Honeypot: detecção e análise de ataques

Abstract

A Tecnologia traz benefícios incomparáveis à sociedade, com o passar do tempo novas soluções tecnológicas são criadas, nos tornando mais conectados e consequentemente mais expostos aos riscos digitais, assim é essencial aplicar políticas de Segurança da Informação e utilizar ferramentas para minimizar possíveis falhas em uma rede e assegurar a confidencialidade, integridade e disponibilidade da informação. O honeypot é um método/ferramenta utilizada para o apoio ao monitoramento da rede, seu objetivo é "enganar e atrair" o invasor a tentar um ataque cibernético, pois o ambiente parece um sistema real com dados e aplicativos. Ao atrair o hacker, podemos captar informações do atacante, a ferramenta é capaz de identificar qualquer acesso à rede, e armazenar as informações, auxiliando na análise por exemplo do tipo de invasor e suas motivações. A partir dos dados coletados dos ataques é possível realizar estudos e melhorias contínuas na rede para prever ataques e reduzir as possíveis falhas de segurança. Objetivo é através de pesquisas e a implantação de um ambiente, realizar testes utilizando as Ferramentas Valhala e Cowrie, e apresentar as configurações, testes, resultados, e os benefícios em utilizar um honeypot como ferramenta de apoio a segurança da rede. Com os honeypots Valhala e Cowrie foi possível identificar diversas tentativas de ataques reais e simulados utilizando os seguintes protocolos de rede: TELNET, SMTP, FTP, TFTP, POP3 e SSH, com base nas informações captadas foi possível entender quais IPs e o que os invasores tentaram exatamente fazer ao invadir.

Technology brings incomparable benefits to society, with the passage of time new technological solutions are created, making us more connected and consequently more exposed to digital risks, so it is essential to apply Information Security policies and use tools to minimize possible failures in a network and ensure the confidentiality, integrity and availability of information. Honeypot is a method/tool used to support network monitoring, its purpose is to "trick and attract" the attacker to attempt a cybernetic attack, as the environment looks like a real system with data and applications. When attracting the hacker, we can capture information from the attacker, the tool is able to identify any access to the network, and store the information, assisting in the analysis, for example, of the type of attacker and their motivations. Based on the data collected from the attacks, it is possible to carry out studies and continuous improvements on the network to predict attacks and reduce possible security flaws. Objective is through research and the implantation of an environment, carry out tests using the Valhala and Cowrie, and configurations, tests, results, and the benefits of using a honeypot as a tool to support network security, with the valhala and cowrie honeypots it was possible to identify the various real attackers and simulated, using the network protocols: TELNET, SMTP, FTP, TFTP, POP3 and SSH, based on the information captured it was possible to understand which IPs and what the attackers tried to do exactly when to break into.