HoneyPots em Linux

Uma análise sobre a função de um HoneyPot e o seu funcionamento.

[ Hits: 19.504 ]

Por: Douglas Gabriel Angeli em 28/11/2016


Honeypot



Existem várias formas e técnicas de se proteger dos invasores, como manter sistemas atualizados para evitar invasões, colocar mais barreiras de proteção e inserir protocolos de criptografia. Mas uma delas, que é o foco de nosso trabalho, é a técnica Honey Pot que consiste em criar uma isca para possíveis invasores, onde os mesmos que exploram tais vulnerabilidades invadam, pensem que estão sendo efetivos em seu ataque, mas na realidade tenham seus passos monitorados. Tudo o que o invasor faz fica registrado para uso futuro em análises para melhorar as técnicas de segurança e buscar reais intenções do atacante.

Possuindo falhas de segurança que podem ser virtuais ou reais e expostas de maneira proposital, Honeypots é um recurso na rede que tem um único objetivo, dar ao atacante o que ele deseja, uma invasão, e assim, descobrir o que o ele faria se conseguisse obter acesso aos recursos da verdadeira rede.

Pode-se conseguir informações importantes como as reais intenções do atacante e também fazer com que o invasor perca tempo com um ataque ineficaz. Enquanto o invasor está literalmente vasculhando o servidor, os especialistas colhem o máximo de dados, com a finalidade de os estudar e melhorar a segurança.

Tipos

Para a técnica de Honeypots existem basicamente dois tipos de abordagem, a de pesquisa e a de produção:
  • Honeypots de pesquisa: são ferramentas de pesquisa programadas para observar as ações de atacantes ou invasores, o que permite observar seus movimentos de forma detalhada, para saber suas motivações, ferramentas usadas e as vulnerabilidades exploradas. São utilizadas para estudos ou por empresas que visam a prevenir-se contra ataques. Esse tipo trabalha fora da rede local da empresa, afinal, sendo ele para pesquisa pode ter falhas em sua configuração, que podem acarretar em uma real invasão.
  • Honeypots de produção: servem para complementar ou substituir redes de detecção de intrusos. O objetivo é simplesmente de detecção e análise de atacantes na rede, claro que os especialistas devem tomar as providências de segurança o mais rápido possível. É usado por empresas e instituições que precisam proteger suas redes.

Níveis de Envolvimento

Os Honeypots possuem diferentes funcionalidades, sendo desde uma simples simulação de um serviço até a construção de uma rede de honeypots oferecendo serviços reais, sendo este chamado de honeynet. Para distinguir esses tipos de honeypots, criou-se o conceito de "níveis de envolvimento" (SPITZNER, Lance), referenciando a maneira que a honeypot interage com o atacante.

Nível baixo

Equivale a serviços emulados pelo honeypot. O atacante possui uma mínima interação com a honeypot, sendo este o motivo pelo qual poucos são os dados gerados, informando em geral apenas as tentativas de conexão.

Nível médio

Neste nível a interação entre o atacante e a Honeypot é maior, mas não chega a ser um sistema real. A principal diferença deste com o nível anterior é que estes respondem as requisições do atacante com serviços reais. A partir disso, mais dados do atacante podem ser obtidos. Neste nível os riscos aumentam, pois, a interação com o sistema também aumenta.

Nível alto

Neste nível, os serviços não são emulados, mas sim reais. Isto quer dizer que, em vez de um sistema emulado, o atacante possui interação com sistemas operacionais e máquina reais, podendo-se aumentar assim a obtenção de um número muito maior de dados do mesmo. Vale ressaltar que este nível oferece um risco de maior grau, pois, uma vez invadido o sistema, o atacante possui um sistema operacional real para poder lançar ataques a outras máquinas, oferecendo o maior risco possível.

Página anterior     Próxima página

Páginas do artigo
   1. Resumo
   2. Honeypot
   3. Honeynet
   4. Linux
   5. Coleta de dados
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Prey Project - Localizando seu notebook roubado

Melhorando a segurança de servidores GNU/Linux (Parte 1)

Nessus Portscanner

Jails em SSH: Montando sistema de Shell Seguro

Servidor de logs em Debian Linux

  
Comentários
[1] Comentário enviado por Ghost_Shell em 30/11/2016 - 00:41h

Excelente artigo. Vai para os favoritos.

Keep it simple stupid!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts