiente dos principais ataques sofridos nos Honeypots participan-
tes do Consorcio Brasileiro de Honeypots. Trabalho muito importante para comunidade de
seguranca brasileira, pois conseguiu-se informacoes que antes eram incertas, e ate o momento
se tinham apenas suspeitas. Foi possıvel descobrir quais as principais portas UDP e as TCP
mais exploradas pelos atacantes. Com base nestes dados obtidos, e possıvel analisar, quais
vulnerabilidades permitem acesso a estas portas, e acoes corretivas, para minimizacao de ris-
cos de acesso atraves delas. Atraves de uma analise mais refinada, foi possıvel se determinar
quais as vulnerabilidades que eram exploradas pelos atacantes, como por exemplo a porta UDP
1026, que e reservada para o mensageiro instantaneo MS Windows Messenger, e foi bastante
explorada por spam para o mensageiro.
O trabalho de (FRANCA, 2005) tambem conseguiu informacoes sobre os ataques sofridos
na Honeynet do CCT/UDESC. Uma informacao que foi constatada e que a maioria dos ataques
utilizou portas sob o protocolo TCP. Outra informacao, e que um mito foi derrubado, pois a
princıpio acreditava-se que a maior parte dos ataques ocorriam durante os finais de semana,
mas percebeu-se que a maioria dos ataques ocorreu durante a semana. Tambem foi levantado
que a maioria dos ataques partiu de sistemas operacionais MS-Windows, e isso pode ser expli-
cado pela grande quantidade de ferramentas que automatizam as invasoes e ataques, nao sendo
necessario grande conhecimento por parte do atacante para conseguir acesso nao autorizado.
Observou-se tambem, que as atividades maliciosas nao estao focados em um unico destino,
pois todos os Honeypots da Honeynet sofreram em media o mesmo numero de conexoes.
O projeto HONEYNET.BR gera e envia relatorios resumidos com informacoes dos ataques
sofridos as Honeynets integrantes do projeto. Somente participantes possuem acesso a estes
relatorios, e suas informacoes sao confidenciais. Estes relatorios informam a quantidade de
pacotes que passaram pelas Honeynets, paıses de origem dos ataques, Sistemas Operacionais
da origem e IPs de origem.
No relatorio do dia 8 de maio de 2006 da Honeynet do CCT/UDESC fornecido pelo HO-
4.3 Analise dos logs de um Honeypot 58
NEYNET.BR apresentou que 12286 pacotes trafegaram pela Honeynet, e que a maioria destes
pacotes eram originarios do Brasil, seguido pelos EUA, Canada e Coreia. O Sistemas Opera-
cionais utilizados eram na maioria GNU/Linux 2.6 e 2.4 seguidos por MS-Windows XP SP1 e
MS-Windows 2000 SP4, conforme pode ser observado no anexo A.
O relatorio geral de todas Honeynets participantes do projeto HONEYNET.BR apresentou
que mais de 6 milhoes de pacotes trafegaram pelas Honeynets, e que a maioria destes paco-
tes eram originarios do Brasil, seguido pelos EUA, Mexico e Canada. Os Sistemas Opera-
cionais utilizados eram na maioria MS-Windows 2000 SP4, seguidos por MS-Windows 2000
SP3(HONEYNET.BR, 2006a).
Enquanto que a maioria dos ataques sofridos no CCT/UDESC eram originarios de sistema
operacional GNU/LINUX, no relatorio geral, o GNU/LINUX so apareceu em quinto lugar.
Pensando na plataforma MS-Windows, pode-se considerar que nao e necessario grande conhe-
cimento em computacao para efetuar ataques, devido a existencia de ferramentas voltadas para
este fim. Isto indica que pelo menos parte das atividades maliciosas partiram de atacantes com
pouca habilidade.
Com a analise dos logs do Honeyd e possıvel se ter uma visao ampla sobre o ataque. Mais
especificamente, e possıvel descobrir quais sistemas estao sendo utilizados, em quais portas, e
com que protocolos(SPITZNER, 2003b). Como este trabalho e focado no Honeyd, a analise deve
ser planejada com base em seus logs. Os logs do Honeyd possuem os campos:
• Data;
• Horario;
• Protocolo;
• IP de origem(do atacante);
• IP de destino(do Honeypot);
• Porta de acesso;
4.3 Analise dos logs de um Honeypot 59
• Sistema Operacional utilizada para o ataque.
Partindo dos arquivos de logs do Honeyd, que podem ser observados na figura 10, consegue-
se obter estatısticas interessantes sobre os ataques. E possıvel, por exemplo, se obter os dados
conseguidos por (FRANCA, 2005). E uma ferramenta que demonstre estes dados graficamente
pode ser facilmente desenvolvida.
Figura 10: Arquivo de logs do Honeyd
A primeira linha deste arquivo de logs informa o inıcio da captura de dados, e a ultima o
termino. Analisando-se a segunda linha do arquivo, verifica-se que e uma ocorrencia das 0hs do
dia 20/04/2006, informando que foi uma tentativa de conexao por protocolo TCP. Por se tratar
de um Honeypot, todo trafego e tentativa de conexao e suspeito, e verifica-se que esta atividade
maliciosa partiu do IP 200.55.124.96 pela porta 2088, e tentou conexao com o Honeypot de IP
200.18.7.32 na porta 80. Alem disso verifica-se que a maquina de onde partiu esta atividade
suspeita utilizava um sistema operacional MS-Windows XP SP1.
Ja existem ferramentas que auxiliam na analise dos logs do Honeyd, como por exemplo
o Honeydsum10. Mas ela so traz informacoes estatısticas, e de configuracoes, como pode ser
10Honeydsum - Disponıvel em: <http://www.honeynet.org.br/tools/>
4.3 Analise dos logs de um Honeypot 60
observado na figura 11, alem de serem limitados em relacao ao desempenho(Honeydsum e
desenvolvido em Perl, e seu baixo desempenho em termos de velocidade), necessita que seja
executado em linha de comando(aumentando a dificuldade) para gerar as saıdas em HTML, e
nao possuem saıdas alternativas, nao sendo flexıvel neste ponto. Alem disso, nao mostram todas
as informacoes de modo resumido(FRANCO, 2004).
Figura 11: Tela padrao do HoneydSum.
Atraves dos logs do Honeyd e possıvel que sejam efetuados filtros que facilitem a analise
dos logs. O Especialista que efetuar analises pode precisar filtrar os logs, por IP, por porta, por
protocolo, por Sistema Operacional, e por Data. Desse modo, a analise por parte do especialista
seria efetuada de modo facilitado, filtrando-se apenas as informacoes relevantes.
O especialista pode fazer uso de metodologias para analisar os dados em busca de informa-
coes sobre ataques, como por exemplo a tecnica de analise de argumentacao(forensics). Esta
tecnica permite que seja feita uma analise detalhada dos dados, examinando-se o sistema com-
prometido e voltando passo a passo para saber o que ocorreu. Como um sistema comprometido
4.3 Analise dos logs de um Honeypot 61
nao representa uma fonte confiavel de analise, uma boa pratica e fazer com que o sistema seja
retirado de producao e seja feita uma copia do sistema, para que sejam analisadas as ima-
gens(HONEYNET, 2002).
Para que seja feita a analise de argumentacao, utilizam-se ferramentas para se encontrar
informacoes que seriam dificilmente encontradas por pessoas. Exemplos de ferramentas sao
o TCT11 e o EnCase12, que possibilitam a reconstrucao de eventos com base em horarios de
modificacao/acesso/alteracao(FARMER; VENEMA, 1999).
Portanto, o processo da analise de argumentacao e composto pela recuperacao, captura e
analise das informacoes do sistema comprometido. Dessa forma, a aplicacao desta tecnica, per-
mite que o especialista efetue uma analise detalhada, conseguindo informacoes que a princıpio
nao seriam encontradas. Tais informacoes sao conseguidas em funcao de uma analise detalhada
do sistema comprometido, acessando-se os logs do sistema, arquivos, e configuracoes. Para que
esta analise seja possıvel e necessaria a utilizacao de um Honeypot de alta interatividade, para
que se tenha acesso aos dados do sistema real.
Alem da analise manual efetuada pelo especialista, tambem e possıvel pelos logs do Honeyd
efetuar analise automatizada de logs, buscando por ataques de varredura, que sao ataques em
busca de portas de acesso abertas, e que podem permitir acesso ao sistema. Tal analise pode
ser efetuada ao constatar que um mesmo IP de origem tentou conexao com varias portas de um
Honeypot, ou tentou conexao com varios IPs destino em uma mesma porta, caracterizando uma
varredura por portas abertas. Com base nestes conceitos, a ferramenta proposta neste trabalho
sera capaz de efetuar analise automatizada em busca de ataques de varredura por portas abertas.
11TCT - The Coroner´ Toolkit e uma ferramenta de codigo aberto para analise de sistemas UNIX. Esta disponıvelem: <http://www.porcupine.org/forensics>
12EnCase e uma ferramenta para analise de sistemas MS-Windows. Esta disponıvel em:<http://www.encase.com>
4.4 Metodologia de analise dos logs de um Honeyd 62
4.4 Metodologia de analise dos logs de um Honeyd
Os logs do Honeyd armazenam dados resumidos sobre os ataques ocorridos, mas e possıvel
que seja efetuada uma analise baseando-se nas informacoes arquivadas. Por serem dados resu-
midos, a analise proposta neste trabalho e simples de ser realizada por qualquer pessoa interes-
sada em analisar estes logs.
Uma metodologia e uma descricao minunciosa das etapas a serem seguidas num processo
(BARUFFI, 1998), que neste trabalho e o processo de analise de logs. A metodologia aqui de-
finida serve para orientar a pessoa que utilizara a ferramenta para analisar os logs do Honeyd.
A utilizacao da ferramenta e indicada para facilitar a analise dos logs(CERT.BR, 2003). Uma
pessoa sem conhecimentos em analise de logs podera emprega-la como facilitador para chegar
a conclusoes sobre os ataques sofridos pelo Honeyd.
Primeiramente, deve-se saber qual o objetivo da analise. Como o Honeypot e uma maquina
que esta ali apenas para ser atacada, qualquer trafego envolvendo ele, trata-se de uma atividade
maliciosa. Traduzindo para a analise de logs, qualquer registro gerado e uma atividade malici-
osa. Se o objetivo e saber se ocorreu alguma tentativa de ataque, basta observar se foram gerados
registros. Se o objetivo e mais preciso, procurando-se um determinado tipo de ataque ou um
certo IP ou uma determinada porta, torna-se necessario refinar a pesquisa nos registros. Um
refinamento indicado e a exclusao do trafego de broadcast, que embora chegue ao Honeypot,
deve ser descartado, pois todos recebem.
As perguntas que devem ser respondidas ao serem analisados os logs sao:
1. Quando - Correspondendo a data e horario do ataque;
2. Quem - Identificando o IP e porta do atacante;
3. Onde - Identificando ao IP e porta do Honeypot;
4. Qual - Estudando qual o tipo de ataque.
Os campos de data e horario do registro correspondem a quando ocorreu o ataque. Devido
4.4 Metodologia de analise dos logs de um Honeyd 63
a estes dados, torna-se possıvel filtrar o perıodo a ser analisado. E muito importante que a
data e horario do servidor onde esta instalado o Honeyd estejam sincronizados com um horario
padrao mundial, para que nas analises nao ocorram erros com relacao ao horario. Indica-se
que o servidor utilize o horario e o fuso horario GMT(Greenwich Mean Time), que e o horario
mundial. Dessa forma, evita-se problemas com variacoes de horarios como, por exemplo, o
horario de verao brasileiro. Alem disso, todos os servicos que estiverem gerando logs, irao
gera-los dentro de uma mesma linha de tempo.
O campo de IP de origem responde quem foi o autor do ataque correspondente ao registro
em questao. Alem disso, fica registrado o sistema operacional utilizado pelo atacante. O local
onde ocorreu o ataque corresponde ao campo IP destino do registro, sendo possıvel observar
qual foi o Honeypot atacado. A porta destino refere-se a porta do Honeypot atacada, e com
esta informacao, descobre-se qual foi o tipo de ataque. Embora a CVE exporte sua base de
vulnerabilidades, nao existe uma busca especıfica por portas. Sendo assim, as vulnerabilidades
associadas a porta sao exibidas apos a consulta efetuada a base de vulnerabilidades da ferra-
menta que foi obtida do Nessus. Esta base do Nessus e sincronizada com a base de dados da
CVE e indica qual e o ID da CVE relacionada a vulnerabilidade. Dessa forma, pode-se iniciar
um estudo para tentar descobrir quais sao as vulnerabilidades associadas a porta, e entender
qual era a intencao do atacante(HOLZ, 2006).
