Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gonalves, Tiago Silva Campos, Gabriel Aparecido Silva, Adilson Antnio da Alcntara, Nataly Segurana / Bragana Paulista: IFSP- 2011. Monografia (Graduao). Curso de Manuteno e Suporte de Informtica - IFSP. Orientador: Luiz Antnio F. Barbosa
Talita Assinatura _______________________ Ths Assinatura _______________________ Adilson Antnio da Silva Assinatura _______________________ Edmara Assinatura _______________________
ALUNO
ALUNO
ALUNO
ALUNA
RESUMO
Honeypot um sistema que possui falhas de segurana (reais e virtuais),colocadas proposital, a fim de que seja invadido e que o fruto desta invaso possa ser estudado. Mas a frente vero como funciona cada falha de segurana real ou virtual. Existem dois tipos bsicos dele:
Em um honeypot de baixa interatividade so instaladas ferramentas para emular sistemas operacionais e servios com os quais os atacantes iro interagir.
Nos honeypots de alta interatividade os atacantes interagem com sistemas operacionais, aplicaes e servios reais.
Sumrio
1. A HISTRIA DO HONEYPOT ......................................................................................... 6 1.1. HONEYTOKENS ........................................................................................................ 7 1.2. HONEYFARMS .......................................................................................................... 7 2. O QUE HONEYPOT ...................................................................................................... 8 2.1. HONEYPOTS DE ALTA INTERATIVIDADE........................................................... 9 2.1.1. VANTAGENS: ......................................................................................................... 9 2.2. HONEYPOTS DE BAIXA INTERATIVIDADE ...................................................... 10 2.2.1. VANTAGENS: ....................................................................................................... 10 3. HONEYD ......................................................................................................................... 10 3.1. POR QUE UTILIZAR HONEYID? .......................................................................... 10 3.2. ARQUITETURA DO HONEYD ............................................................................... 11 4. HONEYNETS .................................................................................................................. 12 4.1. HONEYNETS REAIS ............................................................................................... 13 4.2. HONEYNETS VIRTUAIS ........................................................................................ 14 4.3. ABRANGENCIA ...................................................................................................... 15 4.4. TABELA COMPARATIVA ....................................................................................... 15 4.5. POSICIONAMENTO NA REDE .............................................................................. 16 4.6. HONEYNETS NO BRASIL ..................................................................................... 16 5. INSTALAO HONEYPOT NO LINUX ...................................................................... 17 6. VANTAGENS E DESVANTAGENS ............................................................................... 21 6.1. VANTAGENS ............................................................................................................ 21 6.2. DESVANTAGENS .................................................................................................... 21 7. INSTITUIES QUE UTILIZAM HONEYPOTS:........................................................ 22 7.1. LOCALIZAO ....................................................................................................... 22
6 INTRODUO
Com o nmero crescente de sistemas e servios comprometidos por atacantes atravs da rede, a segurana na informtica toma cada vez mais um papel preponderante no planeja- mento e desenvolvimento de redes organizacionais e institucionais. Os honeypots so parte integrante da segurana e visam passar por sistemas e servios reais, desprotegidos e vulnerveis, de modo a capturar informao sobre o atacante e os mtodos que este utiliza para atacar um sistema. Este processo realizado sem que o atacante perceba que est lidando com um honeypot e que est revelando informao que pode compro- met-lo perante as autoridades competentes. Deste modo, so apresentados e discutidos os dois tipos existentes de honeypots: honeypots de baixa interatividade e honeypots de alta interatividade, assim como as suas vantagens e desvantagens.
