Honeypot, uma ferramenta para auxílio na segurança de dados
Publicado em 14 de novembro de 2019 por Hallef Herbeth Lisboa Vieira
Este estudo de caso, faz uso de um servidor centralizado Modern Honey Network (MHN), para coleta e gerência de dados gerados a partir de honeypots, que também podem ser chamados de sensores, com a função de simular ambientes vulneráveis dentro de uma determinada intranet de forma prática, a partir de uma interface amigável. Este servidor apresenta scripts de instalação para diversas Honeypots, dentre elas: Dionaea, Snort, Cowrie e outras.
De acordo com Spitzner (2003), as Honeypots popularmente conhecidas como “potes de mel” são recursos computacionais de segurança dedicado a ser sondado, atacado ou comprometido. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (Cert.Br) classifica as Honeypots em 2 categorias: Alta ou Baixa Interatividade, variando apenas a gama de recursos entre as mesmas.
A aplicação do servidor MHN foi instalada em um Virtual Private Server (VPS) com as especificações: 30GB ssd de armazenamento interno, 2GB de memória RAM com um endereço ip estático, rodando o sistema operacional Ubuntu Server versão 18.04 x64.
Objetivos
Coletar ataques por meio de uma honeypot escolhida, e analisar as principais formas de comportamento dos ataques detectados, para que fique explícito o nível de inseguridade das redes, e com isso apontar como uma das ferramentas de auxílio e acompanhamento contra falhas e ataques, às honeypots.
Metodologia
O trabalho assume uma abordagem quantitativa e qualitativa, tratando-se de um estudo de caso realizado em uma rede isolada de um provedor específico da região do 1 Modern Honey Network: é um servidor centralizado para gerenciamento e coleta de dados de sensores, visíveis a partir de uma interface da web elegante. 2 Honeypot: É um recurso computacional que funciona como sensor de segurança dedicado a ser sondado, atacado ou comprometido. 3 Script: conjunto de instruções para que uma função seja executada em determinado aplicativo. 4 Virtual Private Server: é uma máquina virtual vendida como um serviço por uma empresa de hospedagem Cariri. Onde foi necessário criar uma ferramenta de isca com quatro passos: (I) Instalar e configurar a plataforma MHN em uma máquina virtual (VPS), para armazenar os dados brutos dos sensores honeypot escolhidos; (II) A segunda etapa consiste em instalar e configurar os sensores Dionaea5 para monitoramento de comandos shell e Cowrie6 para monitorar ataques de força bruta; (III) A terceira etapa trata-se da instalação de uma ferramenta para interpretar e filtrar os dados brutos armazenados no servidor MHN originados dos sensores, por meio de um formato de representação de dados conhecido por JSON7 (JavaScript Object Notation) baseado na linguagem javascript; (IV) A última etapa consiste em executar uma ferramenta da plataforma para agrupar e analisar os dados coletados, a fim de apontar uma fácil interpretação sobre os ataques sofridos no estudo de caso.
Resultados
Durante a execução da ferramenta, a funcionalidade HoneyMap exibiu em tempo real cada ataque sofrido pelas honeypots com um alerta em vermelho para identificar a origem no mapa, assim pode-se ver na figura 1, os países de onde são originados mais ataques. [...]