Com base nessas informacoes que podem ser retiradas dos logs do Honeyd, a pessoa que
estiver efetuando analise pode definir o perıodo a ser analisado, uma faixa de IP origem e/ou
destino e o Tipo do Sistema Operacional utilizado no ataque. Alem disso, com base na porta
atacada, pode-se tentar descobrir qual foi a vulnerabilidade acessada e a provavel intencao do
invasor. Com base nessas possibilidades de filtros, deve-se efetuar combinacoes logicas entre os
diferentes campos filtrados como, por exemplo, um certo perıodo de datas e um IP de origem, ou
determinada porta. A figura 12 ilustra alguns registros de um arquivo de log do Honeyd. Apenas
se descobre o provavel ataque, pois os campos do log analisado do Honeyd nao permitem uma
analise detalhada. Alem disso, podem existir mais de um tipo de ataque associados a porta, e
4.4 Metodologia de analise dos logs de um Honeyd 64
caso seja de interesse, pode-se criar um listener13, que pode refinar a analise, armazenando as
informacoes desejadas, contudo este nao e o foco deste trabalho.
Figura 12: Arquivo de logs do Honeyd
Pode-se efetuar uma breve analise nas duas linhas, que estao selecionadas na figura 12.
Ambas referem-se ao mesmo ataque, sendo que a primeira e o registro do inıcio do ataque,
como pode ser observado o campo permissao, que esta constando como ”S”(Start). A segunda
linha corresponde ao termino do ataque, identificado pelo campo permissao contando como
”E”(End). Respondendo-se a pergunta quando, o ataque iniciou a 19 horas, 32minutos e 57
segundos e terminou as 19 horas, 33 minutos e 27 segundos. O Campo IP origem identifica
quem foi o atacante, sendo que neste caso foi o IP 68.223.194.106. Com o campo IP Destino,
se identifica onde ocorreu o ataque, o Honeypot de IP 200.18.7.46.
Alguns campos auxiliam a responder a pergunta qual, identificando-se o tipo de ataque.
No ataque selecionado na figura 12, verifica-se que o protocolo utilizado foi o TCP, e explo-
rou a porta de destino 1080. Pela ferramenta de auxılio, visualizando-se o log, deve-se clicar
no numero de identificacao do log, sendo entao exibido um relatorio com as vulnerabilidades
associadas a porta, e possıveis solucoes indicadas para a vulnerabilidade.
13Listener - Script que emula um servico, e neste caso poderia gerar um log personalizado.
4.4 Metodologia de analise dos logs de um Honeyd 65
Efetuando uma consulta na ferramenta, constata-se que esta porta esta relacionada aos
servicos exibidos na figura 16. Observando-se que foi utilizado um sistema operacional MS-
Windows XP SP 1, o atacante pode ter feito uso de uma ferramenta de ataque, buscando
por esta porta aberta por um trojan14, que tambem e conhecido como ferramenta de script
kid15(SCHNEIER; KELSEY, 1999). Como o sistema operacional utilizado e o MS-Windows, cuja
utilizacao e mais difundida para se efetuar ataques(devido a existencia de muitas ferramentas
prontas para este fim), e o tipo de ataque procurou o auxılio de um trojan, verifica-se que o
atacante nao devia possuir muitos conhecimentos sobre ataques, e apenas buscava algum lucro
pessoal.
Como foi identificado na secao 2.5.1, a vulnerabilidade evidente das redes 802.11, esta na
maior facilidade de se conseguir conectividade com a rede, e a partir deste ponto serem feitos
os acessos nao autorizados. Partindo deste ponto, em que o invasor conseguiu conectividade
com a rede, os ataques possıveis sao os mesmos das redes guiadas, uma vez que os servicos
disponıveis nas estacoes sao os mesmos(OUDOT, 2006).
A configuracao do Honeyd para rede a rede 802.11 e praticamente a mesma de um Honeyd
de rede guiada, diferenciando-se na configuracao da topologia de rede para dar a impressao ao
atacante de que ele esta conectado em uma rede sem fio(HONEYD, 2003). A configuracao serve
para dar a sensacao de que ele realmente esta em um ambiente de rede sem fio, mas os servicos
oferecidos sao os mesmos de uma rede guiada.
E possıvel utilizar a mesma configuracao de um Honeyd de rede guiada em um de rede
sem fio, que o servico funcionara, porem, sera mais facil do atacante identificar o ambiente
falso criado pelo Honeypot. Para minimizar a probabilidade do atacante perceber o ambiente
criado pelo Honeypot na rede sem fio, cria-se diversas rotas para redes e conexoes no arquivo
de configuracao, e dessa forma, o ambiente se torna mais proximo do real.
Desse modo, a metodologia proposta pode ser aplicada em Honeypot de rede guiada como
14Trojan - tambem conhecido como Cavalo de Troia por ser um programa que segue os princıpios desta lenda.Depois que entra no computador, libera uma porta para o invasor.
15Sao os invasores sem experiencia e sem conhecimentos em programacao que fazem uso de ferramentas deataque.
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 66
de rede sem fio, e possibilita que seja efetuado um comparativo entre os ataques aos dois tipos
de rede. Desse modo, pretende-se estudar se redes guiadas e sem fio sofrem diferentes tipos de
ataque, ou ataques semelhantes.
As principais tentativas de ataque em redes sem fio estao na camada de enlace de da-
dos(modelo OSI), porem os Honeypots comecam a tratar os dados apenas na camada de rede
(modelo OSI). Uma sugestao de trabalho futuro e fazer com que o Honeypot capture dados da
camada de enlace de dados para facilitar identificacao destes tipos de ataque. Apesar dos de-
mais ataques serem comuns em redes guiadas ou sem fio, esses dados podem ser utilizados para
coibir o acesso ao meio, que tem seu controle dificultado pelo aspecto de propagacao do sinal.
4.5 Honeydog - Ferramenta de auxılio a analise dos logs deum Honeyd
A ferramenta desenvolvida neste trabalho sob o nome de Honeydog, tem como objetivo
o auxılio a analise dos logs de um Honeyd. Ela permite que a analise seja efetuada de modo
facilitado com a utilizacao de filtros, graficos e relatorios. Alem disso ela efetua analise au-
tomatizada em busca de ataques de varredura. As especificacoes podem ser observadas com
maiores detalhes no apendice B. O funcionamento basico do Honeydog pode ser observado no
diagrama da figura 13.
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 67
Figura 13: Tela de visualizacao dos logs
A figura 13 mostra como e o processo e as dependencias das funcionalidades do Honeydog.
Observa-se as funcionalidades especificadas no apendice B, de modo que fica explicitado qual
o funcionamento basico da ferramenta:
• Carga de logs - Para se carregar o arquivo de logs, o usuario deve definir qual o arquivo,
que os registros serao carregados para a base;
• Apagar logs - O usuario deve determinar se todos logs devem ser excluıdos, ou definir
qual a base que devera ter seus registros excluıdos;
• Adicionar/Salvar Filtros - Depois que o usuario adicionar os filtros, pode salva-los na
base. Posteriormente, os filtros podem ser carregados para nova utilizacao.
• Exibir logs - Com base nos filtros, os logs sao exibidos;
• Gerar Graficos - Com base nos filtros, o usuario define que grafico quer visualizar;
• Gerar Relatorios - De acordo com consulta feita a base de vulnerabilidades e com graficos,
sao gerados relatorios para o usuario;
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 68
• Analise Automatizada - A ferramenta busca nos logs da base por ataques de varredura
por portas abertas, e exibe relatorio para o usuario.
No inıcio deste trabalho objetivou-se em focar a ferramenta em logs de Honeypot de rede
sem fio, mas conforme e explicado na secao 4.4, os logs do Honeypot sao os mesmos, seja este
implementado em uma rede guiada ou em uma rede sem fio. Sendo assim, o Honeydog pode
ser utilizado para se analisar logs de qualquer um destes Honeypots.
Os logs sao carregados para uma base de dados, e sao visualizados atraves da tela da figura
14, sendo que sao exibidos apenas os registros que respeitarem as condicoes dos filtros da tela
da figura 15. Assim, o usuario define as informacoes que sao do seu anseio de analise. Caso
seja de interesse do usuario, os logs podem ser excluıdos da base de dados.
Figura 14: Tela de visualizacao dos logs
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 69
Figura 15: Tela de Filtro dos logs
Definiu-se a carga dos logs para o banco de dados, para permitir um melhor desempenho na
exibicao dos mesmos, obedecendo aos filtros definidos pelo usuario. Caso nao fosse utilizado
o banco de dados, a cada alteracao nos filtros, os arquivos de logs, teriam de ser interpretados
integralmente para verificar-se quais os registros seriam exibidos. A utilizacao do banco de
dados, permite que atraves das clausulas where sejam obedecidos os filtros. Para cada arquivo
carregado, o usuario define qual a base que sera utilizada. No momento de excluir os registros,
o usuario define se todos os registros serao excluıdos, ou se apenas os registros de determinada
base.
O Honeydog possibilita a utilizacao de combinacoes logicas nos filtros entre os diferentes
operador: AND, OR e XOR(Exclusive OR). Com essas possibilidades, a ferramenta definida
no apendice B, possibilita uma maior personalizacao nos filtros por parte da pessoa que estiver
efetuando a analise. A utilizacao dos filtros e muito importante, pois como ja citado na secao
4.2, o volume de registros e muito grande, e seria muito difıcil analisar registro por registro em
busca das informacoes relevantes a analise corrente.
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 70
Alem disso, pela tela da figura 14, e possıvel acessar relatorios pelos hyperlinks que indicam
o tipo de servico, e as vulnerabilidades associadas ao ataque em questao. Tambem sao sugeridas
solucoes para minimizar as vulnerabilidades, como pode ser observado na figura 16, e sao
exibidos graficos estatısticos como e exibido na figura 17. Os relatorios sao acessıveis atraves
dos hyperlinks para facilitar a utilizacao por parte do usuario.
Figura 16: Tela de Relatorio dos logs
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 71
Figura 17: Tela de Relatorio dos logs
Estes relatorios sao interessantes para que o usuario da ferramenta consiga, visualizar
informacoes sobre o ataque, bem como as vulnerabilidades associadas a porta atacada. Tais
informacoes foram disponibilizadas neste relatorio para que o usuario nao tenha que ficar efe-
tuando consultas externas a ferramenta como a internet, por exemplo, em busca de informacoes
sobre o tipo de ataque e vulnerabilidade. Os relatorios foram adicionados a especificacao de
requisitos da ferramenta devido a constatar-se que outras ferramentas de analise de logs do
Honeyd, como o Honeydsum, nao exibem relatorios e nao detalham o ataque em termos de
vulnerabilidades.
A base de vulnerabilidades do Honeydog foi obtida do Nessus, conforme citado na secao
4.4. Esta base pode ser atualizada de forma manual com base no arquivo plugins.xml do Nessus.
Dessa forma, sera disponibilizada uma atualizacao da ferramenta a cada dois meses para que a
base de vulnerabilidades nao fique obsoleta.
Com base nos filtros, tambem podem ser visualizados graficos, como os exibidos nas figuras
18, 19, 20, 21, 23 e 24. Os graficos sao exibidos de acordo com a selecao do usuario, com
relacao ao tipo de grafico e ao formato(pizza, linha, barra ou area). Desse modo, o usuario pode
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 72
levantar dados estatısticos e visualiza-los de modo personalizado. A personalizacao do formato
do grafico e um diferencial do Honeydog, ja que outras ferramentas que geram graficos, como
o Honeydsum, geram em formatos definidos, nao deixando aberta a possibilidade de escolha
ao usuario. Os tipos de grafico que o Honeydog pode exibir sao os graficos que os campos dos
logs do Honeyd permitem e que podem interessar ao usuario:
• Ataques por sistema operacional - E interessante para saber quais os tipos de sistema
operacionais mais utilizadas pelos atacantes. Conforme figura 18, e possıvel abstrair-se
caracterısticas dos atacantes atraves do sistema utilizado;
Figura 18: Tela de Grafico dos logs por Sistema Operacional
• Ataques por protocolo - Pode-se constatar quais sao os protocolos mais utilizados nos
ataques, conforme exibido na figura 19;
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 73
Figura 19: Tela de Grafico dos logs por Protocolo
• Top ten Honeypots - Verifica-se quais sao os Honeypots que mais estao sendo atacados,
conforme figura 20. Permitindo verificar quais as caracterısticas destes Honeypots dife-
rentes em relacao aos Honeypots com menor quantidade de ataques;
Figura 20: Tela de Grafico dos logs por Honeypots
• Top ten atacantes - torna possıvel verificar-se quais os atacantes, conforme figura 21, que
mais estao acessando os Honeypots;
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 74
Figura 21: Tela de Grafico dos logs por Atacantes
• Top ten Portas - Permite que sejam observadas quais as portas, que estao sendo mais
atacadas, e entao verificar-se quais vulnerabilidades estao sendo exploradas com maior
intensidade;
Figura 22: Grafico dos Ataques por Porta
• Conexoes por hora - Atraves desta informacao exibida na figura 23, pode-se constatar
quais os horarios em que esta mais sujeito aos ataques;
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 75
Figura 23: Tela de Grafico dos logs por Hora
• Conexoes por dia - Este tipo de grafico permite analisar os dias que mais tiveram ata-
ques, conforme figura 24, buscando-se historicos para tais datas que justifiquem a maior
quantidade de ataques, ou contatando-se os dias da semana que mais se esta sujeito a
ataques.
Figura 24: Tela de Grafico dos logs por Data
O Honeydog tambem e capaz de efetuar analise automatizada em busca de ataques de var-
4.5 Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 76
redura, diferenciando varreduras em busca de portas abertas em uma maquina, figura 25 e varre-
duras por uma porta especıfica em varias maquinas, figura 26. Tratam-se de relatorios objetivos
e simples com a finalidade de exibir informacoes que geralmente nao sao constatadas em ar-
quivos com um grande volume de registros. Sendo tambem gerados graficos dos principais
atacantes de varredura, e da quantidade deste tipo de ataque classificados por dia.
Figura 25: Tela de analise automatizada
Figura 26: Tela de analise automatizada
4.6 Instalacao do Honeypot em uma rede sem fio 802.11 77
A ferramenta tambem pode analisar, e mostrar os dados do servico de WinRPC16 emulados
pelo Honeyd. E feita uma interpretacao do arquivo de log, que e de formato binario e suas
informacoes estao em hexadecimal, permitindo que os dados sejam visualizados em formato
texto, conforme exibido na figura 27, sendo tambem permitidos filtros em busca por strings.
Figura 27: Tela de analise automatizada
Com estas funcionalidades O Honeydog cumpre seu objetivo inicial de auxiliar na analise
de logs do Honeypot Honeyd. Os requisitos do apendice B foram atendidos, sendo que, adi-
cionalmente, um relatorio exibindo as vulnerabilidades associadas a porta atacada, conforme e
exibido na figura 16, e a exibicao dos logs do script de emulacao do servico WinRPC, conforme
exibido na figura 27, foram adicionados ao escopo do projeto.
4.6 Instalacao do Honeypot em uma rede sem fio 802.11
O Honeypot instalado com este trabalho esta localizado na rua Henrique Meyer, numero
91, terceiro andar, apartamento 31, no centro de Joinville, entre o Hotel Tannenhof e a Loja16Windows Remote Procedure Call - e um servico que e registrado com um trojan, permitindo que atacantes
acesse remotamente uma maquina.
4.6 Instalacao do Honeypot em uma rede sem fio 802.11 78
Notebook Century. Possui como principais caracterısticas a utilizacao de sistema operacional
OpenBSD em conjunto com o Honeypot Honeyd. Esta configuracao foi escolhida pelo fato do
trabalho de (FRANCA, 2005) utilizar esta configuracao, mantendo-se o mesmo padrao.
Entao, para a implementacao deste Honeypot, foram requeridos os seguintes recursos de
hardware: processador Pentium II (200 MHz) com 32 Mb de memoria RAM, disco rıgido com
1 Gb de espaco e uma placa de rede Realtek 8029 com velocidade de 10 Mb. A placa de rede
ficou conectada a um Ponto de Acesso LG LW2205 do padrao 802.11b. Observa-se que nao
sao necessarios muitos recursos de hardware para se implementar o Honeypot.
Para o correto funcionamento do Honeypot, foram necessarias instalacoes e configuracoes
de alguns sistemas, para ajuste das personalidades a serem assumidas pelos Honeypots simula-
dos:
• OpenBSD 3.9 e o sistema operacional da maquina;
• Arpd e responsavel por fazer a maquina conseguir emular varios enderecos IPs, respon-
dendo as requisicoes arp;
• Honeyd e o Honeypot utilizado neste trabalho.
Alem disso, o acompanhamento do funcionamento da maquina e necessario, pois ela esta
sujeita a falhas de hardware e software, sendo interessante realizar avaliacoes rotineiras para
verificar o correto funcionamento do sistema e de seus componentes(FRANCO; MONTES, 2004),
bem como a geracao dos logs.
Como a maquina esta conectada somente ao Ponto de Acesso, garante-se que apenas ata-
ques pela rede sem fio ocorrem. Sendo assim, todos os registros gerados nos arquivos de log sao
provenientes de atividades maliciosas originarias da rede sem fio, via Ponto de Acesso 802.11b.
Assim, e possıvel capturar dados sobre ataques ocorridos em redes sem fio 802.11. Com
base nos dados capturados pelo Honeyd instalado na rede 802.11, tornou-se possıvel uma
analise dos registros armazenados nos arquivos de log.
4.7 Resultados da Analise 79
4.7 Resultados da Analise
A partir da analise dos dados capturados no perıodo de 19 a 30/10/2006, observou-se que
o protocolo UDP foi o protocolo mais utilizado para efetuar os ataques. Isso pode ser observado
atraves da figura 28, que apresenta o comparativo sobre o numero de conexoes efetuadas por
protocolo de comunicacao. Cerca de 95% das conexoes sao estabelecidas via protocolo UDP.
Como a maioria dos ataques foi utilizando o protocolo UDP, e o Honeyd registra o Sistema
Operacional utilizado pelo atacante apenas quando e utilizado o protocolo TCP, o parametro
Sistema Operacional nao serve para analise. Os poucos ataques utilizando protocolo TCP foram
originados na implementacao do Honeyd, para testar o funcionamento do servidor.
Figura 28: Grafico dos Protocolos utilizados nos ataques
Apenas sao utilizados registros a partir do dia 23/10/2006, pois nos dias anteriores utilizou-
se enderecos de IP classe A(10.x.x.x) nos Honeypots, e nao foram registrados ataques. Somente
apos a alteracao para enderecos de IP classe C(200.x.x.x) que comecaram a ser registrados
ataques aos Honeypots, sendo que a classe C e o padrao utilizado pelo MS-Windows.
Com base nos numeros da figura 28, observa-se que durante o perıodo de 23 a 30/10/2006
4.7 Resultados da Analise 80
foram registrados 1893 ataques, concluindo-se uma media de 236 ataques diarios durante os
oito dias aqui avaliados. Porem, ao observar o grafico apresentado na figura 29, se percebe que
no dia 27/10/2006(sexta-feira), que houve um pico de 1478 ataques, fazendo com que esta
media fosse elevada.
Figura 29: Grafico dos Ataques por Data
Com um desvio padrao de 505, pode-se observar uma grande dispersao dos dados, e o pico
de 1478 ataques em 27/10/2006, ilustra muito bem essa dispersao exibida na figura 29. Desse
modo, a media de 236 ataques diarios nao e relevante, pois e elevada devido ao pico de 1478
ataques do dia 27/10/2006. No grafico da figura 30 podem ser analisadas tambem o numero
de ataques em relacao aos horarios.
4.7 Resultados da Analise 81
Figura 30: Grafico dos Ataques por Hora
Observa-se tambem que o maior numero de ataques ocorreu por volta das 19 horas, horario
de saıda de empresas, e de saıda e entrada de alunos de escolas, faculdades, enfim, um horario
de grande movimento no centro de Joinville. Fato que justifica o maior numero de ataques neste
horario em uma rede sem fio no centro da cidade.
Na figura 31, constata-se que o ataque originario do IP 169.254.218.89 foi o que mais re-
alizou atividades maliciosas nos Honeypots: 828 ataques. Vale ressaltar que o endereco de IP
169.254.x.x e utilizado quando a maquina esta configurada para obter um endereco de IP por
DHCP, e nao encontra um servidor DHCP, entao o MS-Windows XP Professional atribui este
IP a maquina atraves da funcionalidade Automatic Private IP Addressing. Isto ocorreu porque
o atacante deixou configurado para obter o IP dinamicamente, mas o Ponto de Acesso utilizado
nos experimentos nao possui o servico de servidor DHCP, entao assumiu um IP 169.254.x.x.
Deste modo, os 828 ataques originarios do IP 169.254.218.89 nao sao necessariamente do
mesmo atacante, pois pode ser qualquer estacao que estava configurada para obter conexao
por DHCP.
4.7 Resultados da Analise 82
Figura 31: Grafico do numero de registros por Atacante
Com relacao as portas atacadas, o grafico da figura 32 mostra que a porta 137 e a que mais
sofreu ataques, cerca de 45%, e a figura 33 mostra o relatorio da ferramenta de auxılio com
relacao a esta porta. Foi contatado tambem que esta foi a porta mais procurada tambem pelo
atacante 169.254.218.89, que foi o que mais atacou os Honeypots. A porta 137 esta associada ao
servico WINS(Windows Internet Naming Service), e e vulneravel a uma falha que pode permitir
que um atacante possa executar um codigo malicioso na maquina, conforme e explicado no
relatorio.
4.7 Resultados da Analise 83
Figura 32: Grafico dos Ataques por Porta
Figura 33: Relatorio de vulnerabilidades da porta 137
A associacao de um Listener a porta 137 capturando dados, poderia identificar com cla-
reza se estes registros associados a ela se tratam de tentativa de execucao de codigo malicioso,
4.8 Consideracoes 84
ou uma simples tentativa de uma maquina utilizando MS-Windows em busca de outras. A
utilizacao do Listener pode ser feita em um trabalho futuro, pois nao e foco deste trabalho.
4.8 Consideracoes
A analise dos logs dos Honeyd em rede guiadas nao difere da analise em redes sem fio,
porem, propicia identificar os servicos mais atacados. Isto possibilita o desenvolvimento de
Listeners, que confirmem o tipo de ataque, ou a tentativa de associacao a rede 802.11.
A partir dos numeros apresentados, pode-se concluir que a rede sem fio instalada no centro
de Joinville sofre atividades maliciosas e esta pratica acontece independentemente de algum
dia especıfico, embora a maioria dos ataques tenham ocorrido em uma sexta-feira. Tambem se
observou qu as atividades maliciosas foram focadas em enderecos IP de broadcast, procurando-
se por uma maquina disponıvel dentro da rede.
Dessa forma, e importante perceber a necessidade de manter um Honeypot em uma rede
sem fio por um perıodo maior para estudos mais aprofundados. Dessa forma, com um vo-
lume maior de registros armazenados em logs, existira uma base mais consistente para analises
relativas a ataques a este tipo de rede.
85
5 Consideracoes Finais
A revisao bibliografica da primeira fase deste trabalho(TCC-I) foi importante para embasar
o desenvolvimento e a implementacao pratica das atividades da fase final(TCC-II), e desta forma
conseguir implementar um Honeypot em uma rede sem fio IEEE 802.11 e analisar seus logs
atraves da ferramenta de auxılio desenvolvida neste trabalho. Os principais conceitos de redes
802.11 abordados, demonstraram a consolidacao deste tipo de rede no mercado, impulsionada
pela busca dos usuarios por mobilidade. Observando-se a falta de preocupacao com os dados
que trafegam, constatou-se a necessidade de estudo do comportamento malicioso neste tipo de
rede.
Os Honeypots ja demonstraram seu sucesso em redes guiadas, auxiliando no estudo de
ataques. Os resultados obtidos com os Honeypots sao de grande valia para a comunidade de
seguranca, ajudando a entender o comportamento dos atacantes. Desse modo, constata-se a im-
portancia da analise dos logs gerados pelos Honeypots. Como este mecanismo e pouco aplicado
e pesquisado nas redes sem fio, este trabalho propos sua implementacao em uma rede 802.11
para suprir a necessidade de estudo de ataques a este tipo de rede.
O estudo da analise de logs e importante, tendo em vista o pouco estudo neste assunto e
a deficiencia nas ferramentas que auxiliem na analise dos logs dos Honeypots. Deste modo, a
metodologia e a ferramenta de auxılio a analise de logs se propos a facilitar o trabalho de analise
de logs.
A implementacao do Honeypot em uma rede 802.11 no centro de Joinville, mostrou a
existencia de atividades maliciosas neste tipo de rede, existindo em media 276 ataques diarios.
O pico de ataques ocorreu no por volta das 19 horas, horario de saıda de empresas, e de saıda e
5 Consideracoes Finais 86
entrada de alunos de escolas, faculdades, enfim, um horario de grande movimento no centro de
Joinville. Fato que justifica o maior numero de ataques neste horario em uma rede sem fio no
centro da cidade. Uma sugestao para trabalho futuro e a manutencao de um Honeypot em uma
rede 802.11 por um perıodo maior, para que mais dados possam ser capturados, gerando uma
base de conhecimento maior.
O desenvolvimento de uma ferramenta que auxilie na analise dos logs procurou suprir a
deficiencia de ferramentas, como o Honeydsum, que existem para este fim. Com base na de-
ficiencia observada, a ferramenta proposta neste trabalho visou permitir que o especialista res-
ponsavel pela analise dos logs possa exercer seu trabalho de modo facilitado. Sendo assim,
alem de mostrar graficos estatısticos em relacao aos ataques efetuados no Honeyd, ela permite
que sejam efetuados filtros que facilitem a analise dos logs. O especialista que efetuar analises
com esta ferramenta podera filtrar os logs, por IP, por porta, por protocolo, por Sistema Opera-
cional e por Data. Todos os requisitos do apendice B foram atendidos, e adicionalmente, foram
tambem disponibilizados: relatorio exibindo as vulnerabilidades associadas a porta atacada, e
a exibicao dos logs do script de emulacao do servico WinRPC. As dependencias da ferramenta
podem ser observadas no apendice C.
A ferramenta se mostrou bastante eficaz no auxılio a analise de logs efetuada na secao 4.7,
que estudou os ataques ocorridos no Honeypot implementado na rede 802.11. Os resultados
analisados comprovam a utilidade da ferramenta, e mostra que ela pode contribuir suprindo as
deficiencias de outras ferramentas voltadas para este fim, como por exemplo o Honeydsum.
Alem disso, observou-se que a ferramenta pode ser utilizada nao apenas em logs de Honeyd em
redes sem fio, mas tambem de redes guiadas, pois sao registros similares.
A ferramenta e capaz tambem de efetuar analise automatizada de logs, buscando por ataques
de varredura, sejam ataques em busca de portas de acesso abertas em uma maquina, ou em busca
de uma porta especıfica em varias maquinas. Outros tipos de analise automatizada necessitariam
da utilizacao de algoritmos complexos, que podem ser tema de trabalhos futuros. Adicionou-
se ao escopo do trabalho a leitura dos logs do servico emulado WinRPC pelo Honeyd, para
5 Consideracoes Finais 87
auxiliar de maneira mais completa o usuario da ferramenta. Para trabalhos futuros, podem ser
adicionadas funcionalidades de leitura de outros servicos emulados pelo Honeyd como, por
exemplo, de FTP e Telnet.
E importante salientar que a falta de materiais relacionados a analise de logs de Honeypot
dificultou o andamento do trabalho, mas com as pesquisas em materiais sobre arquivos de logs
somadas aos materiais sobre Honeypots possibilitaram que essa falta fosse suprida. Alem disso,
existiram problemas iniciais no desenvolvimento da ferramenta em busca de uma biblioteca para
criacao de graficos dinamicos em PHP, que foi utilizada para o desenvolvimento, e tambem
ocorreram atrasos na implementacao do Honeypot em uma rede sem fio devido a problemas
de disponibilidade de hardware para a instalacao. Mas estes problemas foram contornados
possibilitando que as atividades fossem executadas.
A banca examinadora e o orientador deste trabalho chegaram ao consenso de que este este
trabalho precisava de ajustes, sendo que alguns objetivos especıficos, que podem ser observados
no apendice E, fossem retirados do escopo do trabalho, de modo a viabilizar a conclusao deste
projeto dentro de seus prazos sem comprometer o objetivo geral. Desse modo, os objetivos
especıficos mantidos e adaptados podem ser observados no apendice F.
O desenvolvimento de Listeners para tirar conclusoes sobre o exato tipo de ataque ocorrido,
ou a tentativa de associacao a rede 802.11 e um possıvel trabalho futuro. Este trabalho nao
abrangeu o desenvolvimento de Listeners por nao serem objetivo do trabalho, e serem necessaria
pesquisas a parte, pois cada ataque/servico exigiria pesquisa para o seu desenvolvimento.
Atraves deste trabalho, que e continuidade de (FRANCA, 2005), espera-se incentivar o de-
senvolvimento de trabalhos futuros relacionados aos Honeypots, que sao um tipo de mecanismo
de seguranca fortemente ligado a Ciencia da Computacao, disciplina responsavel por formar
profissionais direcionados a pesquisa. Como a pesquisa e uma das finalidades dos Honeypots,
sua ligacao com a Ciencia da Computacao e observada de forma clara e direta, viabilizando e
incentivando o desenvolvimento de trabalhos futuros relacionados a este tema interessante.
88
Referencias Bibliograficas
AIRES, R. V. X.; ALUISIO, S. M. Como incrementar a qualidade dos resultados das maquinasde busca: da analise de logs a interacao em portugues. Ci. Inf., Brasilia, 2003.
ANATEL. Resolucao n.o 397. Disponıvel em:<http://www.anatel.gov.br/Tools/frame.asp?link=/biblioteca/resolucao/2005/res 397 2005.pdf>. Acesso em: 5 mai. 2006. 2005.
ANATEL. Plano de destinacao de faixas de frequencia. Disponıvel em:<http://sistemas.anatel.gov.br/pdff/Consulta/NotaConsulta.asp?inpCodNota=5.446A>.Acesso em: 13 abr. 2006. 2006.
ANATEL. Plano de destinacao de faixas de frequencia 2400 - 2450MHz. Disponıvel em:<http://sistemas.anatel.gov.br/ pdff/Consulta/FreqConsulta.Asp?inpNumFaixa=725&intPagina=19&intLivro=1>. Acesso em: 13 abr. 2006. 2006.
ANATEL. Plano de destinacao de faixas de frequencia 2450 - 2483,5MHz. Disponıvel em:<http://sistemas.anatel.gov.br/ pdff/Consulta/FreqConsulta.Asp?inpNumFaixa=727&intPagina=19&intLivro=11>. Acesso em: 13 abr. 2006. 2006.
BABBIN, J. et al. Security Log Management: Identifying Patterns in the Chaos. [S.l.]:Syngress Publishing, 2006. ISBN 1597490423.
BARUFFI, H. A metodologia cientıfica e a ciencia do direito: roteiro basico para elaboracaode trabalhos academicos e monografia jurıdica. [S.l.]: Dourados : Evangraf ; Chapeco,SC :Unoesc, 1998.
BRAZILIAN.HONEYPOTS.ALLIANCE. Distributed honeypots project. Disponıvel em:<http://www.honeypots-alliance.org.br/>. Acesso em: 8 mai. 2006. 2006.
CERT.BR. Praticas de seguranca para administradores de redes internet. Disponıvel em:<http://www.cert.br/docs/seg-adm-redes/>. Acesso em: 24 set. 2006. 2003.
CONSORTIUM(W3C), W. W. W. Extensible markup language(xml). Disponıvel em:<http://www.w3.org/XML/>. Acesso em: 7 mai. 2006. 1996.
CONSORTIUM(W3C), W. W. W. Log analysis tools. Disponıvel em:<http://www.w3.org/WCA/loganalysis-tools.html>. Acesso em: 29 mai. 2006. 1999.
DIEBOLD, P.; HESS, A.; SCHAFER, G. A honeypot architecture for detecting and analyzingunknown network attacks. 14th Kommunikation in Verteilten Systemen, 2005.
EDNEY, J. Real 802.11 Security: Wi-Fi Protected Access and 802.11i. [S.l.]: Addison Wesley,2003. ISBN 0321136209.
Referencias Bibliograficas 89
ESCAMILLA, T. Intrusion Detection: Network Security beyond the Firewall. [S.l.]: JohnWiley & Sons, 1998. ISBN 0471290009.
FARMER, D.; VENEMA, W. The coroner’s toolkit (tct). Disponıvel em:<http://www.porcupine.org/forensics/tct.html>. Acesso em: 7 jun. 2006. 1999.
FLECK, B.; POTTER, B. 802.11 Security. [S.l.]: O’ Reily, 2002. ISBN 0596002904.
FLICKENGER, R. Building Wireless Community Networks. [S.l.]: O’ Reily, 2002. ISBN1578203015.
FONSECA, P. A. S. C. da. Dissertacao de mestrado: Consideracoes sobre lans e wlans: Umaproposta para um centro cultural. Universidade Federal de Santa Catarina – UFSC, PortoVelho, Brasil, 2001.
FRANCA, L. A. Monografia: Estudo de Honeynets para implementacao do projeto honeynet.brno cct/udesc. Universidade do Estado de Santa Catarina – UDESC, Joinville, Brasil, 2005.
FRANCESCHINELLI, D. A. Dissertacao de mestrado: Estudo comparativo dos aspectos deseguranca em redes wwan, wlan e wpan. Universidade Estadual de Campinas – UNICAMP,Campinas, Brasil, 2003.
FRANCO, L. H. Honeydsum v. 0.3 readme. Disponıvel em:<www.honeynet.org.br/tools/honeydsum/README-v0.3.txt>. Acesso em: 30 mai. 2006.2004.
FRANCO, L. H.; MONTES, A. Procedimentos e ferramentas para manutencao de honeypotsde alta interatividade. I WorkComp Sul - Unisul - Universidade do Sul de Santa Catarina,Florianopolis, Brasil, 2004. Disponıvel em:<http://www.honeynet.org.br/papers/honeypot-workcomp2004.pdf>. Acesso em: 27 ago.2006.
FREITAG, J. Dissertacao de mestrado: Provisao de qualidade de servico em redes ieee 802.11.Universidade Estadual de Campinas – UNICAMP, Campinas, Brasil, 2004.
GAST, M. 802.11 Wireless Networks: The Definitive Guide. [S.l.]: O’ Reily, 2005. ISBN0596002041.
GEIER, J. Eirp limitations for 802.11 wlans. Wi-Fi Planet, 2002. Disponıvel em:<http://www.wi-fiplanet.com/tutorials/article.php/1428941>. Acesso em: 5 mai. 2006.
GIUSEPPINI, G.; BURNETT, M. Microsoft Log Parser Toolkit. [S.l.]: Syngress Publishing,2004. ISBN 1932266526.
HOLZ, T. More about attack patterns with honeypots. Lecture Notes in Informatics Proceedingsof Sicherheit(German Honeynet Project), 2006.
HONEYD. Sample configurations. Disponıvel em:<http://honeyd.org/configuration.php>. Acesso em: 30 out. 2006. 2003.
HONEYD. Honeyd manpages. Disponıvel em:<http://www.citi.umich.edu/u/provos/honeyd/honeyd-man.pdf>. Acesso em: 21 mai. 2006.2006.
Referencias Bibliograficas 90
HONEYNET, P. The Honeynet Project: Conheca seu Inimigo. [S.l.]: Makron Books, 2002.ISBN 8534614199.
HONEYNET.BR. Classified: Summary: 2006-05-08: Merged. Mensagem Recebida por:<[email protected]>. Data de recebimento: 8 mai. 2006. 2006.
HONEYNET.BR. Consorcio honeynet.br. Disponıvel em:<http://www.honeynet.org.br>. Acesso em: 05 nov. 2006. 2006.
HOPPER, I. Secret service agents probe wireless networks in washington. Disponıvel em:<http://www.securityfocus.com/news/899>. Acesso em: 23 abr. 2006. 2006.
IEEE. About the ieee. Disponıvel em:<http://www.ieee.org/web/aboutus/home/index.html>. Acesso em: 7 abr. 2006. 2006.
IEEE. Ieee 802.11. Disponıvel em:<http://standards.ieee.org/getieee802/802.11.html>. Acesso em: 13 abr. 2006. 2006.
MANAGEENGINE. Manageengine firewall analyzer 4. Disponıvel em:<http://manageengine.adventnet.com/products/firewall/>. Acesso em: 29 mai. 2006. 2006.
MARCELO, A.; PITANGA, M. Honeypots: A arte de iludir hackers. [S.l.]: Brasport, 2003.ISBN 8574521485.
MENEZES, A. J.; OORSCHOT, P. C. van; VANSTONE, S. A. Hand Book on AppliedCryptography. [S.l.]: CRC Press, 2001. ISBN 0071410880.
MOORE, D.; VOELKER, G.; SAVAGE, S. Inferring internet denial of service activity.USENIX Security Symposium, 2001.
MULLER, N. J. Wireless: A to Z. [S.l.]: McGraw-Hill, 2003. ISBN 0071410880.
NEVILLE, A. Ids logs in forensics investigations: An analysis of a compromised honeypot.Disponıvel em:<http://www.securityfocus.com/infocus/1676>. Acesso em: 30 mai. 2006. 2003.
OHRTMAN, F.; ROEDER, K. Wi-Fi Handbook: Building 802.11b Wireless Networks. [S.l.]:McGraw-Hill, 2003. ISBN 0071412514.
OUDOT, L. Wireless honeypot countermeasures. Disponıvel em:<http://www.securityfocus.com/infocus/1761>. Acesso em: 30 out. 2006. 2006.