1. A HISTRIA DO HONEYPOT O honeypot um host cuja nica utilidade ser invadido, permitindo a anlise das aes do invasor e sua identificao na rede. O primeiro relato do uso de honeypots para observar as aes de um invasor citado em The Cuckoo's Egg, livro de Cliff Stoll, um astronomo e administrador de sistemas computacionais, formado na Universidade do Arizona. O livro Stoll conta como caou um hacker alemo que invadiu o Laboratrio Nacional de Lawrence Berkeley nos Estados Unidos, num perodo de 10 meses, compreendidos entre 1986 e 1987. Logo aps surge An Evening with Berferd in Wich a Cracker is Lured, Endured, and Studied, um artigo de Bill Cheswick, profissional de segurana, onde relata as tentativas de ataques ocorridas em um sistema construido para ser comprometido. Foi o primeiro artigo com grande teor tcnico e metodologia.
As primeiras ferramentas para utilizao como honeypots vieram sete anos mais tarde, com a pioneira Deception Toolkit (DTK), desenvolvida por Fred Cohen, em novembro de 1997. Era uma ferramenta gratuita desenvolvida em C e Perl para sistemas Unix. Logo depois, em 1998, a primeira ferramenta comercial, CyberCop Sting, foi desenvolvida por Alfred Huger, para Windows NT. Em 1999, surgiu o Honeynet Project, um grupo de pesquisa formado por 30 profissionais de segurana, liderados por Lance Spitzner, e dedicados a pesquisar sobre a comunidade hacker e compartilhar suas experincias. Em 2001, eles lanaram a srie de artigos Know Your Enemy que compilava suas experincias e pesquisas. Recentemente as pesquisas envolvendo honeypots e honeynets so baseadas em trs reas principais: Honeytokens, Honeyfarms e Honeypots Dinmicos.
1.1. HONEYTOKENS
Tradicionalmente os honeypots e honeynets so associados a computadores, recursos fsicos utilizados para monitorar e/ou bloquear ataques; a real definio de um honeypot, apresentada no incio desse trabalho, a de ser um recurso de segurana criado para ser sondado, atacado ou comprometido, no o restringindo a um item fsico. Qualquer informao que possa ser plantada nos processos de informao, que colabore com o objetivo inicial de um honeypot, pode ser chamada como tal. Esse tipo de honeypot no fsico foi convencionado por Honeytoken. Um Honeytoken pode ser uma conta de usurio com falsos privilgios, uma planilha, uma abertura em um banco de dados, uma apresentao em PowerPoint, ou um login falso, por exemplo.
Qualquer uso de informao disponibilizada atravs de um Honeytoken uma atividade no autorizada. Dessa forma, o Honeytoken uma tcnica antiga e extremamente simples, sendo indicada principalmente para deteco de ameaas internas. Uma conta aparentemente privilegiada, contendo senha fraca, pode ser disponibilizada na rede; se os sistemas de monitoramento e deteco de intrusos estiverem preparados, o uso de tal conta pode ser imediatamente detectado, ajudando a identificar algum tentando usar essa conta, ou seja, acesso no permitido. Honeytokens, no entanto, possuem muitos empecilhos, pois a caracterizao do uso indevido feita atravs de sistemas de deteco de contedo, e uso de criptografia ou compactao de dados atrapalham essa anlise. A principal aplicao dos Honeytokens est no estudo do comportamento de um atacante, quando este compromete o sistema; e no valor de atrao adicionado ao ambiente, por exemplo, honeypots contendo nmeros de carto de crdito so muito mais atrativos.
1.2. HONEYFARMS
Em ambientes corporativos grandes, com milhares de redes distribudas pelo mundo, o uso de honeypots invivel pelo custo exigido nos recursos e profissionais. O desafio aumenta ainda mais se for utilizado honeynets. Os honeypots de baixa interao capturam poucos dados, de grande valor sem dvida, mas nada comparado s honeynets, que so mais flexvel, poderoso e tambm mais complexo, consumindo muitas horas de trabalho, principalmente na anlise de argumentao. O acompanhamento de milhares de pontos de honeynet de uma rede consumiria tempo excessivo. Ento, uma soluo vivel a utilizao do conceito de Honeyfarm, que em vez de espalhar inmeros honeypots pela rede, simplificaria o processo concentrando-os em um nico lugar. Assim, toda atividade sem autorizao redirecionada, e os atacantes so encaminhados para um honeypot contido na Honeyfarm, achando que esto interagindo com um ponto de uma rede local.
