Honeypot - Defesa contra ataques

  • 215 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
215
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
6
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Breve histórico sobre Honeypots Segundo MARCELO e PITANGA (2003), o Honeypot teve início em 1991 com a publicação do artigo “The Cucko’s Egg” de Cliford Stool, astrônomo do Laboratório Lawrence de Berheley. A primeira referência à implementação de mecanismos de acompanhamento das atividades de invasores data de 1988, quando Clifford Stoll tornou públicou a história da invasão ocorrida nos sistemas do Lawrence Berkeley Laboratory (LBL). Durante 10 meses (1986/87), Cliford Stool localizou e encurralou o hacker Hunter e, em outro famoso artigo, “An Evening With Berferd”, onde Bill Cheswicks.
  • 2. Breve histórico sobre Honeypots • Bill Cheswicks estudou durante meses as técnicas e criou armadilhas para o hacker Berferd, que através de um bug no sendmail obteve as senhas do sistema. Este artigo é de um grande valor, já que a idéia por trás dos honeypots começou a ser desenhada ali. • 1992 - o especialista Bill Cheswick explicou no artigo “An Evening With Berferd In Which a Cracker is Lured, Endured and Studied” os resultados do 18 acompanhamento de invasões de um dos sistemas da AT&T, projetado especialmente para este fim. • Em 1997 Fred Cohen lançou o DTK, ou Deception Toolkit, o primeiro honeypotque era aberto e gratuito
  • 3. Breve histórico sobre Honeypots Clifford Stoll (1988) The Cuckoo's Egg LBL - Lawrence Berkeley Laboratory Monitoração das atividades do invasor
  • 4. Mais o que são esse Honeypots ? Honeypot = Pote de Mel
  • 5. Mais o que são esse Honeypots ? “Um honeypot é um recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido.” Segundo Lance Spizner como (COMMUNITY, 2001):
  • 6. Deception Toolkit (DTK)  A primeira ferramenta de código aberto cujo objetivo é explicitamente iludir atacantes . Desenvolvida por 1998 Fred Cohen.
  • 7. TIPOS DE HONEYPOT • Honeypots de produção: diminuir os riscos e ajudar a proteger as redes das organizações; • Honeypots de pesquisa: estudar e obter informações da comunidade dos atacantes. “Marty Roesch (2003)”
  • 8. Finalidades dos Honeypots • Coleta de códigos maliciosos • Identicar varreduras e ataques automatizados • Acompanhamento das vulnerabilidades • Motivação dos atacantes • Auxílio aos sistemas de detecção de intrusão • Manter atacantes afastados de sistemas importantes.
  • 9. Honeypots  Os honeypots podem ser considerados de baixa e alta interatividade, indo desde serviços falsos (baixa interatividade)até máquinas com serviços reais (alta interatividade), onde os atacantes podem obter acesso total ao sistema.  Baixa Interatividade: Back Ofcer Friendly, Deception Toolkit(DTK), Specter, Honeyd, Labrea, Tarpit  Alta Interatividade: UML, VMware, Mantrap, sistemas e aplicativos reais; instalação padrão de sistemas operacionais; artifícios de monitoração das atividades dos atacantes.
  • 10. Taxonomia dos Honeypots
  • 11. Honeypots de Baixa Interatividade Fonte: http://www.tracking-hackers.com/solutions/ Specter  Pode monitorar até quatorze portas de TCP (sete de armadilhas e sete de serviços).  Armadilhas bloqueiam e registram as tentativas de ataques  DNS, IMAP4, SUN-RPC, SSH, SUB-7, BOK2 e genérica  As portas de serviços interagem com o invasor  FTP, TELNET, SMTP, FINGER, HTTP, NETBUS e POP3
  • 12. Honeypots de Baixa Interatividade Specter  Pode emular até quatorze sistemas operacionais diferentes  Windows 98, Windows NT, Windows 2000, WindowsXP, Linux, Solaris, Tru64 (Digital Unix), NeXTStep, Irix,Unisys  Possui grande variedade de comfiguração  Características de noticação  Banco de dados dos incidentes  Facilidade no uso
  • 13. Honeypots de Baixa Interatividade Specter
  • 14. Honeypots de Baixa Interatividade KFSensor  Registra os logs e permite aplicar ltros  Possui simulação de NetBIOS, SMB, FTP, POP3, HTTP,  Telnet, SMTP e SOCKS  Interopera com scripts do Honeyd  Há cópias para avaliação
  • 15. Honeypots de Baixa Interatividade KFSensor
  • 16. Discente : Rafaela Santos da Costa