PEIXOTO, J. de F. Honeynet: Um ambiente para analise de intrusao. Universidade EstadualPaulista – UNESP, Sao Jose do Rio Preto, Brasil, 2002.
PEREIRA, M. C. Dissertacao de mestrado: Analise de desempenho em redes wireless ad-hoce estabelecimento de um acordo de nıvel de servico pro-ativo. Universidade Federal de SantaCatarina – UFSC, Florianopolis, Brasil, 2004.
PINHEIRO, E. J. F. Monografia: Analise de usabilidade do pmbok easy. Universidade Federalde Pernambuco – UFPE, Recife, Brasil, 2005.
REYNOLDS, J. Going Wi-Fi: A Practical Guide to Planning and Building an 802.11 Network.[S.l.]: CMP Books, 2003. ISBN 1578203015.
Referencias Bibliograficas 91
RIBAS, J. C. Dissertacao de mestrado: Perfil de link sem fio em ambiente aberto: Avaliacaoatraves de medicoes. Universidade Federal de Santa Catarina – UFSC, Florianopolis, Brasil,2002.
RISTA, L. C. G. Dissertacao de mestrado: Uma abordagem de monitoracao wireless em umambiente de cluster com alta disponibilidade. Universidade Federal de Santa Catarina – UFSC,Florianopolis, Brasil, 2005.
ROJAS, G. A. Monografia: Analise de intrusoes atraves de honeypots e honeynets. Faculdadede Tecnologia – FATEC, Americana, Brasil, 2003.
ROSHAN, P.; LEARY, J. 802.11 Wireless LAN Fundamentals. [S.l.]: Cisco Press, 2003. ISBN1587050773.
SCHNEIER, B. Secrets and Lies: Digital Security in a Networked World. [S.l.]: John Wiley &Sons, 2000. ISBN 0471253111.
SCHNEIER, B.; KELSEY, J. Secure audit logs to support computer forensics.ACM Transactions on Information and System Security, 1999. Disponıvel em:<http://www.schneier.com/paper-auditlogs.html>. Acesso em: 06 mai. 2006.
SCHOOLS, W. Xml tutorial. Disponıvel em:<http://www.w3schools.com/xml/default.asp>. Acesso em: 7 mai. 2006. 1999.
SILVA, F. C. Principais unidade de medidas wireless. Disponıvel em:<http://tecnociencia.com.br/revista/index.php?option=com content&task=view&id=511>.Acesso em: 06 jun. 2006. 2006.
SOLHA, L. E. V. A. Os logs como ferramenta de deteccao de intrusao. Disponıvel em:<http://www.rnp.br/newsgen/9905/logs.html>. Acesso em: 06 mai. 2006. 1999.
SOUZA, A. Z. T. de; GREGIO, A. R. A.; PALHARES, C. T. Uma visao sobre a (in)segurancadas redes sem fio na cidade de sao paulo. Grupo de Trabalho de Engenharia e Operacao deRedes (GTER), 2004.
SPITZNER, L. Honeypots: Tracking Hackers. [S.l.]: Addison-Wesley, 2002. ISBN0321108957.
SPITZNER, L. Open source honeypots: Learning with honeyd. Disponıvel em:<http://www.securityfocus.com/infocus/1659>. Acesso em: 21 mai. 2006. 2003.
SPITZNER, L. Open source honeypots, part two: Deploying honeyd in the wild. Disponıvelem:<http://www.securityfocus.com/infocus/1675>. Acesso em: 31 mai. 2006. 2003.
SUBURBIA. Wardriving. Disponıvel em:<http://suburbia.sindominio.net/article.php3?id article=127>. Acesso em: 14 mai. 2006.2004.
TALABIS, R. Honeypots 101: A brief history of honeypots. Disponıvel em:<http://www.philippinehoneynet.org/docs/Honeypot101 history.pdf>. Acesso em: 8 mai.2006. 2006.
Referencias Bibliograficas 92
TANENBAUM, A. S. Redes de Computadores. [S.l.]: Campus, 1997. ISBN 8535201572.
TELECO. Wlan/wi-fi. Disponıvel em:<http://www.teleco.com.br/wifi.asp>. Acesso em: 13 abr. 2006. 2006.
TZU, S. The Art of War. [S.l.]: Shambhala Press, 1991.
VIRTI, E. S.; TAROUCO, L.; BERTHOLDO, L. M. O perfil da seguranca na internet atravesda analise das estatısticas do consorcio brasileiro de honeypots. Disponıvel em:<ftp://ftp.registro.br/pub/gts/gts0105/01-HoneynetResult.pdf>. Acesso em: 30 mai. 2006.2005.
WATSON, E. Wireless history. Disponıvel em:<http://wiki.media-culture.org.au/index.php/Wireless History>. Acesso em: 19 fev. 2006.2004.
93
ANEXO A -- Classified: SUMMARY: 2006-05-08:UDESC
#################################
NAO REDISTRIBUA ESTA MENSAGEM PARA PESSOAS QUE NAO FACAM PARTE
DESTA LISTA, A MENOS QUE O AUTOR EXPLICITAMENTE AUTORIZE A SUA RE-
DISTRIBUICAO
#################################
Subject: [honeyd-l] SUMMARY: 2006-05-07: UDESC Date: Mon, 8 May 2006 01:56:53 -0300
From: honeyd-l summary agent <summaryhoneynet.org.br>
Reply-To: honeyd-lhoneynet.org.br
To: honeyd-lhoneynet.org.br
### ### Packet Count ###
Total packets: 12532
Size: 290.3K
TCP: 7988 (63.74%) ( 260 unique IPs)
UDP: 4044 (32.27%) ( 11 unique IPs)
ICMP: 500 (03.99%) ( 197 unique IPs)
other: 0 (00.00%)
Anexo A -- Classified: SUMMARY: 2006-05-08: UDESC 94
### ### top country level domains (CC: unique IPs count) ###
BR: 115
US: 92
TW: 86
CN: 39
DE: 38
KR: 13
CL: 7
CO: 4
AR: 4
IT: 4
PT: 3
MX: 3
FR: 3
HK: 2
CA: 2
VE: 2
RO: 2
PE: 2
GB: 1
CR: 1
### ### top src OS (count: OS) ###
688: Windows XP SP1, Windows 2000 SP4
Anexo A -- Classified: SUMMARY: 2006-05-08: UDESC 95
552: unknown
398: Linux 2.6 .1-7, Linux 2.4
197: Windows XP SP1, Windows 2000 SP2+
85: Windows XP SP1, Windows 2000 SP3
52: Windows XP, Windows 2000 SP2
22: Windows NT 4.0
22: Windows 98
4: Windows 2000 RFC1323, Windows XP RFC1323
3: Windows 95
3: OpenBSD 3.0-3.7 no-df
### ### top tcp src host (ip (CC): count OS) ###
61.62.150.159 (TW): 254 Windows XP SP1, Windows 2000 SP4
82.58.7.92 (IT): 245 unknown
66.249.65.205 (US): 160 Linux 2.6 .1-7, Linux 2.4
82.59.58.64 (IT): 111 unknown
61.230.5.26 (TW): 99 unknown
201.30.32.255 (BR): 71 Windows XP SP1, Windows 2000 SP4
59.40.34.160 (CN): 60 Windows XP SP1, Windows 2000 SP4
24.93.192.115 (US): 48 Linux 2.6 .1-7, Linux 2.4
66.96.29.36 (CA): 38 Windows XP SP1, Windows 2000 SP4
222.122.151.201 (KR): 35 Windows XP, Windows 2000 SP2
83.103.197.197 (RO): 32 Linux 2.6 .1-7, Linux 2.4
220.139.94.87 (TW): 32 Windows XP SP1, Windows 2000 SP3
61.228.147.201 (TW): 32 Windows XP SP1, Windows 2000 SP3
200.176.128.165 (BR): 32 Windows XP SP1, Windows 2000 SP4
Anexo A -- Classified: SUMMARY: 2006-05-08: UDESC 96
69.62.139.23 (US): 29 unknown
200.91.86.194 (CR): 29 Windows XP SP1, Windows 2000 SP4
220.120.129.97 (KR): 28 Windows XP SP1, Windows 2000 SP3
201.35.134.231 (BR): 27 Windows XP SP1, Windows 2000 SP2+
24.154.70.54 (US): 26 Windows XP SP1, Windows 2000 SP2+
216.127.94.49 (US): 25 Linux 2.6 .1-7, Linux 2.4
### ### top tcp dst port and dst net target (port: count) ###
80: 962
1080: 287
25: 161
1433: 145
57: 105
8080: 101
21: 61
22: 48
3372: 38
3389: 38
6588: 26
41523: 26
443: 11
3306: 8
2100: 3
1025: 3
8000: 1
3128: 1
Anexo A -- Classified: SUMMARY: 2006-05-08: UDESC 97
8888: 1
### ### top udp src host (ip (CC): packet count) ###
57.61.61.63 (FR): 57
144.172.243.215 (US): 7
221.203.145.29 (CN): 5
174.99.49.9 (XX): 5
200.171.10.117 (BR): 4
221.203.189.44 (CN): 2
### ### top udp dst port and dst net target (port: count) ###
1028: 16
1030: 15
1029: 14
1032: 12
1031: 11
1025: 7
53: 4
2: 1
### ### top icmp src host (ip (CC): packet count) ###
82.58.7.92 (IT): 32
Anexo A -- Classified: SUMMARY: 2006-05-08: UDESC 98
82.59.58.64 (IT): 8
201.2.152.153 (BR): 6
195.90.114.17 (RO): 5
221.238.222.221 (CN): 3
59.104.196.250 (TW): 2
88.65.3.234 (DE): 2
59.104.196.212 (TW): 2
59.104.196.99 (TW): 2
59.104.196.100 (TW): 2
59.104.196.152 (TW): 2
59.104.196.141 (TW): 2
70.126.69.251 (US): 2
88.65.3.78 (DE): 2
59.104.196.16 (TW): 2
59.104.196.208 (TW): 2
59.104.196.30 (TW): 2
88.65.3.102 (DE): 2
59.104.196.11 (TW): 2
88.65.3.241 (DE): 2
#################################
NAO REDISTRIBUA ESTA MENSAGEM PARA PESSOAS QUE NAO FACAM PARTE
DESTA LISTA, A MENOS QUE O AUTOR EXPLICITAMENTE AUTORIZE A SUA RE-
DISTRIBUICAO
#################################
– honeyd-l mailing list [email protected]
https://listas.cert.br/mailman/listinfo/honeyd-l
99
APENDICE A -- Resultados da Analise do Honeydna rede guiada
A partir da analise dos dados capturados no perıodo de 23 a 30/04/2006, observou-se que
o protocolo TCP foi o protocolo mais utilizado para efetuar os ataques. Isso pode ser observado
atraves da figura 34, que apresenta o comparativo sobre o numero de conexoes efetuadas por
protocolo de comunicacao. Cerca de 95% das conexoes sao estabelecidas via protocolo TCP.
Figura 34: Grafico dos Protocolos utilizados nos ataques
Com base nos numeros da figura 34, observa-se que durante o perıodo de 23 a 30/04/2006
foram registrados 32327 ataques, concluindo-se uma media de 4040 ataques diarios durante os
oito dias aqui avaliados. Porem, ao observar o grafico apresentado na figura 35, se percebe que
Apendice A -- Resultados da Analise do Honeyd na rede guiada 100
no dia 29/04/2006(sexta-feira), que houve um pico de 7380 ataques, fazendo com que esta
media fosse elevada.
Figura 35: Grafico dos Ataques por Data
Pelo grafico da figura 36, observa-se que durante o dia ocorre um numero menor de ataques
em relacao a noite. Isso se explica pelo fato dos usuarios da Internet fazerem maior uso fora do
horario comercial, quando nao estao no trabalho ou na escola.
Apendice A -- Resultados da Analise do Honeyd na rede guiada 101
Figura 36: Grafico dos Ataques por Hora
Na figura 37, constata-se que o ataque originario do IP 148.208.131.4 foi o que mais reali-
zou atividades maliciosas nos Honeypots: 1530 ataques. Este Endereco de IP e de utilizacao no
Mexico.
Apendice A -- Resultados da Analise do Honeyd na rede guiada 102
Figura 37: Grafico do numero de registros por Atacante
Com relacao as portas atacadas, o grafico da figura 38 mostra que a porta 80 e a que mais
sofreu ataques, cerca de 45%, e a figura 39 mostra o relatorio da ferramenta de auxılio com
relacao a esta porta. A porta 80 esta associada ao servico HTTP, e e vulneravel a varias falhas,
conforme e explicado no relatorio.
