Honeypots - Definições
Introdução
A tecnologia dos sistemas de detecção de intrusões baseados em dissimulação, ou “honeypots”, vem evoluindo cada vez mais.
Utilizados inicialmente por pesquisadores como uma forma de atrair hackers a um sistema de rede, para que seus movimentos e comportamentos pudessem ser estudados, os honeypots hoje passam a representar um importante papel na segurança corporativa.
Proporcionando a detecção preventiva de atividades de rede não autorizadas, os honeypots hoje são muito importantes para os profissionais de segurança de Tecnologia de Informação.
Um honeypot geralmente é um sistema que é colocado em uma rede para que possa ser sondado e atacado.
Como não possui nenhum valor produtivo, não há nenhum uso “legítimo” para ele.
Isso significa que qualquer interação com o honeypot, como uma sondagem ou verificação, pode ser, a princípio, suspeita.
Honeypots ou “Potes de Mel”, nada mais é que a tática implementada pelas empresas de segurança para atrair e detectar novas falhas em redes.
Tipos de Honeypots
Honeypots de pesquisa
Têm despertado muita atenção, pois são usados para obter informações sobre as ações de intrusos.
O Honeynet Project, por exemplo, é uma organização voluntária de pesquisa de segurança que utiliza os honeypots para coletar informações sobre ataques cibernéticos.
Honeypots de produção
têm despertado menos atenção, apesar de serem utilizados para proteger as empresas.
Porém, cada vez mais os honeypots vêm sendo reconhecidos pela capacidade de detecção que podem proporcionar e pelas maneiras com que suplementam a proteção contra intrusões baseadas na rede e no host.
Riscos de Implementar um Honeypot
Este é um sistema de defesa/prevenção de novos ataques, existem poucas aplicações concretas, mas o que se sabe é que há bastante agitação em torno dos honeypots no meio das empresas que oferecem serviços de segurança para Internet.
Especialistas indicam que a implementação de um sistema honeypots só é válido em empresas que já possuam uma cultura de segurança bem avançada.
É conveniente desenvolver o máximo possível à arquitetura de segurança da empresa, o que passa por uma boa gestão e pela administração dos elementos instalados.
Vantagens de Implementar um Honeypot
Poucos logs gerados
O sistema gera poucos logs, pois quase todos estes logs gerados são ataques reais ou atividades não-autorizadas.
Desde que os honeypots coletem somente a atividade maliciosa, fica muito mais fácil de analisar e reagir às informações que ele coleta.
Alertas de segurança mais realistas
Como a maioria das tecnologias de detecção de ataques, uma porcentagem grande de seus alertas são avisos falsos, ficando assim muito difícil decifrar o que é um ataque real e o que é um falso ataque.
Com honeypots, é detectado quase tudo, um ataque ou uma atividade não-autorizada, reduzindo totalmente alertas de seguranças falsos.
Funcionalidade simples
Entender o funcionamento de um sistema honeypots é muito simples, não há nenhum algoritmo avançado que impeça que outros usuários não entendam sua funcionalidade.
Melhor custo
Os honeypots são totalmente interativos para detectarem atividades maliciosas em um servidor; você não precisa de altos recursos de performance. A maioria deles pode facilmente funcionar em um computador velho, como um Pentium 2 e 128 MB da RAM.
Honeypots só funcionam em ataques?
Segundo a The HoneyNet Project, entende-se como honeypot um recurso que aumenta a segurança quando é posto à prova, atacado ou comprometido. Sendo assim, o honeypot só irá funcionar se for atacado.
Uma vez comprometido um servidor com honeypot, será possível analisar os dados para saber quais são as ferramentas e táticas utilizadas pelo hacker. É por esta via que os honeypots ajudam a reforçar a segurança da empresa.
Como citado no início deste artigo, há ainda poucas implementações concretas sobre honeypots, e as organizações que instalam ferramentas do tipo possuem um alto nível de segurança e se recusam a fazer qualquer comentário sobre implementações do tipo.
Honeypot trabalha como um firewall?
Um honeypot não atuará como um firewall, não bloqueará um acesso, esta não é sua função. A função dele é simples e pode ser caracterizada em dois pontos:
- Ele não faz mais nada além de reduzir ao máximo as vulnerabilidades de um servidor estudando os ataques.
- Obtendo informações sobre o ataque e o hacker que efetuou o mesmo, o administrador da rede poderá consertá-lo de modo que isso não ocorra mais.
Como os honeypots funcionam?
Os honeypots podem também ser descritos como de alta ou baixa interação, uma distinção baseada no nível de atividade que o honeypot permite a um agressor.
Um sistema de baixa interação oferece atividades limitadas; na maioria dos casos funciona através de serviços de emulação e sistemas operacionais.
Uma das principais vantagens dos honeypots de baixa interação é que eles são relativamente fáceis de implementar e manter, além de representarem um risco mínimo, pois um agressor nunca tem acesso a um sistema operacional real para que possa danificar os sistemas de seus usuários.
O “Honeyd” é um exemplo de um honeypot de baixa interação, sendo que sua função principal é monitorar o espaço de endereços IPs não utilizados.
Quando o Honeyd encontra uma tentativa de conexão a um sistema que não existe, ele intercepta a conexão e interage com o agressor, posando-se de vítima, além de capturar e registrar o ataque.
Por outro lado, os honeypots de alta interação envolvem sistemas operacionais e aplicativos reais, e nada é emulado. Ao permitir que os agressores interajam com sistemas reais, as empresas podem aprender muito sobre seu comportamento.
Os sistemas de alta interação são também flexíveis e os profissionais de segurança de TI podem implementá-los como desejarem. Além disso, esse tipo de honeypot fornece um alvo mais realista, capaz de detectar um calibre mais alto de um agressor.
Os honeypots de alta interação podem ser complexos para implementar, e requerem que tecnologias adicionais sejam implementadas para evitar que os agressores utilizem os honeypots para iniciar ataques em outros sistemas.
O Symantec Decoy Server e o Honeynet Project são exemplos de honeypots de alta interação.
Abraços,
Ranieri Marinho de Souza
Segurança da Informação
[…] Leia também: http://blog.segr.com.br/honeypots/ e http://blog.segr.com.br/ids/ […]