Honeypot, uma ferramenta para auxílio na segurança de dados

Este estudo de caso, faz uso de um servidor centralizado Modern Honey Network (MHN), para coleta e gerência de dados gerados a partir de honeypots, que também podem ser chamados de sensores, com a função de simular ambientes vulneráveis dentro  de uma determinada intranet de forma prática, a partir de uma interface amigável. Este servidor apresenta scripts de instalação para diversas Honeypots, dentre elas: Dionaea, Snort, Cowrie e outras.

De acordo com Spitzner (2003), as Honeypots popularmente conhecidas como “potes de mel” são recursos computacionais de segurança dedicado a ser sondado, atacado ou comprometido. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.Br) classifica as Honeypots em 2 categorias: Alta ou Baixa Interatividade, variando apenas a gama de recursos entre as mesmas.

A aplicação do servidor MHN foi instalada em um Virtual Private Server (VPS) com as especificações: 30GB ssd de armazenamento interno, 2GB de memória RAM com um endereço ip estático, rodando o sistema operacional Ubuntu Server versão 18.04 x64.

Objetivos

Coletar ataques por meio de uma honeypot escolhida, e analisar as principais formas de comportamento dos ataques detectados, para que fique explícito o nível de inseguridade das redes, e com isso apontar como uma das ferramentas de auxílio e acompanhamento contra falhas e ataques, às honeypots.

Metodologia

O trabalho assume uma abordagem quantitativa e qualitativa, tratando-se de um estudo de caso realizado em uma rede isolada de um provedor específico da região do 1 Modern Honey Network: é um servidor centralizado para gerenciamento e coleta de dados de sensores, visíveis a partir de uma interface da web elegante. 2 Honeypot: É um recurso computacional que funciona como sensor de segurança dedicado a ser sondado, atacado ou comprometido. 3 Script: conjunto de instruções para que uma função seja executada em determinado aplicativo. 4 Virtual Private Server: é uma máquina virtual vendida como um serviço por uma empresa de hospedagem Cariri. Onde foi necessário criar uma ferramenta de isca com quatro passos: (I) Instalar e configurar a plataforma MHN em uma máquina virtual (VPS), para armazenar os dados brutos dos sensores honeypot escolhidos; (II) A segunda etapa consiste em instalar e configurar os sensores Dionaea5 para monitoramento de comandos shell e Cowrie6 para monitorar ataques de força bruta; (III) A terceira etapa trata-se da instalação de uma ferramenta para interpretar e filtrar os dados brutos armazenados no servidor MHN originados dos sensores, por meio de um formato de representação de dados conhecido por JSON7 (JavaScript Object Notation) baseado na linguagem javascript; (IV) A última etapa consiste em executar uma ferramenta da plataforma para agrupar e analisar os dados coletados, a fim de apontar uma fácil interpretação sobre os ataques sofridos no estudo de caso.

Resultados

Durante a execução da ferramenta, a funcionalidade HoneyMap exibiu em tempo real cada ataque sofrido pelas honeypots com um alerta em vermelho para identificar a origem no mapa, assim pode-se ver na figura 1, os países de onde são originados mais ataques. [...]