HoneyPots em Linux

Uma análise sobre a função de um HoneyPot e o seu funcionamento.

[ Hits: 19.530 ]

Por: Douglas Gabriel Angeli em 28/11/2016


Linux



Agora que já conhecemos como o sistema honeypots funciona, podemos estudar mais a fundo seu uso em ambiente Linux, que é o Sistema Operacional mais utilizado no mundo para servidores e consequentemente o maior alvo de hackers, também é o que possuí mais opções de segurança. Esse artigo não tem como objetivo ensinar a efetuar a instalação do ambiente de Honeypots, mas caso queira preparar um você mesmo basta acessar o link nas referências.

Segue a configuração de uma máquina honeypot de média interatividade:
  • Máquina Linux Slackware com o kernel 2.4.29 com a rede configurada.
  • O software Honeyperl do projeto HoneypotBR.
  • O sistema de detecção de intrusão snort.
  • Um filtro de pacotes baseado no iptables com regras básicas para nossos serviços.
  • Perl versão 5.6.0 ou superior;
  • Nenhum servidor de rede instalado (ftp, web, correio etc);
  • Nenhum serviço de rede sendo executado pelo inetd;
  • Placa de rede configurada;
  • Uma conexão ativa com a Internet (pode ser via ADSL).

O IDS (Intrusion Detection Systems - Sistemas de detecção de Intrusão) é uma ideia que surgiu em meados da década de 80. Esse sistema tem o objetivo de registrar a invasão, modificar e preparar o sistema para resisti-la e, se possível, lançar um contra-ataque. Um IDS tem as seguintes características:
  • Análise e monitoramento dos usuários e serviços;
  • Auditoria do sistema para levantamento de vulnerabilidades;
  • Reconhecimento de padrões de ataques comuns;
  • Reconhecimento de padrões de violações ao sistema;
  • Análises estatísticas das atividades incomuns ao sistema;
  • Interação com a auditoria do sistema (logs).

O snort é um exemplo de IDS, sendo um software livre, ele é gratuito e pode ser baixado em sua página oficial. Foi desenvolvido por Martin Roesch, capaz de analisar o tráfego em tempo real de uma rede IP. Ele executa análise de protocolo, busca padrões de conteúdo e pode ser usado para detectar uma variedade de ataques, como buffer overflows, stealth port scans, ataques CGI, SMB probes, OS fingerprinting, entre outras. Funciona em arquiteturas RISC e CISC, e diversas plataformas como distribuições Linux, Windows e MACOS X.

O sistema também possui instalado o Honeyperl, desenvolvido em Perl. É um Honeypot de média interatividade e simula os seguintes serviços:
  • Squid que é um servidor Proxy Livre;
  • Apache um dos servidores web mais utilizados;
  • Alguns servidores de e-mail como Sendmail e MSExchange;
  • FTP protocolo de transferência de arquivos muito utilizado ainda hoje;
  • Echo Servidor que envia respostas ao cliente;
  • POP3 protocolo de recebimento de mensagens.
  • O Honeyperl ainda é capaz de detectar assinaturas de vírus.

Além de toda a instalação dos softwares necessários para executar o Honeypots, ainda devem ser feitas configurações no ambiente alvo das invasões. Definindo domínio, o serviço que ele simula, o tipo de conexão com a internet, servidor telnet, portas de conexão liberadas e um diretório com todas as regras. Após as configurações do Honeypots serem concluídas, caso esteja ativo, o analista pode monitorar via terminal todos os acessos que são feitos ao ambiente e estudar com detalhes o que ele faz enquanto conectado, todos os recursos e comandos utilizados. Essa informação ainda ficará gravada em logs para análises futuras.

Página anterior     Próxima página

Páginas do artigo
   1. Resumo
   2. Honeypot
   3. Honeynet
   4. Linux
   5. Coleta de dados
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Segurança em redes wireless

Mirror de atualizações do AVG Anti-Virus 8

Fundamentos da criptografia assimétrica

Portal de autenticação wireless (HotSpot)

Antivírus Clamav no Linux

  
Comentários
[1] Comentário enviado por Ghost_Shell em 30/11/2016 - 00:41h

Excelente artigo. Vai para os favoritos.

Keep it simple stupid!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts