honeypot: conceitos gerais e implementação de um...
TRANSCRIPT
Curso de Engenharia de Computação
Honeypot: Conceitos gerais e implementação de um Honeytoken.
José de Sousa Martins Junior
Itatiba – São Paulo – Brasil
Dezembro de 2006
ii
Curso de Engenharia de Computação
Honeypot: Conceitos gerais e implementação de um Honeytoken.
José de Sousa Martins Junior
Monografia apresentada à disciplina: Trabalho de Conclusão de Curso, do Curso de Engenharia de Computação da Universidade São Francisco, sob a orientação do Professor MS. Sidney Pio de Campos, como exigência parcial para conclusão do curso de graduação. Orientador: Professor Mestre Sidney Pio de Campos
Itatiba – São Paulo – Brasil
Dezembro de 2006
iii
Honeypot: Conceitos gerais e implementação de um Honeytoken
José de Sousa Martins Junior
Monografia defendida e aprovada em 13 de dezembro de 2007 pela Banca Examinadora assim constituída:
Professor Ms. Sidney Pio de Campos (Orientador)
USF – Universidade São Francisco – Itatiba – SP. Professor Ms./Dr. André Leon Sampaio Gradvohl
USF – Universidade São Francisco – Itatiba – SP. Professor Ms. Rodrigo Chavez Monteiro do Prado
USF – Universidade São Francisco – Itatiba – SP.
iv
A meus pais xxx, sem os quais não chegaria até aqui. A minha esposa xxx, que ensinou-me a fé e o amor. A meu filho, xxx, a quem tantas horas de brincadeiras e jogos foram adiadas sem que este compreendesse o porquê de “papai está trabalhando”. Sou eternamente grato a todos.
Nada sabemos. A única esperança de saber é sabermos todos juntos, é fundir todas as classes no saber e na ciência.
(Leon Tolstoi)
v
Agradecimentos
Agradeço a Deus, pelo dom da vida, aos meus pais companheiros presentes e ao
Professor Sidney Pio de Campos, meu orientador e amigo, que acreditou em mim,
incentivando-me para a conclusão deste trabalho e a realizar mais esta etapa essencial da
minha formação acadêmica, face aos inúmeros percalços do trajeto.
Aos meus amigos e colegas que conquistei ao longo da minha vida acadêmica. A
todos os professores do curso de Engenharia de Computação da Universidade São Francisco,
pessoas a quem aprendi a respeitar e a valorizar a cada dia do curso.
Agradeço aos que participam de minha vida, direta ou indiretamente, na contribuição
para a realização deste trabalho. Eu agradeço fraternalmente a todos.
vi
Sumário
Lista de Siglas .........................................................................................................................vii
Lista de Figuras .....................................................................................................................viii
Resumo ..................................................................................................................................... ix
Abstract .................................................................................................................................... ix
1 INTRODUÇÃO.................................................................................................................. 1 1.1 Descrição inicial do Honeypot..................................................................................... 1 1.2 Motivação ..................................................................................................................... 2 1.3 Objetivos ...................................................................................................................... 3 1.4 A História do Honeypot............................................................................................... 3 1.5 Organização do texto .................................................................................................. 4
2 CONCEITOS ..................................................................................................................... 5 2.1 Honeypots e Honeynets ................................................................................................ 5
2.1.1 Honeynets ...............................................................................................................6 2.1.1.1 Controle de dados ............................................................................................ 8 2.1.1.2 Captura de dados.............................................................................................. 9
2.1.2 Firewall ................................................................................................................10 2.1.3 Roteador ...............................................................................................................11
2.2 Estrutura Honeypot do IFGW.................................................................................. 11 2.3 Os ataques e as ameaças ........................................................................................... 12 2.4 Atrativos para ataques.............................................................................................. 13 2.5 Honeytokens ............................................................................................................... 14
2.5.1 A definição de Honeytokens .................................................................................14 2.5.2 Vantagens do uso de Honeytokens .......................................................................15 2.5.3 Desvantagens de Honeytokens .............................................................................15 2.5.4 Caso de uso de Honeytokens ................................................................................15
3 IMPLEMENTAÇÕES..................................................................................................... 16 3.1 Descrição dos itens aplicados. .................................................................................. 16 3.2 A busca por vulnerabilidades................................................................................... 16 3.3 Exploits ....................................................................................................................... 17
3.3.1 Tipos de Exploits ..................................................................................................18 3.4 Sistema de detecção de intrusão (IDS) .................................................................... 18 3.5 Implementação com Live-CD ................................................................................... 19 3.6 Aplicações, testes e resultados obtidos .................................................................... 19 3.7 Resultados dos logs de ataques................................................................................. 20
4 DIFICULDADES ENCONTRADAS ............................................................................. 21
5 CONCLUSÃO.................................................................................................................. 22 5.1 Contribuições ............................................................................................................. 22 5.2 Extensões .................................................................................................................... 22
6 REFERÊNCIAS BIBLIOGRÁFICAS........................................................................... 23
vii
Lista de Siglas
DDOS Distribuited Denial of Service DMZ Demilitarized Zone DoS Denial of Service FTP File Transfer Protocol IDS Intrusion Detection System IP Internet Protocol POP Post Office Protocol SMTP Simple Mail Transmission Protocol SO Sistema Operacional SSH Secure Shell TCP Transmission Control Protocol TELNET Network Terminal Protocol UDP User Datagrama Protocol
viii
Lista de Figuras
FIGURA 1 – ARQUITETURA DA PRIMEIRA GERAÇÃO DE HONEYNET .............................................7
FIGURA 2 – ARQUITETURA DA SEGUNDA GERAÇÃO DE HONEYNET .............................................7
FIGURA 3 – TOPOLOGIA HONEYNET ILUSTRANDO A PONTE TRANSPARENTE...............................10
FIGURA 4 – ESTRUTURA DA IMPLANTAÇÃO COM LIVE-CD ........................................................19
ix
Resumo
Esta monografia apresenta os conceitos gerais e principais de um Honeypot, suas
funcionalidades com teorias e práticas.
Os Honeypots são recursos que trazem subsídios aos profissionais de segurança para a
realização de estudos e soluções de problemas que podem prejudicar a privacidade de uma
rede. E os Honeynets que são sistemas agregados às redes de computadores, com o intuito de
serem atacados e posteriormente comprometidos.
Por fim apresenta uma aplicação com o intuito de mostrar os conhecimentos e a
funcionalidade e utilidade do Honeypot.
PALAVRAS-CHAVE:
1. Segurança em redes
2. Honeypots
3. Honeynets
Abstract
This monograph presents the general and main concepts of the Honeypots, their
functionalities with theories and practices.
The Honeypots are resources that bring support to the professionals of information
security for the accomplishment of studies and solutions of the problems that can harm the
privacy of the networks. And the Honeynets are systems aggregated to computer networks,
with the purpose of being attacked and consequently compromised.
Finally it presents application with the intention to show the knowledge, the
functionality and a utility of the Honeypot.
KEY WORDS:
1. Security in the networks.
2. Honeypots.
3. Honeynets.
1
1 INTRODUÇÃO
Nos dias atuais, com a amplitude da Internet, os sistemas de redes estão sempre
abertos e expostos a diversos tipos de ataques e a segurança se tornou uma preocupação
diária e fundamental para os administradores de redes, que, precisam estar atualizados para
evitar esses tipos de problemas.
Com o grande fluxo de informações e dados navegando pelo mundo, os sistemas de
segurança são implementados a cada momento. Os Honeypots são tecnologias voltadas
para ajudar os administradores de redes, principalmente para a proteção desses dados como
um recurso que permite, em seu ponto fundamental, estudar e descobrir formas que um
invasor trabalha e ao mesmo tempo desenvolver técnicas, métodos e ferramentas para
estudos contra invasão e proteção.
1.1 Descrição inicial do Honeypot
A tradução de Honeypot do inglês para o português é pote de mel, ou seja, uma
forma de atrair abelhas para um pote. Assim o Honeypot pode ser:
“Um Recurso Computacional cujo valor está em sua sondagem, ataque ou
comprometimento por atacantes” [Spitzner, 2003].
O Honeypot pode ser uma aplicação real, fora de uma rede de produção com
serviços reais ou uma aplicação que através de uma rede podemos criar ou emular serviços
como SMTP, POP3, TELNET, FTP, WEB, softwares especializados como banco de dados
ou sistemas operacionais, nesses casos teoricamente falsos, com a finalidade, nos dois
casos, tanto no real como no falso, é de atrair ataques de invasores e enganá-los, fazendo
acreditar em um ambiente em que esta navegando é de uma produção real e pense que esta
com o total domínio da situação. Nas aplicações podemos citar logo abaixo:
• Detecção de intrusos na rede;
• Estudo dos hábitos e motivações de ataques hacker;
• Captura de assinaturas de determinado ataque;
• Captura de novos exploits e ferramentas maliciosas;
• Combate ao SPAM.
2
Nas aplicações podemos distinguir e classificar dois tipos interatividade conforme
os níveis de ataques:
Os de baixa interatividade: O atacante interage remotamente com o Honeypot
através de serviços de rede emulados, sem invadi-los. São instaladas ferramentas para
emular sistemas, softwares e serviços, conforme dito anteriormente seriam uma rede com
serviços falsos.
Os de alta interatividade: O atacante invade o Honeypot, conseguindo acesso total
ao sistema operacional (geralmente com privilégios de root) e um exemplo de Honeypot de
alta interatividade é o Honeynet. Conforme dito anteriormente esse é o caso de uma rede
real, mas fora de uma rede de produção.
Os Honeypots podem ser definidos como recursos computacionais dedicados a
serem sondados, atacados ou comprometidos, num ambiente que permita o registro e
controle dessas atividades. E os Honeynets podem ser definidos como redes compostas de
uma sub-rede de administração e de uma sub-rede de Honeypots, juntamente com o
Firewall para limitação e log de tráfegos.
A tecnologia crescente e em desenvolvimento do Honeypot é um ponto positivo e
uma somatória de um nível a mais em segurança. Podemos definir conforme as palavras de
Spitzner:
“Um recurso de segurança preparado para ser sondado atacado ou comprometido”
[Spitzner, 2003].
1.2 Motivação
Novos conhecimentos são necessários a cada dia e a busca de novos desafios é
extremamente importante para aprimorar as novas idéias. Para grandes analistas e
estudiosos em segurança de redes espalhados pelo mundo, os novos projetos de proteção
são fundamentais, principalmente com o aumento no uso da Internet, onde os alvos estão
cada vez mais propícios a invasões e ataques.
Com a necessidade de verificar se os dados de uma rede estão realmente seguros e
protegidos é importante estar atento aos diversos tipos de ataques nas vulnerabilidades
existentes. O Honeypot se caracteriza em ser uma ferramenta para ajudar a adquirir
conhecimentos que são úteis nos estudos, funcionando para ser alvos de ataques.
3
A rede implementada para os estudos e a realização desse trabalho é uma aplicação
de alta interatividade localizada no IFGW – Instituto de Física Gleb Wataghin na Unicamp
que está completamente monitorada e ativa, tornando assim os estudos de intrusão uma
forma segura e altamente real.
1.3 Objetivos
Esse tema foi elaborado e escolhido, principalmente para demonstrar o
funcionamento e serviço de um cliente real com mais atrativos para a invasão e acrescentar
na metodologia de um Honeynet já criado, como forma de aprimorar e vencer desafios
estabelecidos.
Esse projeto é para estudar e conhecer as formas de ataques e principalmente para
detectar as atividades maliciosas na rede, conhecendo melhor o perfil do invasor, ou dos
invasores.
E é justamente no que o trabalho está focado: no estudo dos conceitos do Honeypot
e na implementação de um cliente com atrativos para ataques no intuito de criar idéias e
soluções para problemas reais vividos dentro dessa área de redes e tecnologia.
1.4 A História do Honeypot
O primeiro surgimento de uma implementação de um mecanismo de monitoração
de atividade intrusiva foi realizado em meados do ano de 1988 por Clifford Stoll, que
durante 10 meses localizou e encurralou o hacker Hunter, que fez a monitoração das
atividades desse invasor. A prática foi feita de uma forma diferente na época, ou seja, ao
invés de fechar as portas de acesso para o intruso, decidiu tomar um caminho oposto e
iniciou o processo de monitoração, rastreando a origem do ataque.
O Honeypot veio a publico realmente em 1991 com a publicação dos artigos “The
Cucko’s Egg” de Clifford Stoll que tornou pública a história da invasão ocorrida nos
sistemas do Lawrence Berkeley Laboratory. Em 1992 o especialista Bill Cheswick, que
durante meses estudou as técnicas, criou armadilhas para o hacker Berferd, onde foram
lançadas as bases do projeto e a primeira análise de um ataque. Publicou então um artigo
chamado “An Evening with Berferd In Which a Cracker is Lured, Endured, and Studied”
onde descreve a invasão e os resultados do acompanhamento de invasões em um dos
sistemas da AT&T, projetado especialmente para fins de ataques.
4
Em 1997 o primeiro Honeypot real foi implementado por “Fred Cohen”, que
desenvolveu e aplicou no ano de 1998 o DTK Deception Tookit, a primeira ferramenta de
código aberto cujo objetivo é iludir o invasor. E logo em seguida no ano de 1998, Martin
Roesch criador do SNORT, desenvolveu um Honeypot para o governo dos EUA.
No ano de 1999, surgiu o Honeynet Project, criado por Lance Spitzner em uma
entidade formada por cerca de 50 especialistas de segurança. Com o objetivo de criar
ferramentas de defesa contra ataques. Um dos resultados foi lançamento do Honeyd, uma
ferramenta com solução em software livre de Honeypot, no qual o objetivo é revelar as
ferramentas, táticas e motivações dos invasores. Este, sem dúvida, foi o grande passo que
ganhou repercussão mundial ao demonstrar a importância do estudo do comportamento
dos invasores de uma rede para o desenvolvimento de novas ferramentas e sistemas de
defesa.
Em 2001 diversas empresas começam implementando os Honeypots para capturar
worms e por fim no ano de 2002 provou seu valor capturando o primeiro exploit
desconhecido. No mesmo ano foi laçado o Honeyd.
1.5 Organização do texto
Este trabalho encontra-se dividido em 6 etapas e podemos encontrá-lo de uma
forma organizada com:
A primeira etapa já mostrada com a introdução realizada, a segunda etapa que
contêm os conceitos gerais do trabalho, explicando todas as necessidades para o
entendimento do que é o Honeypots assim como as suas diversidades, variações e níveis de
interação, até chegar ao ambiente mais complexo chamado de Honeynets, suas estruturas,
funcionalidades e todos os conhecimentos para as configurações e implantações.
A terceira etapa com as implementações práticas e teóricas, com as explicações e
resumos bibliográficos, sobre as pesquisas já desenvolvidas no atual Honeypot ativo no
Instituto de física da UNICAMP e os desenvolvimentos.
Na quarta etapa estão às dificuldades encontras durante o processo prático e
também no processo teórico na obtenção de informações.
E por fim, a quinta etapa conclui o trabalho e mostra as contribuições, os
comentários finais e as perspectiva para os futuros projetos e extensões para esse trabalho e
logo em seguida, na sexta etapa, as referências bibliográficas para realização desta
monografia.
5
2 CONCEITOS
Essa etapa se resume em mostrar os conceitos do Honeypot, seu funcionamento, as
configurações e os componentes que estão trabalhando em conjunto para melhorar os
atrativos do Honeypot e sua evolução na formação de uma rede que seriam os Honeynets.
2.1 Honeypots e Honeynets
O Honeypot estudado é um de alta interatividade, um recurso a ser sondado, que
não tem valor produtivo, coletando informações relevantes sobre ameaças à segurança de
redes, tais como padrões de ataque e vulnerabilidades.
Honeypots oferecem duas vantagens em relação aos modelos tradicionais de
segurança de informação: por serem sistemas não produtivos, qualquer interação com um
Honeypot é uma ameaça em potencial, o que reduz significativamente o número de falsos
positivos e negativos. As informações coletadas por esses sistemas provêm unicamente
dessas ameaças, o volume mínimo de dados permite identificar tendências mais facilmente
e com maior eficácia.
Para entender melhor os benefícios de um Honeypot, dividi-se em duas categorias:
Honeypots de produção e os de pesquisas.
Os da primeira categoria, chamados Honeypots de produção, têm como objetivo
principal aumentar a segurança e são baseados em sistemas operacionais virtuais e em
serviços emulados, mas ao mesmo tempo real, simulando uma rede produtiva de verdade.
Pode se dizer também que são de baixa interatividade, porque um intruso tem suas ações
restritas ao nível de emulações oferecidas por serviços. E os Honeypots de pesquisa, por
sua vez, não emulam serviços.
Honeypots têm, contudo, duas desvantagens. Em primeiro lugar, seu alcance é
limitado, uma vez que esses sistemas capturam e respondem somente as informações dos
ataques dirigidos a eles. Em segundo, um fator comum a todos os outros modelos de
segurança: toda tecnologia oferece certo fator de risco; por serem um sistema não
produtivo um Honeypot comprometido pode ser usado para atacar sistemas produtivos,
portanto os Honeypots não substituem as técnicas de segurança de informação já
existentes, devendo ser usados para complementar as técnicas já existentes e consagradas
mundialmente.
6
Já para os Honeypots de alta interatividade, estudado nesse trabalho, utilizamos os
Honeynets com o objetivo de criar um ambiente real de rede composto por Firewall,
roteadores e IDS. São Honeypots com alto nível de interação e fornecem maior riqueza de
informações, mas, em contrapartida, representam um risco significativamente maior.
2.1.1 Honeynets
A Honeynet é um tipo de evolução do Honeypot, ou seja, é uma rede preparada para
ser comprometida. Seriam múltiplos Honeypots em conjunto com um Firewall, formando
assim uma rede.
A idéia inicial foi de Lance Spitzner, analista de segurança da Sun Microsystem,
que resolveu conectar uma máquina Linux à Internet e os resultados obtidos não tiveram
grandes sucessos iniciais, mas com o passar do tempo as novas pesquisas realizas em cima
dele foram desenvolvidas e dois elementos foram cruciais para a criação e manutenção
bem sucedida de um Honeynet. Que são: contenção e captura de dados.
Honeynet é um tipo de Honeypot de pesquisa basicamente. São redes de sistemas
para serem atacados, onde nenhum serviço é emulado. Utilizam sistemas operacionais reais
em instalações semelhantes às de produção com a intenção de que o atacante tenha êxito
em sua tarefa, mas que todas as suas atividades sejam devidamente capturadas e
controladas sem o seu conhecimento.
O maior desafio em construir uma Honeynet está na falta de uma solução pronta.
Tais ambientes constituem, na prática, em uma arquitetura. E basicamente, sistemas
vulneráveis são distribuídos em uma rede controlada, isolada da rede produtiva, que
contém diversos sistemas operacionais distintos oferecendo os serviços variados, onde é
possível acompanhar tudo o que está acontecendo com esses sistemas alvos.
Ao longo de pesquisas pode-se notar que a Honeynet não é um produto que você
simplesmente instala o software de um CDROM e o deixa de lado. A Honeynet é uma
arquitetura, uma rede controlada e usada para conter, analisar as ferramentas e os motivos
dos ataques.