Apendice A -- Resultados da Analise do Honeyd na rede guiada 103
Figura 38: Grafico dos Ataques por Porta
Figura 39: Relatorio de vulnerabilidades da porta 80
A associacao de um Listener a porta 80 capturando dados, poderia identificar com clareza
a qual falha estes ataques se destinaram. A utilizacao do Listener pode ser feita em um trabalho
Apendice A -- Resultados da Analise do Honeyd na rede guiada 104
futuro, pois nao e foco deste trabalho.
105
APENDICE B -- Especificacao de Requisitos deSoftware
B.1 Introducao
A ferramenta especificada neste documento visa permitir que uma pessoa que nao sejaespecialista em analise de logs seja capaz de efetua-la em registros gerados por um Honeypot.Dessa forma a ferramenta se caracteriza por auxiliar na analise dos logs do Honeyd.
B.1.1 Objetivo Geral
Esta Especificacao visa definir como a ferramenta de auxılio a analise dos logs deve serconstruıda.
B.1.2 Objetivos Especıficos
A ferramenta que sera construıda sob o nome Honeydog visa o auxılio a analise dos logs deum Honeyd. Ela permitira que a analise seja efetuada de modo facilitado com a utilizacao defiltros, graficos e relatorios. Alem disso ela efetuara analise automatizada em busca de ataquesde varredura.
B.1.3 Referencias
CERT: Computer Emergency Readiness Team. Disponıvel em: < htt p : //www.cert.org/tech tips/
home networks.html >. Acesso em 20 dez. 2005, 2005.
DIAS, C. Seguranca e Auditoria da Tecnologia da Informacao. Axcel Books, 2000.
FLECK, B., POTTER, B. 802.11 Security. O´Reilly, 2002.
106
FRANCA, L. Estudo de honeynets para implementacao do projeto Honeypot.Br no CCT/UDESC.UDESC, 2005.
HOLZ, T. Learning More About Attack Patterns With Honeypots. Lecture Notes in InformaticsProceedings of Sicherheit(German Honeynet Project), 2006.
HONEYNET.BR: Brazillian Honeypots Alliance. Disponıvel em: < htt p : //www.honeypots−alliance.org.br >. Disponıvel em: 18/02/2006, 2006.
SCHNEIER, B. Seguranca.com: segredos e mentiras sobre a protecao na vida digital. Cam-pus, 2001.
SPITZNER, L. Honeypots: Tracking Hackers. Addison Wesley, 2002.
B.1.4 Visao Geral
Esta Especificacao de Requisitos engloba as principais caracterısticas da ferramenta Ho-neydog para torna-la capaz de auxiliar na analise de logs de um Honeyd. Este documento eparte de um planejamento para que a ferramenta cumpra seus objetivos e que sua construcao jaesteja planejada desde o inıcio.
B.2 Descricao Global
B.2.1 Aspecto Geral do Produto
Ja existem ferramentas que auxiliam na analise dos logs do Honeyd, como por exemplo oHoneydsum1. Mas ela so traz informacoes estatısticas, e de configuracoes, alem de serem limi-tados em relacao ao desempenho(Honeydsum e desenvolvido em Perl, e seu baixo desempenhoem termos de velocidade e performance), e nao possuem saıdas alternativas, nao sendo flexıvelneste ponto. Alem disso, nao mostram todas as informacoes de modo resumido.
Atraves dos logs do Honeyd e possıvel que sejam efetuados filtros que facilitem a analisedos logs. O especialista que efetuar analises pode precisar filtrar os logs, por IP, por porta, porprotocolo, por Sistema Operacional, e por Data. Desse modo, a analise por parte do especialistaseria efetuada de modo facilitado, filtrando-se apenas as informacoes relevantes. E esta e ogrande diferencial proposto pela ferramenta deste documento.
1Honeydsum - Disponıvel em: <http://www.honeynet.org.br/tools/>
107
B.2.2 Funcoes do Produto
A ferramenta que sera construıda sob o nome Honeydog visa o auxılio A analise dos logs
de um Honeyd.
•Somente usuarios com autorizacao poderao utilizar a ferramenta atraves de login e senhaadquiridos junto ao administrador do sistema;
•O usuario vai poder adicionar quantos logs quiser, ou excluı-los em sua secao de login.Quando o usuario adicionar um log, o sistema automaticamente importara o log paraum banco de dados gerenciado por MySQL. Desse modo, a manipulacao dos logs serafacilitada;
•A tela dos logs permitira que o usuario escolha quais campos dos logs ele quer ver, po-dendo exibir/ocultar campos;
•Os filtros serao efetuados atraves de um clique sobre o campo a ser filtrado;
•O usuario vai poder fazer filtros nos logs por qualquer um dos campos que o log possua,combinando varios campos com operadores(AND, OR, XOR). Os filtros possıveis serao:
1.E igual a;
2.E diferente de;
3.E maior do que;
4.E maior ou igual a;
5.E menor do que;
6.E menor ou igual a;
7.Comeca com;
8.Nao comeca com;
9.Termina com;
10.Nao termina com;
11.Contem;
12.Nao Contem.
•A ferramenta vai ser capaz de efetuar uma analise automatizada em busca de ataques devarredura(sniffer);
•A ferramenta vai gerar graficos estatıticos com base nos logs;
108
B.2.3 Caracterısticas do Usuario
O usuario da ferramenta e qualquer pessoa interessada em analisar os logs do Honeyd.
B.2.4 Limites
Como se trata de uma ferramenta WEB, ela podera ser acessada por qualquer micro conec-tado a internet, por usuarios autorizados.
B.2.5 Suposicoes e Dependencias
A ferramenta sera construıda em php, com a utilizacao de um banco de dados MySQL,sendo necessaria a instalacao dos seguintes servicos no servidor:
•Apache 2;
•Php 3 ou 4;
•Phplot 5;
•Bibliotecas GD 1.2 - 1.8.3;
•MySQL 5;
B.3 Requisitos Especıficos
As telas exibidas nas figuras desta secao, sao esbocos da interface com o usuario paraatender aos requisitos da secao B.2.2. A tela principal pode ser observada na figura 40.
109
Figura 40: Tela Principal
A figura 41 e um esboco da tela de analise de logs, onde o usuario vai ter maior interacao,pois nela que serao visualizados os logs. Na tela da figura 42 que o usuario fara utilizacao defiltros para que apenas os logs de seu interesse sejam visualizados na tela 41.
Figura 41: Tela de Analise de Logs
110
Figura 42: Tela de Filtro de Logs
Interagindo com as telas das figuras 41 e 42, o usuario conseguira selecionar os dados quelhe sao uteis, combatendo a dificuldade de analisar arquivos de log com muitos registros. Afigura 43 e esboco da tela de exibicao de graficos estatısticos baseados nos dados dos logs, ecom ela o usuario tera uma visao resumida e simplificada sobre os logs.
111
Figura 43: Tela de Visualizacao de Graficos Estatıticos
112
APENDICE C -- Dependencias do Honeydog -Ferramenta de auxılio a analise doslogs de um Honeyd
A ferramenta foi desenvolvida com uma interface WEB, sendo construıda em php, com autilizacao de um banco de dados MySQL, sendo necessaria a instalacao dos seguintes servicosno servidor:
•Apache 2;
•Php 3 ou 4;
•Phplot 5;
•Bibliotecas GD 1.2 - 1.8.3;
•MySQL 5;
As dependencias podem ser observadas pelo diagrama da figura 44.
Apendice C -- Dependencias do Honeydog - Ferramenta de auxılio a analise dos logs de um Honeyd 113
Figura 44: Tela de visualizacao dos logs
114
APENDICE D -- Procedimento de Instalacao doHoneydog
O procedimento de instalacao do Honeydog e manual, sendo necessario que os passos aseguir sejam obedecidos.
1.Copiar o arquivo honeydog.tar.gz para a pasta dos documentos do servico http utilizado;
2.Descompactar o arquivo atraves do comando: tar -xzvf honeydog.tar.gz;
3.Acessar a linha de comando mysql atraves do comando: mysql−uroot−psenha do root;
4.Criar a base honeyd atraves do comando: create database honeyd;
5.Acessar a base criada: use honeyd;
6.Criar as tabelas hd Usuario, LOG, services, vulnerability, filtro, base com os comandosabaixo:
•CREATE TABLE honeyd.hd Usuario (nome VARCHAR( 255 ) NOT NULL ,login VARCHAR( 45 ) NOT NULL);
•CREATE TABLE honeyd.LOG (id LOG int( 11 ) NOT NULL AUTO INCREMENT ,base varchar( 20 ) NOT NULL ,data varchar( 12 ) NOT NULL ,hora varchar( 20 ) NOT NULL ,protocolo varchar( 8 ) NOT NULL ,permissao varchar( 3 ) default NULL ,iporigem varchar( 20 ) NOT NULL ,portorigem varchar( 8 ) default NULL ,ipdestino varchar( 20 ) NOT NULL ,
Apendice D -- Procedimento de Instalacao do Honeydog 115
portdestino varchar( 8 ) default NULL ,recurso varchar( 8 ) default NULL ,permissao2 varchar( 3 ) default NULL ,bytes varchar( 20 ) default NULL ,sistema varchar( 30 ) default NULL ,PRIMARY KEY ( id LOG ),KEY id LOG (id LOG));
•CREATE TABLE honeyd.services (service VARCHAR( 50 ) NOT NULL ,porta VARCHAR( 20 ) NOT NULL ,protocolo VARCHAR( 10 ) NOT NULL);
•CREATE TABLE honeyd.vulnerability (ds vulnerability VARCHAR( 2000 ) NOT NULL ,cve vulnerability VARCHAR( 50 ) NULL ,port vulnerability VARCHAR( 50 ) NULL);
•CREATE TABLE honeyd.filtro (id filtro int( 11 ) NOT NULL AUTO INCREMENT ,nm filtro VARCHAR( 50 ) NOT NULL ,oper VARCHAR( 4 ) NOT NULL ,campo VARCHAR( 12 ) NOT NULL,comparacao VARCHAR( 12 ) NOT NULL,dado VARCHAR( 40 ) NOT NULL,PRIMARY KEY ( id filtro ),KEY id filtro (id filtro));
•CREATE TABLE honeyd.base (nm base VARCHAR( 20 ) NOT NULL) ;
7.Inserir o usuario padrao do Honeydog na tabela de usuarios: insert into hd Usuario values(’honey dog’,’honey dog’);
8.Inserir o usuario do Honeydog na tabela de usuarios: insert into hd Usuario values(’usuario novo’,’usuario novo’);
9.Criar a base padrao dos logs: insert into base values (’default’);
Apendice D -- Procedimento de Instalacao do Honeydog 116
10.Criar o usuario padrao do honeydog no mysql: GRANT ALL PRIVILEGES ON *.*TO ’honey dog’@’localhost’ IDENTIFIED BY ’a@1’ WITH GRANT OPTION;
11.Criar o usuario do honeydog no mysql: GRANT ALL PRIVILEGES ON *.*TO ’usuario novo’@’localhost’ IDENTIFIED BY ’Defina aqui sua senha’ WITH GRANTOPTION;
12.Sair do mysql: quit;
13.Acessar a pasta dos scripts de instalacao atraves do browser de navegacao web:http://endereco-do-honeydog/install/
14.Executar o scripts CarregaVulnerabilidades.php e CarregaServices.php, que carregam abase da CVE para o Honeydog;
15.Instalacao concluıda. Basta agora acessar o Honeydog atraves do browser de navegacaoweb: http://endereco-do-honeydog/html/
117
APENDICE E -- Plano ANTIGO de Trabalho deConclusao de Curso (TCC)
Plano de Trabalho de Conclusao de Curso (TCC)
Tıtulo do Projeto: Desenvolvimento de uma ferramenta de analise dos logsgerados de Honeypot de Redes Sem Fio Padrao IEEE 802.11
UDESC - Universidade do Estado de Santa CatarinaCCT - Centro de Ciencias Tecnologicas
Departamento de Ciencia da ComputacaoBacharelado em Ciencia da Computacao
Turma Integral - 2006/01 - Joinville - Santa Catarina
Fabio Takeshi Sakamoto - [email protected]: Charles Christian Miers - [email protected]
Resumo -Com a necessidade crescente pela seguranca da informacao, muitas ferramentas estaosendo desenvolvidas e aprimoradas, destacando-se entre estas os Honeypots, que sao dispositi-vos capazes de simular uma rede, dispositivos de rede e computadores. Esta simulacao permiteque atacantes possam acessar um ambiente simulado, e todas suas acoes serao armazenadasem logs. Este trabalho pretende desenvolver uma metodologia de analise de logs para Honey-pots, assim como o aspecto de portabilidade de um Honeypot em equipamento em um ponto deacesso de redes sem fio.Palavras Chave: Honeypot, Redes Sem Fio, Seguranca da informacao, Seguranca em Redes.