2. O QUE HONEYPOT
Segundo Lance Spitzner, um honeypot (em portugus, pote de mel) um recurso computacional de segurana que disfara os seus valores ao ser sondado, atacado ou comprometido. Em outras palavras, uma ferramenta de estudo de segurana, cuja funo principal deter atacantes, detectar ataques, capturar e analisar ataques automatizados, como Worms, alm de fornecer informaes importantes sobre a comunidade hacker.
um sistema que possui falhas de segurana, reais ou virtuais, colocadas de maneira proposital, a fim de que seja invadido e que o fruto desta invaso possa ser estudado.
Um honeypot tem como finalidade: coletar cdigos maliciosos, identificar varreduras e ataques automatizados, acompanhar as vulnerabilidades, motivar os atacantes, correlacionar informaes com outras fontes, auxiliar os sistemas de deteco de intruso, e manter atacantes afastados de sistemas importantes, desviando sua ateno para sistemas falsos. Os honeypots so subdivididos em dois grandes grupos: os honeypots de baixa interatividade e os honeypots de alta interatividade.
2.1.1.
VANTAGENS:
Executam as verses reais Cuidados na instalao e configurao. Coleta de artefatos. Controle total Captura de mais informaes, incluindo ferramentas e comandos. Difcil de distinguir de um sistema de produo.
Dentre as vantagens da adoo e uso desses nas honeypots esto a elaborao de documentao dos procedimentos, a padronizao no armazenamento do material coletado, a eliminao de erros durante a manuteno dos honeypots, a automatizao das tarefas que so executadas e a diminuio do tempo entre a desativao e nova instalao de um host nesta rede. Honeypots de baixa interatividade nada mais que SO com servios comprometidos no perceptveis ao atacante.
10
2.2.1.
VANTAGENS:
Emulam sistemas e servios Simples. Fcil gerenciamento Atacante no tem controle Aes limitadas, captura de trfego e malware Difceis de iludir atacantes avanados/ determinados.
3. HONEYD
Os Honeyd so uns honeypot de baixa interatividade que permite a emulao de centenas de sistemas em diferentes endereos IP, porm utilizado uma nica mquina. Para cada endereo IP possvel especificar o Sistema Operacional a ser emulado e as aplicaes e servios emulados em cada um. Para a emulao das aplicaes possvel utilizar subsistemas nativos do Honeyd ou ento programas externos. Nesta palestra ser demonstrada a configurao de um honeypot OpenBSD com Honeyd. Tambm ser feita a configurao do firewall do OpenBSD de modo a permitir a proteo do sistema host do honeypot e a captura do trfego malicioso pelo prprio firewall.
Esse software possui capacidade de emular o funcionamento de diversos hosts, podendo, em cada um, simular a operao de um sistema operacional diferente. Para isso, objetivando aumentar a segurana e simular ao mximo as pilhas TCP/IP dos sistemas operacionais, o Honeyd capta o trfego de rede atravs de um proxy ARP (Arpd) [Arpd 2005], utilizando bibliotecas especficas (Libnet e Libcap)[Libnet 2005] e no fazendo uso de qualquer socket do sistema operacional. Desse modo, quando instalado em um ambiente UNIX, o comando netstat, que demonstra as
11 conexes de rede do host, no mostra as comunicaes relativas ao honeypot. As trocas de mensagens entre o Honeyd e os sistemas invasores so transparentes ao sistema operacional. O honeyd trabalha apenas com os protocolos TCP, UDP e ICMP. Atravs do honeyd possvel simular a existncia de uma complexa rede de computadores. Esta rede pode simular a operao de vrios hosts e roteadores, como, por exemplo, a estrutura apresentada na figura abaixo.