A seguir apresentam-se duas gerações de Honeypots, mas é interessante notar a de
segunda geração das ferramentas de pesquisa, onde Honeynet é baseada e combinada com
velhas e novas tecnologias, acrescenta flexibilidade, comodidade e segurança às
Honeynets, possuem particularidades em relação à primeira geração, entre elas o conceito
Honeywall, que é um mecanismo de administração com o foco no gerenciamento de rede e
7
que trabalha na segunda camada de rede. A figura 1 apresenta a arquitetura de primeira
geração de Honeynet e a figura 2 apresenta a arquitetura de segunda geração da Honeynet.
Figura 1 – Arquitetura da Primeira Geração de Honeynet
Figura 2 – Arquitetura da Segunda Geração de Honeynet
Uma Honeynet está baseado em dois importantes requisitos: controle de dados e
captura de dados, que serão explicados logo a seguir. O objetivo do primeiro é reduzir os
riscos, garantindo que o Honeypot comprometido não seja utilizado para atacar sistemas
produtivos, já o segundo procura certificar todas as atividades desenvolvidas pelo atacante
ou intruso no ambiente, sendo detectado e capturado. Esses requisitos devem ser satisfeitos
sem que o intruso note que seus passos estão sendo monitorados e controlados.
8
O Honeywall é o principal componente da arquitetura. Esse computador isola o
tráfego da Honeynet através de uma ponte transparente que possui capacidade de filtragem.
Assim, a ponte pode ser usada como um Firewall transparente entre a Honeynet e o
restante da rede, elemento crucial para o controle dos dados no ambiente.
Este computador também roda um sistema de detecção de intrusos de rede, o IDS,
que analisa e registra em log todo o tráfego da ponte, gerando alertas quando potenciais
ameaças são encontrados.
Os logs do sistema de detecção de intrusos são usados por uma ferramenta que gera
relatórios contendo estatísticas sobre as ameaças mais comuns e informações sobre os
intrusos, que são emitidos diariamente via cron e enviados por e-mail para o root da
máquina.
Para garantir a integridade dos arquivos de sistemas, é utilizado um sistema local de
detecção de intrusos para gerar um banco de dados inicial com as informações sobre os
arquivos de sistema. Em caso de suspeita de invasão, um novo banco de dados é gerado e
comparado com o banco inicial para saber se algum arquivo de sistema foi modificado.
O acesso ao Honeywall é feito exclusivamente através da interface administrativa
via SSH, restrito pelo Firewall a um pequeno conjunto de computadores. Nenhum acesso
externo é autorizado, e somente o tráfego gerado pelo sistema de captura de dados dos
Honeypots é permitido e os restantes são negados.
2.1.1.1 Controle de dados
Uma maneira eficaz de separar os Honeypots da rede produtiva é isolar através de
uma ponte transparente. Como a ponte trabalha na camada de enlace de dados, não há
decremento do tempo de vida dos pacotes, roteamentos ou endereços físicos que possam
servir como impressões digitais da Honeynet. Assim, força-se todo o tráfego destinado aos
Honeypots a passarem por um equipamento invisível, permitindo que os intrusos acessem
os sistemas que são alvos sem praticamente nenhuma restrição, mas controlando tudo o
que sai da Honeynet para o restante da rede.
O principal objetivo do controle de dados é, portanto, permitir qualquer atividade
iniciada a partir da Honeynet, mas impedir que esta cause danos. Uma opção é permitir
todas as conexões entrantes, mas descartar todas as conexões iniciadas a partir da
Honeynet. Contudo, isso reduz o nível de interação do intruso e facilita a identificação do
ambiente. Uma alternativa implementada nas Honeynets da primeira geração é limitar o
9
número de conexões iniciadas na Honeynet. Embora isso aumente a interatividade, não
diminui a chance de detecção.
Uma segunda opção, utilizada nas Honeynets de segunda geração, é acrescentar
uma segunda camada de segurança, um sistema de prevenção de intrusos IPS. Esse sistema
tem a mesma capacidade de detectar ataques de um IDS, mas pode bloquear ataques
quando são identificados, descartando os pacotes, alterando-os ou até mesmo inserindo
regras de filtragem de pacotes na ponte. Entretanto, como esses sistemas são baseados em
regras e assinaturas, um ataque desconhecido pode passar por mais essa camada de
segurança. Portanto, mesmo que alguma atividade não seja detectada pelo IPS, deve-se
garantir que toda a ação foi devidamente registrada pelo ambiente, pois identificando o
padrão de ataque, há a possibilidade de disseminar a informação e criar os meios de
proteger os outros sistemas.
2.1.1.2 Captura de dados
Para ser eficaz na captura de dados, uma Honeynet deve dispor de métodos de
captura. A princípio, somente a seqüência de teclas pressionadas parece suficiente para
determinar as intenções do intruso no sistema, mas isso não é verdade. Se, por exemplo,
um script for executado, não saberemos que modificações foram realizadas no sistema.
Obter o script é, portanto, tão importante quanto registrar a seqüência de teclas. Logo, a
captura de dados deve abranger diversas camadas do sistema.
A primeira camada é a ponte transparente. O sistema de detecção de intrusos que
identifica e bloqueia os pacotes suspeitos também escuta e grava cada pacote. Com esses
registros podemos obter informações valiosas, tais como: contas, senhas e arquivos
transferidos. Mesmo quando os protocolos são criptografados, podemos ao menos
determinar qual o sistema usado pelo ofensor pela assinatura dos pacotes e possivelmente
localizá-lo.
A segunda camada são os logs do Firewall, que registram todas as conexões que
atravessam a ponte. A primeira fornece detalhes importantes da atuação do intruso porque
pode revelar quais foram os métodos usados contra o sistema, sua eficácia e motivo por
qual falhou, especialmente em casos de scans e ataques de força bruta. Já as conexões de
saída podem revelar o intuito do ofensor. Podendo ser que a máquina tenha sido invadida
com o propósito de hospedar um servidor de e-mails que enviará milhares de SPAMs por
dia, ou então como um micro para um ataque de DDOS.
10
E por fim, registrar as teclas pressionadas pelo atacante. Embora essa pareça ser a
mais simples das camadas, existe uma dificuldade: criptografia. Atualmente, protocolos
criptografados são amplamente utilizados para acesso remoto. Mesmo quando esses
serviços não estejam instalados em uma máquina comprometida, é comum que o intruso
instale uma versão própria.
Para superar essa dificuldade, as Honeynets contam com uma série de modificações
para o kernel dos sistemas alvo, que permite registrar todas as atividades do intruso nessas
máquinas, tais como teclas pressionadas e arquivos transferidos, mesmo quando protocolos
criptografados são utilizados. Além disso, permitem que essas informações sejam
transferidas pela Honeynet sem que o intruso note para serem armazenadas em uma
máquina protegida.