E.1 Introducao e Justificativa
Com o grande fluxo de informacoes pela Internet, ha uma grande preocupacao com aspectosrelacionados a seguranca computacional. A preocupacao decorre das ameacas contra os siste-mas, devido ao grande numero de atacantes que exploram as vulnerabilidades e falhas existentes(Schneier, 2001). Ocorrem frequentemente muitos ataques a varios servidores disponıveis na
118
Internet ou em organizacoes, visando o comprometimento do servico, ou obter ganhos (dinheiroou informacao) (CERT, 2005).
Como as redes de computadores ja possuem um grande parque instalado em nıvel mundial,torna-se complexo a identificacao da origem exata do ataque, e consequentemente a protecao detodos os sistemas computacionais. Devido a essa dificuldade, existem muitas ferramentas quesao adotadas pelas empresas para minimizar a possibilidade de que o sistema seja comprometidopor um ataque (Schneier, 2001).
Antes de se definir quais ferramentas serao utilizadas pela empresa, e necessario definira polıtica de seguranca, ou seja, o mecanismo preventivo e reativo de protecao dos dados eprocessos importantes de uma organizacao, que define um padrao de seguranca a ser seguidopor todos da empresa (Dias, 2000). A polıtica de seguranca vai definir de que modo a empresaira se proteger, controlando e manipulando as informacoes.
Para combater as ameacas existem varios tipos de ferramentas no mercado, podendo serclassificadas como de prevencao, de deteccao e de reacao. Um sistema seguro deve contemplarestes tres tipos de ferramentas, de modo a reduzir as vulnerabilidades. Comumente as ferra-mentas a seguranca sao de prevencao, podendo citar essencialmente: firewalls, criptografia eautenticacao. Algumas sao de deteccao, como por exemplo: Sistemas de Deteccao de Intrusao(IDS - Intrusion Detection Systems), mas poucas sao de reacao, como e o caso de um sistemaque bloqueia o usuario apos tres tentativas de login falhas(Schneier, 2001).
Honeypot e Honeynet consistem em um conjunto de novas ferramentas e tecnicas, quesurgiram para complementar as ferramentas ja existentes (firewall, IDS, etc), e possuem estenome devido a caracterıstica do mel atrair seus apreciadores. Honeypot e Honeynet sao ferra-mentas capazes de simular uma rede, e seus componentes, bem como uma estacao de trabalhoutilizando um sistema operacional MS-Windows, ou GNU/Linux. Deste modo e criado um am-biente para atrair a presenca de invasores e a partir disto, monitorar todas as acoes do invasor(Spitzner, 2002).
Nos semestres 2004/2 e 2005/1 foi realizado um estudo sobre Honeypots e Honeynets
(Franca, 2005), visando analisar os resultados obtidos com a utilizacao de um Honeynet noCCT/UDESC, implementando-se um ponto do projeto Honeynet.BR. Alem de avaliar o desem-penho de Honeynets, foi possıvel inserir o CCT/UDESC no projeto Honeynet.Br, que contribuicom a comunidade brasileira de seguranca(HONEYNET.BR, 2006).
Os Honeypots e Honeynets sao capazes de monitorar todos os ataques que se passam dentroda rede que simulam, armazenando todo o historico em logs(Spitzner, 2002). Mas nao foiencontrada nenhuma maneira de se efetuar uma analise desses logs de modo facilitado, sendonecessario demandar um esforco manual dependente de grande conhecimento em redes paraser feita uma analise. Com base nessa carencia, torna-se necessaria uma metodologia de analisedesses logs, para auxiliar nos estudos cientıficos de prevencao a ataques, de modo a enriquecer
119
a base de conhecimento dos profissionais e estudiosos de Seguranca de Redes.
Dentre as tecnologias que estao em constante evolucao, destacam-se as redes sem fio, quese caracterizam pela comunicacao sem a utilizacao de fios e cabos. Obviamente, a grande van-tagem da utilizacao de redes sem fio e a mobilidade (Gast, 2005), sendo este um grande atrativotanto para usuarios domesticos, como para organizacoes. A grande vantagem de possibilitaracesso a rede sem fio a partir de qualquer lugar, em que se tenha cobertura, tambem e o quetorna a rede perigosa. Um atacante pode entrar em qualquer lugar ”escutando”todos dados quetrafegam pela rede, enquanto que em uma rede cabeada, ele vai precisar ter acesso atraves deum determinado ponto de rede que esteja disponıvel (Fleck, 2002).
Nao se trata de um novo conceito, pois as comunicacoes sem fio ja ocorrem faz muitotempo, em 1889 foi emitida a primeira mensagem por telegrafo, um sistema que ja utilizavaredes sem fio. Mas a partir de 1976, a comunicacao sem fio passou por uma revolucao. Nadecada de 80, as tecnologias de redes sem fio eram analogicas, na decada de 90, elas mudarampara digital(Watson, 2004). Desde entao elas continuam sendo digitais, mas ganharam emqualidade e velocidade.
Existem muitas organizacoes engajadas na busca de melhorias para redes sem fio, tanto parapequenas distancias como para grandes distancias, mas em redes domesticas e redes empresa-riais de computadores ha uma preocupacao quanto ao alcance de cobertura. Dessa forma, opadrao que mais vem sendo utilizado para esta aplicacao e o padrao IEEE 802.11. Este padraofoi aprovado pelo IEEE Standards Comitee em 1997 (Flickenger, 2002) e tem como carac-terıstica a facilidade na instalacao, pois nao e necessario um grande projeto e planejamentocomo nas redes cabeadas.
Outro problema nas redes sem fio e a interferencia de outros aparelhos que trabalham namesma frequencia, como por exemplo: telefones sem fio, sendo possıvel ocorrer instabilidadee indisponibilidade na rede (Ohrtman; Roeder, 2003). Este problema pode ser relacionado asredes cabeadas, principalmente em industrias, quando os cabos passam proximos a uma redeeletrica de alta voltagem ou a uma maquina de automacao de grande porte, tambem gerandoproblemas de instabilidade na rede. Embora a protecao fısica dos cabos nao resolva todos osproblemas, ela ajuda a minimizar os riscos de ataques a rede. Quando se utiliza uma rede semfio, os usuarios perdem toda a seguranca fısica fundamental dos cabos, necessitando de outrosrecursos que proporcionem nıvel igual ou superior de seguranca.
Devido a facilidade de instalacao de uma rede 802.11, este tipo de rede esta se proliferandono mundo inteiro, mas sem uma preocupacao com a seguranca dos dados que trafegam por ela(Fleck, 2002). Em Joinville e possıvel detectar este tipo de rede disponıvel sem qualquer tipode protecao, principalmente na regiao central proximo a predios e empresas. Com base nessaobservacao, ha uma necessidade de estudo quanto aos ataques a redes 802.11.
Como na pesquisa preliminar nao fora encontrado nenhum Honeypot especificamente vol-
120
tado a redes sem fio, percebe-se a necessidade de um estudo quanto aos ataques a esse tipo deredes para identificacao das principais tecnicas, e a frequencia com que sao utilizadas. Dessaforma, e possıvel empregar um Honeypot para auxiliar nesse estudo, para que atraves dos logs
coletados por ele, seja feita uma analise desses dados com a finalidade de prover informacaodetalhada e bem clara do que aconteceu na rede simulada pelo Honeypot em hardware de redessem fio.
E.2 Objetivos
Objetivo Geral: Identificar os principais problemas em redes sem fio padrao IEEE 802.11atraves do emprego de ferramentas de honeypot e disponibilizar uma metodologia de analisedos dados capturados.
Objetivos Especıficos:
•Compreender o funcionamento e arquitetura de redes 802.11;
•Compreender e identificar os meios de seguranca e protecao de redes 802.11;
•Identificar os problemas de Seguranca;
•Estudar e identificar Honeypots/Honeynets e averiguar que informacoes sao uteis;
•Estudar ferramentas de tecnologias envolvidas (Honeypot, Sistemas Operacionais, etc.);
•Estudar analise de log relacionando a analise de dados para seguranca;
•Estudar e testar as ferramentas existentes para isso, identificando deficiencias e pontospositivos em relacao ao que foi considerado adequado;
•Definir uma metodologia automatizada de analise de logs;
•Desenvolver uma ferramenta de analise de logs que obedeca a metodologia definida;
•Estudar e verificar a portabilidade de um Honeypot em um equipamento em ponto deacesso de redes sem fio.
E.3 Metodologia
O presente trabalho sera dividido em etapas para que os objetivos sejam alcancados, sendoque mais de uma etapa podera ser executada simultaneamente. A metodologia a ser utilizadavai abranger pesquisas bibliograficas, analises, comparativos e experimentacoes:
1.Pesquisa bibliografica, estudo e analise de redes sem fio;
121
2.Pesquisa bibliografica, estudo e analise de redes 802.11;
3.Verificar as tecnicas de seguranca e protecao de redes 802.11;
4.Pesquisa bibliografica e analise de Honeypots e Honeynets;
5.Pesquisa bibliografica e estudo de analise de logs voltada para a seguranca da informacao;
6.Analise e testes de ferramentas existentes, para identificacao de pontos positivos e de-ficiencias;
7.Definicao de uma metodologia automatizada de analise de logs;
8.Desenvolvimento de uma ferramenta de analise de logs que obedeca a metodologia defi-nida;
9.Verificacao da portabilidade de um Honeypot em um equipamento em ponto de acesso deredes sem fio.
E.4 Cronograma Proposto
E.5 Linha e Grupo de Pesquisa
Este trabalho segue a linha de pesquisa nas areas de redes e pertence ao grupo de pesquisaGRADIS.
E.6 Forma de Acompanhamento/Orientacao
Para que as atividades descritas nesse plano sejam cumpridas, serao realizadas reunioessemanais, de aproximadamente uma hora, as segundas-feiras, e se houver necessidade, reunioespreviamente agendadas. O controle de frequencia sera feito pelo professor orientador atravesde seus registros.
122
E.7 Referencias Bibliograficas
CERT: Computer Emergency Readiness Team. Disponıvel em: < htt p : //www.cert.org/tech tips/home networks.html >. Acesso em 20 dez. 2005, 2005.
DIAS, C. Seguranca e Auditoria da Tecnologia da Informacao. Axcel Books, 2000.
FLECK, B., POTTER, B. 802.11 Security. O´Reilly, 2002.
FLICKENGER, R. Building Wireless Community Networks. O´Reilly, 2002.
FRANCA, L. Estudo de honeynets para implementacao do projeto Honeypot.Br no CCT/UDESC.UDESC, 2005.
GAST, M. 802.11 R© Wireless Networks: The Definitive Guide. O´Reilly, 2005.
HONEYNET.BR: Brazillian Honeypots Alliance. Disponıvel em: < htt p : //www.honeypots−alliance.org.br >. Disponıvel em: 18/02/2006, 2006.
OHRTMAN,F., ROEDER, K. Wi-Fi Handbook: Building 802.11b Wireless Networks. McGraw-Hill, 2003.
SCHNEIER, B. Seguranca.com: segredos e mentiras sobre a protecao na vida digital. Cam-pus, 2001.
SPITZNER, L. Honeypots: Tracking Hackers. Addison Wesley, 2002.
WATSON, E. Wireless - History. M/Cyclopedya of New Media: 2004.Disponıvel em: < htt p : //wiki.media−culture.org.au/index.php/Wireless History >. Acessoem: 19 fev. 2006, 2004.
Charles Christian Miers Fabio Takeshi SakamotoOrientador Orientando
123
APENDICE F -- Plano de Trabalho de Conclusao deCurso (TCC)
Plano de Trabalho de Conclusao de Curso (TCC)
Tıtulo do Projeto: Desenvolvimento de uma Ferramenta de Auxılio aAnalise de Logs Gerados por Honeypot com Estudo de Caso de uma Rede
Sem Fio Padrao IEEE 802.11
UDESC - Universidade do Estado de Santa CatarinaCCT - Centro de Ciencias Tecnologicas
Departamento de Ciencia da ComputacaoBacharelado em Ciencia da Computacao
Turma Integral - 2006/01 - Joinville - Santa Catarina
Fabio Takeshi Sakamoto - [email protected]: Charles Christian Miers - [email protected]
Resumo -Com a necessidade crescente pela seguranca da informacao, muitas ferramentas estaosendo desenvolvidas e aprimoradas, destacando-se entre estas os Honeypots, que sao dispositi-vos capazes de simular uma rede, dispositivos de rede e computadores. Esta simulacao permiteque atacantes possam acessar um ambiente simulado, e todas suas acoes serao armazenadas emlogs. Este trabalho pretende desenvolver uma metodologia de analise de logs para Honeypots,assim como o aspecto de portabilidade de um Honeypot em uma rede sem fio.Palavras Chave: Honeypot, Redes Sem Fio, Seguranca da informacao, Logs.
