Honeypots

Um dos sistemas mais interessantes que você vai encontrar é um honeypot. Na verdade é um dispositivo ou sistema usado para atrair e capturar atacantes que estão tentando obter acesso a um sistema. No entanto, honeypots estão longe de ser apenas uma armadilha. Eles também têm sido usados como ferramentas de pesquisa, armadilhas, e apenas para obter informações. Eles não são projetados para resolver qualquer problema de segurança específico.

Honeypots não se encaixam em qualquer classificação ou categoria. Honeypots pode cumprir uma série de finalidades diferentes ou funções para uma organização, mas a maioria concorda que um honeypot fornece valor de ser utilizado por partes não autorizadas ou através do uso ilícito. Honeypots são projetados para ser mal utilizado e abusado e nesse papel eles estão sozinhos. Na prática, o sistema pode aparecer como qualquer um dos seguintes:

  • Um servidor dedicado
  • Um sistema simulado de algum tipo
  • Um serviço em um host projetado para parecer legítimo
  • Um servidor virtual
  • Um único arquivo

Em todos esses exemplos, o honeypot é configurado para se parecer com um item real dentro do ambiente, mas é tudo menos isso. Enquanto um honeypot parece um recurso real e pode se comportar dessa forma, nunca se destina a ser usado para qualquer finalidade legítima.

Em alguns círculos um honeypot é visto como um dispositivo de armadilha, mas isso também não é inteiramente correto e pode ser confuso. Não é inédito para um honeypot ser descrito como algo que você coloca em sua DMZ com o objetivo de ter alguém invadindo ela. Em termos de pesquisa, essa seria uma declaração válida e verdadeira a ser feita, mas não resiste a uma inspeção mais detalhada. A última coisa que você quer como proprietário de uma rede ou a pessoa encarregada da segurança é alguém invadindo seu ambiente, como seria o caso de uma armadilha na DMZ. Como uma DMZ hospedaria sistemas como servidores web, gateways de e-mail ou outros serviços, você não gostaria de atrair a atenção de um invasor de qualquer forma para esses itens.

Isso não quer dizer que alguns ambientes não tenham empregado um honeypot como uma armadilha, mas não deve ser implantado como a estratégia central. Um honeypot como uma isca tem sido usada para atrair intrusos para longe de recursos críticos, mas isso requer um planejamento cuidadoso para evitar problemas.

Usando um Honeypot na prática

Um honeypot é ideal para obter uma imagem mais clara da atividade no ou em torno dos sistemas críticos em seu ambiente. O uso comum de honeypots é olhar como um recurso legítimo para ser indistinguível da coisa real. Isto submeterá o honeypot e o recurso real à mesma atividade, o que significa que os ataques podem ser detectados mais facilmente.

Um exemplo de uma implantação típica de um honeypot seria aquele em que temos um servidor web de alto tráfego. Nesse ambiente, colocaríamos o servidor web e um honeypot configurados de forma idêntica na DMZ. Uma vez que ambos são os mesmos, os ataques ambos são expostos no mesmo local. Qualquer malware, scans, enumeração ou outras ações seriam imediatamente detectáveis como um ataque potencial porque o honeypot não tem uso legítimo. Esta informação recolhida a partir do honeypot permitiria a concepção e colocação de melhores defesas.

Interação Alta vs. Baixa

Honeypots não são todos iguais. Existem duas categorias principais: de alta ou de baixa interação.

Os honeypots de baixa interação dependem da emulação de serviços e programas que seriam encontrados em um sistema vulnerável. Se for atacado, o sistema detecta a atividade e lança um erro que pode ser revisado por um administrador.

Honeypots de alta interação são mais complexos em que eles não são mais um único sistema que parece vulnerável, mas uma rede inteira normalmente conhecido como um honeynet. Qualquer atividade que ocorra neste ambiente rigorosamente controlado e monitorado é relatada. Outra diferença nesta configuração é que, em vez de emulação, sistemas reais com aplicações reais estão presentes.

Honeypots pode ser facilmente explorado e avaliado como algo a considerar para o seu ambiente. Alguns deles disponíveis são:

  • KFSensor;
  • HoneyBOT;
  • HoneyDrive.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

3 Responses to “Honeypots”

  1. Carlos Kombo disse:

    Olá, estou desenvolvendo um trabalho de pesquisa, estou implantando o honeyd e tô tendo algumas dificuldades, vc poderia me ajudar com isso?

  2. Excelente post, simples e direto. Estava lendo sobre isso e discutindo com uns amigos e verificando que ainda não utilizamos de forma eficiente e eficaz essa técnica.

Deixe um comentário

O seu endereço de e-mail não será publicado.