2.1.2 Firewall
O Firewall está a cada dia se tornando um recurso de rede altamente sofisticado na
segurança.
Firewall é uma barreira inteligente, um componente de contenção de fluxo de
dados com importante papel, que faz a intercomunicação e a filtragem dos dados entre
distintas redes.
Um diferencial apresentado nesse trabalho é a tecnologia bridge, que tem a
finalidade de tornar o Firewall transparente. Uma bridge existe fisicamente, mas não serve
como gateway de saída da rede. Tornando assim, uma técnica que faz com que ele passe
despercebido, ou seja, não detectável por um ataque externo, uma vez que não insere passo
de rota e os pacotes que passam pela bridge não podem ser traçados. A figura 3 ilustra a
topologia da ponte transparente na arquitetura Honeynet.
Figura 3 – Topologia Honeynet ilustrando a ponte transparente
11
A implementação de uma ponte transparente é um diferencial, o funcionamento
inicial foi com o ARP desabilitado nas interfaces-membro, para evitar conflitos de IP com
a interface administrativa.
2.1.3 Roteador
O roteador nada mais é que uma peça chave que faz a interconexão e decide o
caminho a seguir do pacotes, baseando-se nas suas configurações internas, utilizando
protocolos de roteamentos que decidem, através de tabelas das rotas, os caminhos para
onde serão enviados os pacotes.
2.2 Estrutura Honeypot do IFGW
A Honeynet do IFGW iniciou suas instalações no primeiro semestre do ano de 2006
e com a utilização de apenas programas open source e equipamentos que não estavam em
reais produções foram reativados.
Inicialmente a Honeynet contou com somente um sistema alvo e hoje está sendo
ampliado com esse trabalho através de sistemas com mais vulnerabilidades.
Baseados na arquitetura das Honeynets de segunda geração. O Honeywall está
sendo utilizado conectando os Honeypots à rede administrativa através de uma ponte
transparente que é denominada if_bridg, onde o tráfego é controlado por um Firewall. Um
sistema de detecção de intrusos baseado em rede, analisa a atividade de rede emitindo
alertas e registrando todo o tráfego.
O Honeywall é quem centraliza as funções de captura e controle de dados, utiliza o
sistema operacional FreeBSD, versão 6.1. E utiliza os modos de interfaces a seguir:
• Interface interna: é a interface-membro da ponte transparente onde os Honeypots
serão conectados.
• Interface externa: é a interface-membro da ponte transparente que será conectada à
rede institucional.
• Interface administrativa: interface exclusiva para administração.
O Firewall padrão do FreeBSD é denominado ipfw2 e faz a filtragem do tráfego da
ponte transparente. O processo é feito em cada uma das interfaces-membro da ponte
12
transparente, o que torna possível utilizar regras distintas para o tráfego de entrada e para o
tráfego de saída. E em resumo, as regras de filtragem consistem em:
1. Permitir o tráfego UDP proveniente do kernel modificado dos Honeypots.
2. Negar explicitamente e registrar todo o tráfego restante originado dos Honeypots.
3. Uma regra para cada protocolo, TCP, UDP ou ICMP, de entrada ou de saída, em
cada uma das interfaces membro do bridge para cada um dos Honeypots.
4. Permitir DNS, MAIL, SSH, NTPDATE e RIP na interface administrativa.
5. Registrar em log todas as conexões pela ponte.
Quando aplicável, o estado da conexão é mantido. A regra padrão é negar todo o
tráfego que não satisfazer nenhuma das regras e Firewall inclusivo.
E por fim o sistema de detecção e prevenção de intrusos que serve para monitorar a
Honeynet, implementado através do snort_inline. O snort_inline é utilizado para o uso em
Honeynets como sistema de detecção e prevenção de intrusos. O sistema de detecção é
baseado em assinaturas e regras, mas existem plug-ins disponíveis que empregam
heurística. A versão utilizada foi a snort_inline-2.3.01, disponível nos ports do sistema.
2.3 Os ataques e as ameaças
Segundo Shirey, “um ataque corresponde a um comprometimento em nível de
sistema de segurança através de um ato inteligente ou deliberado, afetando serviços e
violando a política de segurança de um sistema”.
As ameaças consistem em possíveis violações na segurança de um sistema real, tais
ameaças podem ser caracterizadas principalmente por:
• Interrupções de serviços;
• Destruição de informações;
• Modificações de informações;
• Revelação de informações privadas;
• Roubos, perdas e remoções de informações diversas ou de outros recursos.
Alguns dos principais ataques, que podem ocorrer em um ambiente real, ou seja,
em um ambiente de comunicação constante de dados de informação são:
• Personificação (Masquerade): Uma entidade na qual faz passas por outra, ou seja,
uma entidade que possui privilégios limitados pode se fingir de outra para a obtenção de
privilégios extras. E é mais conhecida como spoofing.
13
• Relay: Uma mensagem é interceptada e logo em seguida é transmitida para produzir
um efeito não autorizado.
• Modificações: O conteúdo e a informações de uma mensagem é alterado sem que o
sistema consiga detectar a alteração.
• Recusa ou Impedimento de Serviços: Acontece quando uma entidade não executa
sua função apropriadamente ou atua de forma a impedir que outras entidades executem
suas funções. O tipo de ataque, dessa linha é o DoS, ou ataque negativo de serviço.
• Ataques Internos: ocorrem quando usuários legítimos comportam-se de modo não
autorizado ou não esperado.
• Armadilhas (Trapdor): acontece quando uma entidade do sistema é modificada para
produzir efeitos não autorizados em respostas a um comando, no caso, emitido pela
entidade que está atacando o sistema, ou a um evento, ou seqüência de eventos
predeterminados.
• Cavalo de tróia (Trojan Horses): nesse ataque mundialmente conhecido, uma
entidade executa funções não autorizadas, em adição às que estão autorizadas a executar.
Um procedimento de login modificado, que, além de sua função normal de iniciar a sessão
de trabalho dos usuários, grava suas senhas em um arquivo desprotegido.
2.4 Atrativos para ataques
As vulnerabilidades são os maiores atrativos para os ataques, assim como os Bugs,
problemas encontrados nos softwares, que também são soldados por invasores e os
diversos administradores devem estar atentos e familiarizados com os ambientes em que
estão trabalhando.
Um cliente cheio de vulnerabilidades, com softwares desatualizados, Bugs e serviços
sendo executados diariamente tornam-se um ótimo atrativo em potencial para os invasores.