Como forma de exposio das principais funcionalidades do Honeyd, a figura acima apresenta uma estrutura de honeynet utilizando esse software. Para o exemplo, foram utilizados endereos IP no roteveis (bloco 10.0.0.0/8), porm, no sistema posto em produo, foram empregados endereos roteveis. No caso apresentado, s existem 5 hosts reais: 4 desktops e um computador operando com Honeyd. Apesar de esta mquina possuir o endereo 10.0.1.5, ela capaz de responder a toda conexo a qualquer IP existente no bloco 10.0.0.0/24. Na configurao descrita na figura, dos 255 endereos disponveis no bloco, apenas 6 foram utilizados: 4 para simular hosts e dois para simular roteadores. Nessa configurao optou-se ainda por emular uma rede com 10% de perda de pacotes entre o
12 roteador R1 e o roteador R2. Para os objetivos desse projeto, a principal caracterstica desejada foi a possibilidade do sistema registrar qualquer tentativa de acesso aos endereos IPs simulados pelo honeypot. Dessa forma, com a exposio do honeypot Internet, podese verificar o nmero de acessos determinadas portas e, com isso, ensejar uma pesquisa no intuito de avaliarmos as vulnerabilidades mais exploradas.
4. HONEYNETS
Honeynets um tipo de honeypot. Um honeypot um recurso que o valor est em ser sondado, atacado ou comprometido. A Honeynet um honeypot de alta interatividade, o que significa que fornece sistemas operacionais reais para os atacantes interagirem. Essa interao alta pode nos ensinar muito sobre intrusos, tudo, desde como invadir sistemas at como eles se comunicam e por que eles atacam sistemas. Honeynets conseguem isso atravs da construo de uma rede de sistemas. Esta rede muito contida, onde todo o trfego de entrada e sada controlada e capturado. Projetado para pesquisa e obteno de informaes dos invasores. conhecido tambm como "honeypot de pesquisa" Cada sistema dentro da rede realmente um honeypot, um sistema concebido para ser atacado. No entanto, estes honeypots so sistemas totalmente funcionais, o mesmo encontrado na maioria das organizaes hoje. Quando estes sistemas so atacados, Honeynets capturam toda a atividade do atacante. Esta informao ento teachs muito sobre as ameaas que enfrentamos hoje. Para detalhes tcnicos sobre Honeynets, voc encorajado a rever Know Your Enemy: Honeynets. Uma Honeynet uma ferramenta de pesquisa, que consiste de uma rede projetada especificamente para ser comprometida, e que contm mecanismos de controle para prevenir que seja utilizada como base de ataques contra outras redes.
13 Uma vez comprometida, a honeynet utilizada para observar o comportamento dos invasores, possibilitando anlises detalhadas das ferramentas utilizadas, de suas motivaes e das vulnerabilidades exploradas. Uma honeynet normalmente contm um segmento de rede com honeypots de diversos sistemas operacionais e que fornecem diversas aplicaes e servios. Tambm contm mecanismos de conteno robustos, com mltiplos nveis de controle, alm de sistemas para captura e coleta de dados, e para gerao de alertas. Existem dois tipos de honeynets: as honeynets reais (ou simplesmente honeynets) e as honeynets virtuais. 4.1. HONEYNETS REAIS Em uma honeynet real os dispositivos que a compem, incluindo os honeypots, mecanismos de conteno, de alerta e de coleta de informaes, so fsicos. Para exemplificar, uma honeynet real poderia ser composta pelos seguintes dispositivos: diversos computadores, um para cada honeypot. Cada honeypot com um sistema operacional, aplicaes e servios reais instalados; Um computador com um firewall instalado, atuando como mecanismo de conteno e de coleta de dados; Um computador com um IDS instalado, atuando como mecanismo de gerao de alertas e de coleta de dados; Um computador atuando como repositrio dos dados coletados; Hubs/switches e roteador (se necessrio) para fornecer a infra-estrutura de rede da honeynet. As vantagens deste tipo so: baixo custo por dispositivo; mais tolerante a falhas (ambiente distribudo), e os atacantes interagem com ambientes reais. As principais desvantagens so: manuteno mais difcil e trabalhosa; necessidade de mais espao fsico para os equipamentos, e custo total tende a ser mais elevado.
