Agora que já conhecemos como o sistema honeypots funciona, podemos estudar mais a fundo seu uso em ambiente Linux, que é o Sistema Operacional mais utilizado no mundo para servidores e consequentemente o maior alvo de hackers, também é o que possuí mais opções de segurança. Esse artigo não tem como objetivo ensinar a efetuar a instalação do ambiente de Honeypots, mas caso queira preparar um você mesmo basta acessar o link nas referências.

Segue a configuração de uma máquina honeypot de média interatividade:

• Máquina Linux Slackware com o kernel 2.4.29 com a rede configurada.
• O software Honeyperl do projeto HoneypotBR.
• O sistema de detecção de intrusão snort.
• Um filtro de pacotes baseado no iptables com regras básicas para nossos serviços.
• Perl versão 5.6.0 ou superior;
• Nenhum servidor de rede instalado (ftp, web, correio etc);
• Nenhum serviço de rede sendo executado pelo inetd;
• Placa de rede configurada;
• Uma conexão ativa com a Internet (pode ser via ADSL).

O IDS (Intrusion Detection Systems - Sistemas de detecção de Intrusão) é uma ideia que surgiu em meados da década de 80. Esse sistema tem o objetivo de registrar a invasão, modificar e preparar o sistema para resisti-la e, se possível, lançar um contra-ataque. Um IDS tem as seguintes características:

• Análise e monitoramento dos usuários e serviços;
• Auditoria do sistema para levantamento de vulnerabilidades;
• Reconhecimento de padrões de ataques comuns;
• Reconhecimento de padrões de violações ao sistema;
• Análises estatísticas das atividades incomuns ao sistema;
• Interação com a auditoria do sistema (logs).

O snort é um exemplo de IDS, sendo um software livre, ele é gratuito e pode ser baixado em sua página oficial. Foi desenvolvido por Martin Roesch, capaz de analisar o tráfego em tempo real de uma rede IP. Ele executa análise de protocolo, busca padrões de conteúdo e pode ser usado para detectar uma variedade de ataques, como buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outras. Funciona em arquiteturas RISC e CISC, e diversas plataformas como distribuições Linux, Windows e MACOS X.

O sistema também possui instalado o Honeyperl, desenvolvido em Perl. É um Honeypot de média interatividade e simula os seguintes serviços:

• Squid que é um servidor Proxy Livre;
• Apache um dos servidores web mais utilizados;
• Alguns servidores de e-mail como Sendmail e MSExchange;
• FTP protocolo de transferência de arquivos muito utilizado ainda hoje;
• Echo Servidor que envia respostas ao cliente;
• POP3 protocolo de recebimento de mensagens.
• O Honeyperl ainda é capaz de detectar assinaturas de vírus.

Além de toda a instalação dos softwares necessários para executar o Honeypots, ainda devem ser feitas configurações no ambiente alvo das invasões. Definindo domínio, o serviço que ele simula, o tipo de conexão com a internet, servidor telnet, portas de conexão liberadas e um diretório com todas as regras. Após as configurações do Honeypots serem concluídas, caso esteja ativo, o analista pode monitorar via terminal todos os acessos que são feitos ao ambiente e estudar com detalhes o que ele faz enquanto conectado, todos os recursos e comandos utilizados. Essa informação ainda ficará gravada em logs para análises futuras.