Os atrativos são extremamente importantes para um projeto Honeypot principalmente
para chamar o invasor a visitar sua rede.
Podemos chamar esses atrativos de Honeytokens e o termo foi definido por Prof.
Augusto Paes de Barros no ano de 2003. No qual o objetivo dos Honeytokens é um
chamariz para o atacante, palavras do autor. E depois aprimorado por Lance Spitzner,
trazendo mais conhecimentos e conceitos.
14
2.5 Honeytokens
Para aumentar o conteúdo do Honeypot, atrativos são necessárias para tornar a rede
mais ativa e parecer mais real. Esses atrativos chamados de Honeytokens, nada mais são do
que informações falsas inseridas no Honeypot, sob formas diversas simulando serviços
reais.
2.5.1 A definição de Honeytokens
Ao considerarmos que Honeypots são sistemas computacionais cujo principal
objetivo é ser sondado, atacado e comprometido, expomos uma das fragilidades do sistema
já estudado, que é o fato de que há um hardware, um equipamento que pode ser explorado
e que pode ser utilizados para se fazer mais ataques contra o resto da rede; Honeytokens
então transcendem esta definição por não serem equipamentos, mas pedaços de informação
caracterizada conforme padrões complexos criados pelo administrador.
Uma das muitas vantagens já conhecidas da utilização de um Honeypot reside no
fato de que o tráfego a ser analisado em um Honeypot é consideravelmente menor do que
aquele que há em IDS´s e Firewalls, visto que um Honeypot gera menos alarmes falsos.
Honeytokens também geram menos alarmes falsos através da inserção de
informações características que podem ser analisadas pelo conteúdo, em contrapartida às
análises baseadas em comportamento e assinatura, demonstrando acessos indevidos a
informações que nunca seriam acessadas através do comportamento padrão do uso do
serviço.
Os Honeytokens então são pequenos conjuntos de informações que são inseridos
em bancos de dados ou massas de informações, cujo sentido específico não é válido, mas o
tráfego na rede representaria um acesso indevido. Com estas características, podemos
exemplificar um Honeytokens, como algumas da seguinte forma:
• Uma conta específica: Com a criação de uma conta específica de usuário com
direitos limitados e com uma configuração de segurança fraca, inserido a exemplo em um
sistema Linux, uma conta chamada “Administrador” com a senha “Administrador”, cujo
acesso seria monitorado.
• Uma informação específica dentro de um arquivo: Através da inserção em um
arquivo de uma seqüência específica de dados, como um número de cartão de crédito falso
(“123443211199”) em uma base de dados, cujo tráfego pela rede seria monitorado,
gerando alarmes caso tal conjunto de dados fosse detectado;
15
• Um link oculto em um documento: Na criação dos documentos confidenciais de
uma empresa, pode se ocultar um pequeno link cujo destino resida em um site externo, se
possível de modo a representar qual documento está sendo acessado; esta técnica permitiria
que se fizesse um rastreamento de todos os acessos a um documento controlado.
2.5.2 Vantagens do uso de Honeytokens
Honeytokens aprimoram ainda mais uma das principais vantagens da tecnologia de
Honeypots como um todo, que é a diminuição de alarmes falsos. Através da inserção de
uma informação inválida na massa de dados, pode-se observar o mau-uso de informação,
acesso indevido e até rotinas de software que estejam incorretas. O tráfego de um
Honeytoken pela rede é característica de que algo incomum está acontecendo. Honeytokens
também podem ser utilizados para se construir padrões de comportamento do uso de um
sistema, expondo a rotina do tráfego de informações e auxiliando na construção dos
padrões que podem ser utilizados para análise pelos IDS baseados em comportamento.
2.5.3 Desvantagens de Honeytokens
Além de ser um conceito experimental, com pouco mais de um ano de criação, e
para o qual as primeiras RFC´s ainda estão sendo submetidas, os Honeytokens quando
aplicados sozinhos são ainda mais suscetíveis às fragilidades dos IDS. Se já é difícil para
um IDS identificar um tráfego anômalo que acontece várias vezes (por exemplo, diversas
tentativas de intrusão), quando apenas uma informação vital capaz de comprovar toda a
invasão trafega em meio a um grande conjunto de informações, há uma possibilidade
maior de que esta pequena informação seja ignorada. Quando se aplica Honeytokens em
Honeypots, no entanto, retira-se o elemento de dúvida da tentativa de invasão,
comprovando que o invasor realmente usou uma informação indevida para efetuar o
ataque.
2.5.4 Caso de uso de Honeytokens
A implementação de Honeytokens é dependente de análise dos dados que são
críticos para uma organização e a cada implementação é relacionado à relevância das
informações que são forjadas dentro de uma massa de dados.
Em um ambiente corporativo, considera que uma conta de administração é uma
informação de grande relevância, pois tal informação permitiria aos atacantes uma grande
16
parcela de controle sobre o sistema, mas quando se trata de utilizar um Honeytoken para
controlar o acesso à informação, é necessária uma análise do cenário e do tipo de
informação que a organização trafega, dificultando a criação de uma lista de melhores
práticas para implementação dos mesmos.
3 IMPLEMENTAÇÕES
Este capítulo apresenta uma introdução teórica sobre ataques e a implementação
realizada no trabalho, com o desenvolvimento de metodologias e ferramentas para
avaliação do Honeypot.
3.1 Descrição dos itens aplicados.
As ferramentas para analisar a intrusão são importantes para avaliar também o
Honeypot, onde podemos classificar o ataque como: a origem, que pode ser interna ou
externa e o objetivo do ataque, que pode ser ativo ou passivo.
Aos ataques o perfil do atacante também pode ser avaliado como sendo do tipo:
Hacker, Cracker, Script Kiddies, Defazer, Carder, Lammer, users. E as ameaças que pode
ser os Worms, trojans ou backdoors.
As simulações são importantes para tornar a rede mais real e mais atrativa para
chamar os intrusos. Para isso não devemos deixar de implementar os serviços básicos de
um servidor de produção. E os itens abaixo são primordiais:
• Criação de contas e usuários, podendo conter nomes fictícios e adicionados com
senhas normalmente;
• Troca de e-mails (SMTP e POP3);
• FTP, TELNET;
• Servidor WEB, no caso podemos citar o APACHE e mais um Banco de Dados.
3.2 A busca por vulnerabilidades
Uma das formas de identificar um host vulnerável é a utilização de ferramentas que
fazem varreduras e estas são chamadas Port Scanning.
O Port Scanning é muito útil, tanto para atacantes como administradores de redes.