14
15
4.3. ABRANGENCIA
Um honeypot/honeynet traz como grande vantagem o fato de ser implementado de forma que todo o trfego destinado a ele , por definio, anmalo ou malicioso. Portanto , em teoria, uma ferramenta de segurana isenta de falso-positivos, que fornece informaes de alto valor e em um volume bem menor do que outras ferramentas de segurana, como por exemplo, um IDS. A grande desvantagem que, diferente de um IDS de rede, por exemplo, um honeypot/honeynet s capaz de observar o trfego destinado a ele, alm de poder introduzir um risco adicional para a instituio. importante ressaltar que honeypots/honeynets devem ser utilizados como um complemento para a segurana da rede de uma instituio e no devem ser encarados como substitutos para: Boas prticas de segurana; Polticas de segurana; Sistemas de gerenciamento de correes de segurana (patches); Outras ferramentas de segurana, como firewall e IDS. Aplicabilidade O valor dos honeypots/honeynets baseia-se no fato de que tudo o que observado suspeito e potencialmente malicioso, e sua aplicao depende do tipo de resultado que se quer alcanar. Honeypots de baixa interatividade oferecem baixo risco de comprometimento e so indicados para redes de produo, quando no h pessoal e/ou hardware disponvel para manter uma honeynet, ou quando o risco de um honeypot de alta interatividade no aceitvel. Normalmente, o uso de honeypots de baixa interatividade tambm est associado aos seguintes objetivos: Detectar ataques internos; Identificar varreduras e ataques automatizados; Identificar tendncias; Manter atacantes afastados de sistemas importantes; Coletar assinaturas de ataques; Detectar mquinas comprometidas ou com problemas de configurao; Coletar cdigo malicioso (malware). J honeypots de alta interatividade so indicados para redes de pesquisa. Podem ser utilizados para os mesmos propsitos que os honeypots de baixa interatividade, mas introduzem um alto risco para instituio, e so justificveis quando o objetivo estudar o comportamento dos invasores, suas motivaes, alm de analisar detalhadamente as ferramentas utilizadas e vulnerabilidades exploradas. importante lembrar que o uso de honeypots de alta interatividade demanda tempo, pessoal mais qualificado e tcnicas de conteno eficientes. Segue uma tabela comparativa que pode auxiliar na deciso sobre que tipo de honeypot deve ser implementado em uma instituio.
16 Caractersticas Instalao Manuteno Risco de comprometimento Obteno de informaes Necessidade de mecanismos de conteno Atacante tem acesso ao S.O. real Aplicaes e servios oferecidos Atacante pode comprometer o honeypot Honeypot baixa interatividade Fcil Fcil Baixo Limitada No No (em teoria) Emulados No (em teoria) de Honeypot de alta interatividade/Honeynet Mais difcil Trabalhosa Alto Extensiva Sim Sim Reais Sim
17 Apesar das dificuldades, a idia ganharia fora a partir de 2001. "Nessa poca, o INPE e o NBSO iniciaram uma cooperao maior e, no final daquele ano, surgiu a idia de programar um prottipo do projeto como um laboratrio do Curso de Ps-graduao em Segurana de Sistemas de Informao do INPE. Deste prottipo, partiu-se para um projeto maior, desenvolvendo pesquisa na rea e envolvendo diversos alunos de doutorado e mestrado", relata. Assim, em maro de 2002 comeariam as operaes do Honeynet.BR. Trs meses aps o seu lanamento, o projeto receberia um importante reconhecimento. "Devido orientao do nosso projeto pesquisa, em junho de 2002 o Projeto Honeynet.BR tornou-se membro da Honeynet Research Alliance, que rene diversos grupos de vrias partes do mundo, todos empenhados em desenvolver a tecnologia de honeynets", diz. Depois do pioneirismo do Honeynet.BR, a expectativa que, em pouco tempo, o nmero de projetos nessa rea ganhe novos adeptos no Brasil. Quer um exemplo? No incio deste ms, o Laboratrio de Redes de Alta Velocidade (RAVEL), ligado COPPE e contando com o apoio da FAPERJ, colocou em operao um projeto envolvendo uma honeynet. "A idia surgiu nas discusses com o Professor Lus Felipe de Moraes e o colega de mestrado Demetrio Crrion, no Programa de Engenharia de Sistemas e Computao (PESC) da COPPE/UFRJ. Vimos oportunidade de desenvolver um trabalho semelhante ao conhecido Honeynet Project, estudando de forma mais aprofundada os ataques que ocorrem na Internet", revela Alexandre Pinaffi Andrucioli, mestrando do RAVEL.