F.1 Introducao e Justificativa
Com o grande fluxo de informacoes pela Internet, ha uma grande preocupacao com as-pectos relacionados a seguranca computacional. A preocupacao decorre das ameacas contraos sistemas, devido ao grande numero de atacantes que exploram as vulnerabilidades e falhasexistentes[Schneier, 2001]. Ocorrem frequentemente muitos ataques a varios servidores dis-
124
ponıveis na Internet ou em organizacoes, visando o comprometimento do servico, ou obterganhos (dinheiro ou informacao)[CERT, 2005].
Como as redes de computadores ja possuem um grande parque instalado em nıvel mundial,torna-se complexo a identificacao da origem exata do ataque, e consequentemente a protecao detodos os sistemas computacionais. Devido a essa dificuldade, existem muitas ferramentas quesao adotadas pelas empresas para minimizar a possibilidade de que o sistema seja comprometidopor um ataque[Schneier, 2001].
Antes de se definir quais ferramentas serao utilizadas pela empresa, e necessario definira polıtica de seguranca, ou seja, o mecanismo preventivo e reativo de protecao dos dados eprocessos importantes de uma organizacao, que define um padrao de seguranca a ser seguidopor todos da empresa[Dias, 2000]. A polıtica de seguranca vai definir de que modo a empresaira se proteger, controlando e manipulando as informacoes.
Para combater as ameacas existem varios tipos de ferramentas no mercado, podendo serclassificadas como de prevencao, de deteccao e de reacao. Um sistema seguro deve contemplarestes tres tipos de ferramentas, de modo a reduzir as vulnerabilidades. Comumente as ferra-mentas a seguranca sao de prevencao, podendo citar essencialmente: firewalls, criptografia eautenticacao. Algumas sao de deteccao, como por exemplo: Sistemas de Deteccao de Intrusao(IDS - Intrusion Detection Systems), mas poucas sao de reacao, como e o caso de um sistemaque bloqueia o usuario apos tres tentativas de login falhas[Schneier, 2001].
Honeypot e Honeynet consistem em um conjunto de novas ferramentas e tecnicas, quesurgiram para complementar as ferramentas ja existentes (firewall, IDS, etc), e possuem estenome devido a caracterıstica do mel atrair seus apreciadores. Honeypot e Honeynet sao ferra-mentas capazes de simular uma rede, e seus componentes, bem como uma estacao de trabalhoutilizando um sistema operacional MS-Windows, ou GNU/Linux. Deste modo e criado umambiente para atrair a presenca de invasores e a partir disto, monitorar todas as acoes do inva-sor[Spitzner, 2002].
Nos semestres 2004/2 e 2005/1 foi realizado um estudo sobre Honeypots e Honeynets[Franca,2005], visando analisar os resultados obtidos com a utilizacao de um Honeynet no CCT/UDESC,implementando-se um ponto do projeto Honeynet.BR. Alem de avaliar o desempenho de Ho-
neynets, foi possıvel inserir o CCT/UDESC no projeto Honeynet.Br, que contribui com a co-munidade brasileira de seguranca[HONEYNET.BR, 2006].
Os Honeypots e Honeynets sao capazes de monitorar todos os ataques que se passam dentroda rede que simulam, armazenando todo o historico em logs[Spitzner, 2002]. Mas nao foiencontrada nenhuma maneira de se efetuar uma analise desses logs de modo facilitado, sendonecessario demandar um esforco manual dependente de grande conhecimento em redes paraser feita uma analise. Com base nessa carencia, torna-se necessaria uma ferramenta de auxılioa analise desses logs, para auxiliar nos estudos cientıficos de prevencao a ataques, de modo a
125
enriquecer a base de conhecimento dos profissionais e estudiosos de Seguranca de Redes. Paraauxiliar a analise dos logs do Honeypot, tambem e necessaria a definicao de uma metodologia,que e baseada na relacao entre a porta acessada e a vulnerabilidade associada a ela[Holz, 2006].
Dentre as tecnologias que estao em constante evolucao, destacam-se as redes sem fio, quese caracterizam pela comunicacao sem a utilizacao de fios e cabos. Obviamente, a grande van-tagem da utilizacao de redes sem fio e a mobilidade[Gast, 2005], sendo este um grande atrativotanto para usuarios domesticos, como para organizacoes. A grande vantagem de possibilitaracesso a rede sem fio a partir de qualquer lugar, em que se tenha cobertura, tambem e o quetorna a rede perigosa. Um atacante pode entrar em qualquer lugar ”escutando”todos dados quetrafegam pela rede, enquanto que em uma rede guiada, ele vai precisar ter acesso atraves de umdeterminado ponto de rede que esteja disponıvel[Fleck, 2002].
Nao se trata de um novo conceito, pois as comunicacoes sem fio ja ocorrem faz muitotempo, em 1889 foi emitida a primeira mensagem por telegrafo, um sistema que ja utilizavaredes sem fio. Mas a partir de 1976, a comunicacao sem fio passou por uma revolucao. Nadecada de 80, as tecnologias de redes sem fio eram analogicas, na decada de 90, elas mudarampara digital[Watson, 2004]. Desde entao elas continuam sendo digitais, mas ganharam emqualidade e velocidade.
Existem muitas organizacoes engajadas na busca de melhorias para redes sem fio, tantopara pequenas distancias como para grandes distancias, mas em redes domesticas e redes em-presariais de computadores ha uma preocupacao quanto ao alcance de cobertura. Dessa forma,o padrao que mais vem sendo utilizado para esta aplicacao e o padrao IEEE 802.11. Estepadrao foi aprovado pelo IEEE Standards Comitee em 1997[Flickenger, 2002] e tem como ca-racterıstica a facilidade na instalacao, pois nao e necessario um grande projeto e planejamentocomo nas redes guiadas.
Outro problema nas redes sem fio e a interferencia de outros aparelhos que trabalham namesma frequencia, como por exemplo: telefones sem fio, sendo possıvel ocorrer instabilidadee indisponibilidade na rede[Ohrtman; Roeder, 2003]. Este problema pode ser relacionado asredes guiadas, principalmente em industrias, quando os cabos passam proximos a uma redeeletrica de alta voltagem ou a uma maquina de automacao de grande porte, tambem gerandoproblemas de instabilidade na rede. Embora a protecao fısica dos cabos nao resolva todos osproblemas, ela ajuda a minimizar os riscos de ataques a rede. Quando se utiliza uma rede semfio, os usuarios perdem toda a seguranca fısica fundamental dos cabos, necessitando de outrosrecursos que proporcionem nıvel igual ou superior de seguranca.
Devido a facilidade de instalacao de uma rede 802.11, este tipo de rede esta se proliferandono mundo inteiro, mas sem uma preocupacao com a seguranca dos dados que trafegam porela[Fleck, 2002]. Em Joinville e possıvel detectar este tipo de rede disponıvel sem qualquertipo de protecao, principalmente na regiao central proximo a predios e empresas. Com base
126
nessa observacao, ha uma necessidade de estudo quanto aos ataques a redes 802.11.
Como na pesquisa preliminar nao fora encontrado nenhum Honeypot especificamente vol-tado a redes sem fio, percebe-se a necessidade de um estudo quanto aos ataques a esse tipo deredes para identificacao das principais tecnicas, e a frequencia com que sao utilizadas. Dessaforma, e possıvel empregar um Honeypot para auxiliar nesse estudo, para que atraves dos logs
coletados por ele, seja feita uma analise desses dados com a finalidade de prover informacaodetalhada e bem clara do que aconteceu na rede simulada pelo Honeypot em hardware de redessem fio. O Honeypot sera localizado em uma rede 802.11 com um alcance de 100 metros noCCT/UDESC, e tambem no centro de Joinville, ao lado do hotel Tannenhof, devido a maiorprobabilidade de ataques nesta regiao da cidade. Com base nos logs gerados pelos ataquessofridos, sera possıvel efetuar uma analise comparativa com a ferramenta de auxılio entre osataques sofridos pelo Honeypot na rede guiada de [Franca, 2005], e os ataques sofridos peloHoneypot na rede sem fio no centro de Joinville, e no CCT/UDESC.
F.2 Objetivos
Objetivo Geral: Identificar os principais problemas em redes sem fio padrao IEEE 802.11atraves do emprego de ferramentas de Honeypot e disponibilizar uma ferramenta de auxılio aanalise dos dados capturados.
Objetivos Especıficos:
•Compreender o funcionamento e arquitetura de redes 802.11;
•Compreender e identificar os meios de seguranca e protecao de redes 802.11;
•Identificar os problemas de Seguranca;
•Estudar e identificar Honeypots/Honeynets e averiguar que informacoes sao uteis;
•Estudar ferramentas de tecnologias envolvidas (Honeypot, Sistemas Operacionais, etc.);
•Estudar analise de log relacionando a analise de dados para seguranca;
•Estudar e testar as ferramentas existentes para isso, identificando deficiencias e pontospositivos em relacao ao que foi considerado adequado;
•Definir uma metodologia de analise de logs; e
•”Desenvolver uma ferramenta de auxılio a analise de logs que obedeca a metodologiadefinida.
127
F.3 Metodologia
O presente trabalho sera dividido em etapas para que os objetivos sejam alcancados, sendoque mais de uma etapa podera ser executada simultaneamente. A metodologia a ser utilizadavai abranger pesquisas bibliograficas, analises, comparativos e experimentacoes:
1.Pesquisa bibliografica, estudo e analise de redes sem fio;
2.Pesquisa bibliografica, estudo e analise de redes 802.11;
3.Verificar as tecnicas de seguranca e protecao de redes 802.11;
4.Pesquisa bibliografica e analise de Honeypots e Honeynets;
5.Pesquisa bibliografica e estudo de analise de logs voltada para a seguranca da informacao;
6.Analise e testes de ferramentas existentes, para identificacao de pontos positivos e de-ficiencias;
7.Definicao de uma metodologia de analise de logs;
8.Instalacao de um Honeypot em uma rede sem fio;
9.9.Analise das funcionalidades que a ferramenta deste trabalho deve ter;
10.Definicao da linguagem de programacao a ser utilizada para o desenvolvimento da ferra-menta proposta;
11.Desenvolvimento de uma ferramenta de auxılio a analise de logs que obedeca a metodo-logia definida;
12.Testes da ferramenta em logs gerados pelo Honeypot instalado na rede sem fio;
13.Testes da ferramenta em logs gerados pelo Honeypot instalado no trabalho de[Franca,2005];
14.Melhorias na ferramenta;
15.Comparativo e analise dos resultados dos ıtens 12 e 13;
128
F.4 Cronograma Proposto
F.5 Linha e Grupo de Pesquisa
Este trabalho segue a linha de pesquisa nas areas de redes e pertence ao grupo de pesquisaGRADIS.
F.6 Forma de Acompanhamento/Orientacao
Para que as atividades descritas nesse plano sejam cumpridas, serao realizadas reunioessemanais, de aproximadamente uma hora, as quintas-feiras, e se houver necessidade, reunioespreviamente agendadas. O controle de frequencia sera feito pelo professor orientador atravesde seus registros.
F.7 Referencias Bibliograficas
CERT: Computer Emergency Readiness Team. Disponıvel em: < htt p : //www.cert.org/tech tips/home networks.html >. Acesso em 20 dez. 2005, 2005.
DIAS, C. Seguranca e Auditoria da Tecnologia da Informacao. Axcel Books, 2000.
FLECK, B., POTTER, B. 802.11 Security. O´Reilly, 2002.
129
FLICKENGER, R. Building Wireless Community Networks. O´Reilly, 2002.
FRANCA, L. Estudo de honeynets para implementacao do projeto Honeypot.Br no CCT/UDESC.UDESC, 2005.
GAST, M. 802.11 R© Wireless Networks: The Definitive Guide. O´Reilly, 2005.
HOLZ, T. Learning More About Attack Patterns With Honeypots. Lecture Notes in InformaticsProceedings of Sicherheit(German Honeynet Project), 2006.
HONEYNET.BR: Brazillian Honeypots Alliance. Disponıvel em: < htt p : //www.honeypots−alliance.org.br >. Disponıvel em: 18/02/2006, 2006.
OHRTMAN,F., ROEDER, K. Wi-Fi Handbook: Building 802.11b Wireless Networks. McGraw-Hill, 2003.
SCHNEIER, B. Seguranca.com: segredos e mentiras sobre a protecao na vida digital. Cam-pus, 2001.
SPITZNER, L. Honeypots: Tracking Hackers. Addison Wesley, 2002.
WATSON, E. Wireless - History. M/Cyclopedya of New Media: 2004.Disponıvel em: < htt p : //wiki.media−culture.org.au/index.php/Wireless History >. Acessoem: 19 fev. 2006, 2004.
Charles Christian Miers Fabio Takeshi SakamotoOrientador Orientando