Ele é um processo de verificação de quais serviços estão ativos em uma determinada
17
máquina ou dispositivo de rede. As ferramentas de Port Scanning podem verificar uma
rede inteira. E o nmap é uma ferramenta Port Scanning utilizada nesse trabalho, a
descrição dele é simples, é uma ferramenta que detecta dispositivo passiveis ou não de
vulnerabilidade (portas, serviços e sistemas operacionais) e podem fazer varreduras de uma
rede inteira, com varias opções.
Exemplo de um nmap em ação, que encontra apenas uma porta TCP:
Not shown: 1617 closed ports, 72 filtered ports
PORT STATE SERVICE
631/tcp open ipp
Not shown: 1615 closed ports, 72 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
631/tcp open ipp
Com a utilização do nessus, podemos chegar a mais detalhes com a mesma
seqüência de portas:
ipp (631/tcp)
http (80/tcp)
ssh (22/tcp)
O grande detalhe é o resumo de todas as portas, contendo as notificações, assim
como os fatores de risco e um fator interessante que é a versão do software e o aplicativo
que está habilitando determinada porta.
3.3 Exploits
Exploit é um programa que explora Bugs em um software ou sistema operacional
determinado. Todos os exploits são específicos, eles fazem determinadas varreduras,
exploram diversos Bugs que por sua vez irão também explorar programas diversificados.
Os Exploits são feitos geralmente para adquirir o status de "root" nos sistemas
operacionais, principalmente em sistemas Unix. Eles alcançam este privilégio pela
18
exploração de um Bug em um software, já que este estará rodando como root. Nos tipos de
sistemas como o Unix, um software deve estar rodando como root (ou UID 0) para poder
executar tarefas específicas que não podem ser executadas por um usuário normal.
3.3.1 Tipos de Exploits
• DoS attack: é um tipo de attack onde o hacker explora as vulnerabilidades dos
sistemas operacionais, específicos softwares e a família de protocolos TCP/IP.
• DDoS attack: são complicados e envolvem quebra de segurança/invasão de
máquinas conectada a Internet.
• Smurf attack: é um simples attack baseado em IP spoofing e Broadcast.
• TCP SYN Flood attack: tira vantagem do comportamento do 3 way handshake
efetuado pelo protocolo TCP no processo de uma conexão.
• Ping Flood attack: é uma técnica de attack que tenta saturar uma conexão de
Internet através do envio continuo de uma serie de “pings” originados tipicamente em
redes de alta velocidade para redes de baixas velocidades.
3.4 Sistema de detecção de intrusão (IDS)
A detecção de intrusão, assim como outras grandes tecnologias, tem sido usada
frequentemente para a detecção de ataques diversos. A detecção de intrusão é um processo
de monitoração e análise de eventos produzidos em sistemas informatizados buscando
resíduos na ocorrência de falhas e problemas na segurança. E possuem as seguintes metas
primordiais:
• Identificação: é a capacidade de verificar a ocorrência de atividades maliciosas.
• Atribuição de responsabilidade: é a capacidade de relacionar certa atividade ou
evento ao responsável por sua ocorrência.
• Resposta: é a capacidade de executar ações para notificar usuários a respeito do
ataque e restringir o acesso a recursos de modo a bloquear o ataque.
A detecção de intrusão iniciou o seu desenvolvimento a partir de 1980. Desde
então, pesquisas vêm sendo desenvolvidas, produzindo uma grande variedade de
estratégias de solução nessa área.
19
3.5 Implementação com Live-CD
A implementação de um Live-CD nesse trabalho teve como principal funcionalidade
o sistema com atrativos, que pode ser atacado mais facilmente, porém se grandes
modificações forem realizadas, possibilitará apenas dar o “boot” novamente e retornar
como antes, sem dar o trabalho de ter que configurar tudo novamente na máquina.
Live-CD é um CD de boot imediato que contém uma distribuição GNU/Linux e que
não precisa ser necessariamente instalada no disco rígido do usuário uma vez que o sistema
operacional é executado diretamente a partir do CD e da memória RAM.
A maioria dessas distribuições também permite que se instale o sistema operacional
no disco rígido com as mesmas configurações do sistema que roda no CD, caso o usuário
deseje, mas esse não é o grande foco do Live-CD.
O CD contém os programas mais comuns que são descompactados para serem
executados. É bastante útil para se testar a funcionalidade da distribuição antes de instalar
em disco, quiosques e terminais de consultas. A figura 4 ilustra a estrutura, com a
implementação do Honeytoken junto com o Honeypot.
Figura 4 – Estrutura da implantação com Live-CD
3.6 Aplicações, testes e resultados obtidos
Os primeiros testes realizados foram em máquinas com o aplicativo VMware, com
o intuito de testar as compatibilidades entre o sistema operacional e os serviços que seriam
implementados.
20
A versão do VMware foi 5.5 e foi utilizado no Windows e nele foram feitos testes
com sistemas operacionais FreeBSD 6.1, Suse 10.0, Fedora Core 5, Ubuntu 6.06, Slax, que
é uma versão em Live-CD do Slackware e o Kurumin versões 3.1, 3.2, 5.0 , 6.0, 6.1 e 7.0.
VMware são programas que criam máquinas virtuais dentro de um sistema real,
com ela é possível se ter um OpenBSD instalado na máquina, rodando ao mesmo tempo
com um Linux, a VMware é instalada no Linux e cria-se uma máquina virtual com o
OpenBSD instalado e podemos rodar as duas em paralelo e criar uma rede entre elas para
facilitar o estudo e possivelmente para se emular redes de sistemas variados.
As aplicações iniciaram com a utilização de um Sistema Operacional Linux
Kurumin 5.0, por se tratar de um aplicativo cliente, sem ser servidor, justamente com o
intuito de ser invadido e ser um chamativo para ataques.
O Kernel foi definido como o padrão instalado na versão 2.6.14 e com a finalização
da instalação do Kurumin, todos os pacotes foram instalados como default e atualizados.
Logo em seguida o Apache com a versão 2.0.59 foi instalado e habilitado para
trabalhar na porta 80, no fim habilitado o SSH-1.99-OpenSSH_3.8.
Com a implementação de um cliente vulnerável foi inicializado o processo de
varredura com os aplicativos nessus e nmap, atrás de vulnerabilidades com resultados
satisfatórios, porem não grandiosos por se tratar de protótipo simples.
A utilização de Back doors permitiu um acesso ilegal ao sistema no qual informou
detalhes do documento Apache instalado e também do SSH.