Partio /boot: com 100MB de espao e sistema de arquivos ext4; Partio de swap: com 1GB de espao e sistema de arquivos Linux swap; Partio /: com o restante do espao do HD virtual e sistema de arquivos ext4.
Instalei o servidor OpenSSH, para facilitar o gerenciamento do servidor, posteriormente; Desativei as atualizaes automticas (eu prefiro faz-las quando quiser ).
18
# apt-get install libreadline-dev # apt-get install libzip-dev Voc vai precisar baixar as bibliotecas libdnet e libevent. Abaixo, como as instalei:
libdnet verso 1.11 tar -zxvf libdnet-1.11.tar.gz cd libdnet-1.11 ./configure prefix=/opt/libdnet make make install libevent verso 1.4.14b-stable
# # # # #
Mesma coisa que a libdnet, s alterando o nome dos caminhos e pastas para o respectivo libevent, claro . Feito isto, passamos para a instalao do honeyd verso 1.5c: # tar -zxvf honeyd-1.5c.tar.gz # cd honeyd-1.5c # ./configure prefix=/opt/honeyd with-libevent=/opt/libevent withlibdnet=/opt/libdnet # make # make install Tambm instalei uma ferramenta auxiliar, que precisaremos, o arpd verso 0.2: # tar -zxvf arpd-0.2.tar.gz # cd arpd Apliquei algumas correes necessrias (clique aqui para v-las). # ./configure prefix=/opt/arpd with-libevent=/opt/libevent withlibdnet=/opt/libdnet # make # make install # cd /lib # ln -sf /opt/libevent/lib/libevent-1.4.so.2
19
Estes dois ltimos passos foram necessrios porque seno o arpd no funcionava Pronto! Tudo instalado! Agora, criei arquivos de inicializao do honeyd e do arpd:
/etc/init.d/honeyd
#! /bin/sh ### BEGIN INIT INFO # Provides: honeyd # Required-Start: $networking $arpd # Required-Stop: $networking $arpd # Default-Start: 2 3 4 5 # Default-Stop: # Short-Description: honeyd ### END INIT INFO CONFIG=/opt/honeyd/share/honeyd/honeyd.conf LOG=/var/log/honeyd/honeyd.log #Defina abaixo qual sera o IP do honeypot! ENDERECO=192.168.1.251 case $1 in start) /opt/honeyd/bin/honeyd -l $LOG -i eth0 -f $CONFIG $ENDERECO ;; stop) killall honeyd ;; restart) $0 stop sleep 2 $0 start ;; *) echo Usage: /etc/init.d/honeyd {start|stop|restart} exit 1 esac exit 0
20
/etc/init.d/arpd
#! /bin/sh ### BEGIN INIT INFO # Provides: arpd # Required-Start: $networking # Required-Stop: $networking # Default-Start: 2 3 4 5 # Default-Stop: # Short-Description: arpd ### END INIT INFO #Defina abaixo qual sera o IP do honeypot! ENDERECO=192.168.1.251 case $1 in start) /opt/arpd/sbin/arpd -i eth0 $ENDERECO >> /dev/null 2>&1 ;; stop) killall arpd ;; restart) $0 stop sleep 2 $0 start ;; *) echo Usage: /etc/init.d/arpd {start|stop|restart} exit 1 esac exit 0 Adicionei estes arquivos inicializao automtica do Ubuntu. Assim, se eu precisasse reiniciar o honeypot, o honeyd e o arpd seriam iniciados junto com o Ubuntu: # update-rc.d honeyd defaults # update-rc.d arpd defaults E antes de iniciar manualmente os dois servios, ainda precisei criar o arquivo de configurao do honeyd:
