Professional Documents
Culture Documents
Durham, U.K.
Abstract.
Resumo.
Honeynet
Honeynets são arquiteturas altamente controladas cujo objetivo é conter e analisar
invasores de redes, observando como são usadas as ferramentas dessas ameaças e
detectar tipos de padrão de comportamento na rede.
Para implementar uma Honeynet é necessário definir como irão funcionar alguns
eventos que serão apresentados a seguir. Primeiro, é necessário definir como estará
disposta a arquitetura da rede. Em segundo lugar, para evitar que os invasores tirem
vantagem da honeynet, é necessário implementar um controle de dados. O objetivo
principal, ou seja, a essência do honeynet está na captura de informações dos invasores,
logo é necessário desenvolver formas seguras de capturar os dados e enviar para os
administradores da rede alertas informando os tipos de ataques que estão ocorrendo ou
padrões de comportamento na rede. Finalmente, antes de implantar a honeynet é
primordial que sejam realizados testes na arquitetura desenvolvida para que erros de
desenvolvimento nas etapas anteriores não comprometam a rede após a implantação.
Arquitetura
O elemento chave em uma honeynet é o gateway, também conhecido como honeywall.
Esse dispositivo trabalha na camada 2 da pilha TCP/IP, mas outras formas de
implementação colocam o gateway para trabalhar na camada 3. No trabalho pesquisado,
o honeywall é configurado para trabalhar na camada 2, pois nessa configuração é
possível detectar ameaças, não só exteriores, como também, interiores à rede.
Como apresentado na Figura 1, o honeywall possui 3 interfaces de rede: externa,
interna, e uma para propósitos administrativos que permite um controle remoto do
gateway, transferindo as informações coletadas para um ponto central fora da rede. É
preferível instalar o Sistema Operacional Linux no honeywall devido à segurança desse
sistema contra vírus e ataques.
Controle de Dados
O propósito do controle de dados é prevenir que os invasores utilizem um honeypot
para prejudicar o restante da rede. É importante que a pessoa que esteja implementado a
honeynet defina um ponto de equilíbrio para a abertura que será dada ao invasor quando
ele entrar no sistema. Quanto mais permissão for dada ao invasor, mais informação
pode ser extraída dele, contudo, mais chance haverá para ele destruir o sistema.
Com o intuito de definir esse ponto de equilíbrio são utilizadas duas tecnologias: a
contagem de conexões (connection counting) e o sistema de prevenção à intrusos (NIPS
– Network Intrusion Prevention System).
A contagem de conexões consiste em utilizar o log da Tabela de IPs para verificar
quantos acessos ao exterior da rede foram feitas e, quando um limite de conexões pré-
estabelecido é atingido, as conexões daquele honeypot são bloqueadas. A tabela de IPs,
então, reinicializa permitindo apenas um número de conexões estabelecido de acordo
com uma escala (ex. 1 conexão exterior a cada 5 minutos).
Outra observação é que se o tipo de conexão que excedeu o limite for TCP, por
exemplo, apenas esse é bloqueado e as outras formas, como UDP ou ICMP continuam
liberados.
Com a contagem de conexões implementada, o próximo passo é definir como identificar
e bloquear os ataques conhecidos. Para isso é utilizada uma versão modificada
(diferente base de regras) do Snort, o Snort_inline, cuja diferença para o Snort padrão é
que o foco é capturar ataques externos. Com esse intuito são monitorados todos os
pacotes que passam pelo gateway.
O Snort_inline adota duas abordagens quando um ataque é identificado: a eliminação ou
modificação dos ataques. Na primeira, quando o ataque é identificado, o Snor_inline
bloqueia ou “joga fora” aquele pacote contaminado. A segunda abordagem torna mais
difícil a identificação da ocorrência de algum tipo de processo de controle pelo invasor,
pois o pacote é interceptado e seu conteúdo é modificado retirando apenas a ameaça.
Testes
Após a configuração de todas as etapas anteriores, é necessário realizar testes para
verificar se a implantação foi realizada de forma correta. É selecionado um nó da rede
de produção (nó comum) que irá realizar atividades internas e externas, com isso, é
possível identificar problemas no controle de dados. Em seguida, é importante verificar
se o Snort_inline, o Snort e os logs contêm as devidas informações.
Referências
Honeynet Project. Disponível em: http://www.honeynet.org. Acesso em 27/11/2010.