3.7 Resultados dos logs de ataques
A seguir temos alguns logs fornecidos, após alguns ataques realizados:
Nov 28 03:10:45 agis snort[46965]: [1:483:5] ICMP PING CyberKit 2.2 Windows
[Classification: Misc activity] [Priority: 3]: {ICMP} ATACANTE -> VITIMA
Nov 28 03:09:03 agis snort[46965]: [1:469:3] ICMP PING NMAP [Classification:
Attempted Information Leak] [Priority: 2]: {ICMP} ATACANTE -> VITIMA
Nov 28 03:00:04 agis snort[46965]: [122:1:0] (portscan) TCP Portscan {PROTO255}
ATACANTE -> VITIMA
Nov 28 02:59:21 agis snort[46965]: [1:1078:8] WEB-MISC counter.exe access
[Classification: access to a potentially vulnerable web application] [Priority: 2]: {TCP}
ATACANTE -> VITIMA
21
Nov 28 02:59:20 agis snort[46965]: [1:1112:6] WEB-MISC http directory traversal
[Classification: Attempted Information Leak] [Priority: 2]: {TCP}
ATACANTE -> VITIMA
Nov 28 02:59:19 agis snort[46965]: [1:1122:5] WEB-MISC /etc/passwd
[Classification: Attempted Information Leak] [Priority: 2]: {TCP}
ATACANTE -> VITIMA
Nov 28 02:59:19 agis snort[46965]: [119:2:1] (http_inspect) DOUBLE DECODING
ATTACK {TCP} ATACANTE -> VITIMA
Nov 28 02:59:19 agis snort[46965]: [119:18:1] (http_inspect) WEBROOT DIRECTORY
TRAVERSAL [Classification: Attempted Information Leak] [Priority: 2]: {TCP}
ATACANTE -> VITIMA
Nov 28 02:59:18 agis snort[46965]: [1:1594:10] WEB-CGI FormHandler.cgi access
[Classification: access to a potentially vulnerable web application] [Priority: 2]: {TCP}
ATACANTE -> VITIMA
Nov 28 02:58:58 agis snort[46965]: [1:1637:7] WEB-CGI yabb access [Classification:
Attempted Information Leak] [Priority: 2]: {TCP}
ATACANTE -> VIITMA
Nov 28 02:58:43 agis snort[46965]: [1:1088:11] WEB-CGI eXtropia webstore directory
traversal [Classification: Web Application Attack] [Priority: 1]: {TCP}
ATACANTE -> VITIMA
4 DIFICULDADES ENCONTRADAS
Foram realizadas testes em sistemas operacionais antigos, na busca de sistemas
mais vulneráveis, porém as tentativas foram se encerrando a medida que outros aplicativos
estavam sendo instalados, pois a cada aplicação antiga instalada, menos possibilidade de
compatibilidade era encontrada.
A escolha e a criação do Live-CD foi inicialmente elaborada, porém ocorreram
erros ao incluir o serviço Apache, tornando o Live-CD incompleto e no lugar do Live-CD
foi implementado o sistema com bugs direto no Hard disk.
O ataque ao SSH na tentativa de entrada não teve sucesso, porém a realização de
portscan nos forneceu apenas o subsídios básicos como informação.
22
5 CONCLUSÃO
A pesquisa desenvolvida ao longo deste trabalho buscou focar nos conceitos gerais e
principais de um Honeypot. Com o crescimento e a abrangência de novas tecnologias
utilizadas dentro da área de redes e comunicação, o uso do Honeypot tornou-se útil e
necessário para garantir a integridade e controle dos dados que trafegam em sistemas e a
solução desse conceito pode ser fundamental para criar novas soluções contra ataques
desconhecidos e altamente perigosos.
Para a implantação de um sistema seguro de rede é necessário conhecer as tecnologias
empregadas e o Honeypot é uma tecnologia que pode ser implementada e que já está sendo
implementadas em instituições e empresas para estudos na proteção e segurança da
informação.
Fica fácil perceber que novas tecnologias devem ser empregadas como forma de
proteger nossos dados, o Honeypot é importante para estudar novas formas de proteção e
estudar como sua rede se comporta ao ataque de invasores.
Podemos concluir que o Honeypot é um recurso importante para estudos e
implementações.
5.1 Contribuições
Resumidamente, as principais contribuições gerais deste estudo são a busca de novas
técnicas de estudos para a segurança de redes.
Outras contribuições foram importantes para análise técnicas e intrusivas, no
combate a invasores.
E por fim contribuiu para que o conceito Honeypot implementado, pode ser
aprimorado e assim, ajudar em grandes pesquisas no combate a ataques e invasões em
sistemas seguros.
5.2 Extensões
Este trabalho pode ser continuado com novas tecnologias, como por exemplo,
pesquisas em redes wireless que ainda é um pouco escassa, tornando os estudos para esse
tipo de transmissão altamente desafiadora e tornar a segurança mais consistente.
23
Finalizar um Live-CD com atrativos e com os serviços do servidor web Apache
instalados no Live-CD.
E em futuros projetos o tema Honeypot poderá ser abordado junto com outros
assuntos de redes, como por exemplo: Firewall Camada 7 e Protocolo IPv6.
Além dessas o trabalho pode estar em constante crescimento com pesquisas e
soluções para aprimorar os Honeypots.
6 REFERÊNCIAS BIBLIOGRÁFICAS
[1] Honeynet BR Project. Disponível via URL em: http://www.Honeynet.org.br. Acesso
em 02 – julho – 2006.
[2] Honeypots. Disponível via URL em: www.Honeynet.org. Acesso em 02 – julho –
2006.
[3] MARCELO, Antonio; PITANGA Marcos. Honeypots A arte de iludir hakers.
BRASPORT, 2003.
[4] SPITZNER, Lance. Honeypots: Tracking Hackers. Addison Wesley, September
2002.
[5] Cheswick, W. R.. An evening with berferd in which a cracker is lured, endured
and studied, 1992. In Proceedings of the Winter 1992 USENIX Conference.
[6] SHIREY, R. Internet Security Glossary: RFC 2828. Internet Engineering Task Force,
Network Working Group, 2000.
[7] STOLL. Cliff. The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer
Espionage, USA: Pocket Books, 2000.
[8] Nmap - Free Security Scanner For Network Exploration & Security Audits. Disponível
via URL em http://www.insecure.org/nmap. Acesso em: 04 agosto 2006
[9] NESSUS - Vulnerability Scanner. Disponível via URL em http://www.nessus.org.
Acesso em: 04 agosto 2006.
[10] VMWARE. Virtual Infrastructure Software. 1998. Disponível via URL em
http://www.vmware.com. Acesso em: 20 julho 2006.