21
/opt/honeyd/share/honeyd/honeyd.conf (exemplo bem simples, no vai ter simulao de servios, apenas contabilizar as tentativas de acesso)
create template set template personality Linux kernel 2.4.18 2.4.20 (X86) set template uptime 1728650 set template maxfds 35 bind 192.168.1.251 template Lembre-se de alterar o IP que o honeypot utilizar na ltima linha! Agora sim! Tudo pronto! s iniciar o arpd e o honeyd: /etc/init.d/arpd start /etc/init.d/honeyd start At o prximo post! #tar -zxvf arpd-0.2.tar.gz #cd arpd #./configure prefix=/opt/arpd libdnet=/opt/libdnet #make #make install with-libevent=/opt/libevent with-
6. VANTAGENS E DESVANTAGENS
Honeypots possuem um conceito bem simples, demonstrando que qualquer dispositivo que armazene logs possa ser utilizado para este fim. Mas esta simplicidade trs vantagens e desvantagens aos honeypots.
6.1. VANTAGENS
Pouca necessidade de recursos de hardware j que o honeypot apenas ir registrar as atividades maliciosas; Possibilidade de identificar tanto as tcnicas quanto as ferramentas utilizadas pelo invasor; Captura de trafego criptografado, que muitas vezes no consegue ser analisada por um sistema de IDS convencional; Anlise de pequena quantia de dados, j que os logs so apenas das tentativas de invaso, sem estarem misturados com os logs de sistemas de produo. um sistema simples, pois apenas necessria a configurao do ambiente para comear o monitoramento, sem necessitar o desenvolvimento de algoritmos complexos.
6.2. DESVANTAGENS
A viso dos ataques fica restrita a apenas as aes em que o honeypot esteja diretamente envolvido, a menos que ocorra algum tipo de interao dos sistemas reais com o honeypot.
22 Pode ocorrer de aparecerem falsos positivos e falsos negativos anlise dos logs caso o honeypot no tenha sido bem configurado; Um honeypot mal configurado tambm pode ser utilizado pelo invasor para ter acesso rede real.
7.1. LOCALIZAO
Veja a Seguir a localizao das Instituies que utilizam honeypots, abaixo:
23
# 01 02 03 04 05 06 07 08 09 10 11 12 13 14
Cidade So Jos dos Campos Rio de Janeiro So Paulo Campinas So Jos do Rio Preto Piracicaba Petrpolis Braslia Porto Alegre Ribeiro Preto So Carlos Florianpolis Uberlndia Lins
Instituies INPE CBPF, Embratel, Fiocruz, PUC-RIO, RedeRio ANSP, CERT.br, Diveo, Durand, LOCAWEB,PRODESP, TIVIT, UNESP, UOL, USP, VIVO CTI, ITAL, UNICAMP UNESP USP LNCC CTIR Gov, Ministrio da Justia, TCU, UnB CERT-RS, TRI USP USP UFSC DAS CTBC Telecom ---
24 15 16 17 18 19 20 21 22 23 Passo Fundo Curitiba Belm So Leopoldo Belo Horizonte Recife Salvador Vitria Americana UPF CELEPAR, Onda, PoP-PR --Unisinos CSIRT PoP-MG, Diveo EMPREL UFBA PoP-ES ADG