Anterior Índice Próxima

5. Potes de Mel

O conceito de pote de mel é relativamente novo, mas sua importância para a detecção de intrusão é grande. Por isso, um capítulo será dedicado somente a explicar o que são, como funcionam e como podem fornecer informações importantes aos sistemas de detecção de intrusão.

5.1 Introdução

Potes de mel, no mundo real, atraem muitos tipos de animais que têm o objetivo de se alimentar, pelo menos esse é o comportamento esperado. Porém, sendo o mel muito viscoso, muitos animais acabam ficando relativamente presos ali, ficando evidente que este animal tentou se alimentar do mel. O conceito é análogo quando levado para o mundo da segurança de redes: uma estação é colocada a disposição para quem quiser invadí-la, sendo esta estação apelidada de pote de mel. Esta estação, com alguns serviços vulneráveis, tem por objetivo atrair usuários dispostos a invadí-la, ou seja, é uma máquina que serve exclusivamente para ser testada, atacada e comprometida. E toda a informação usada para a invasão será armazenada, de preferência em uma outra máquina, deixando claro os passos seguidos pelo invasor, até onde ele conseguiu chegar e o modo como isso foi feito.

Os potes de mel, por si só, não são uma uma melhoria para a segurança de rede. O que eles fornecem são informações valiosas de como são feitas algumas intrusões, como determinados serviços vulneráveis são explorados e ainda como é o comportamento dos invasores após terem comprometido a máquina (um bom exemplo de uma trilha deixada por um invasor pode ser conferida em [8]). Somente isso não agrega nenhuma segurança a rede, pelo contrário, pode até chamar a atenção para a rede onde o pote de mel está localizado. A grande vantagem de se utilizar potes de mel é que, tendo informações de como determinados tipos de invasões são feitas, regras de como evitá-las, detectá-las e reagir a elas podem ser criadas contribuindo para uma melhoria da segurança da rede.

5.2 Vantagens e Desvantagens

Os potes de mel também apresentam vantagens e desvantagens. As vantagens são:

  • Um pote de mel coleta muito poucos dados e o que ele coleta geralmente é de alto valor. Sendo, pela definição de pote de mel, uma estação destinada a ser comprometida, assume-se que praticamente todo o tráfego que entra e sai ela é pelo menos suspeito. Isso significa que não existe nenhum tráfego de produção atravessando aquela máquina, ou seja, qualquer tráfego que esteja entrando provavelmente é um teste, uma varredura ou até mesmo um ataque; qualquer tráfego que esteja saindo da máquina significa que o pote de mel foi comprometido. Esse modelo é bem simples, o que garante uma grande facilidade na captura, armazenamento e filtragem dos dados importantes, dado que um dos grandes problemas em segurança é achar algum dado útil no meio de gigabytes, ou até terabytes, de informação.
  • Os potes de mel funcionam como fonte de recursos. Assim como já foi exposto na seção anterior, a principal função de um pote de mel é fornecer recursos para aprender o modo como as invasões são feitas. Tendo essas informações, regras para um sistema de detecção de intrusão poderiam ser elaboradas e a rede estaria mais segura.

As desvantagens são:

  • Caso nenhuma ataque venha a ocorrer nos potes de mel, eles não tem sentido algum. Os objetivos que um pote de mel propõe somente serão atingidos se a máquina realmente for submetida a algum tipo de teste, varredura ou ataque. Caso isso nunca aconteça, não será possível o recolhimento de dados importantes relacionados a invasões e a máquina não terá nenhuma função. Para isso, é importante que seja liberado o acesso àquela estação, tendo sempre em mente que a rede de produção deve ser isolada de onde está situado o pote de mel, preferencialmente através de um firewall.
  • Os potes de mel apresentam riscos na rede do usuário. Isso se deve ao fato de um pote de mel chamar a atenção para a rede onde ele está localizado. Sendo assim, além do pote de mel, outras máquinas podem ser testadas contra falhas de segurança e talvez possam também ser invadidas. Antes de implementar qualquer tipo de pote de mel, é necessário um planejamento de toda a segurança da rede para evitar surpresas indesejáveis.
Anterior Índice Próxima Copyright © 2003 Rafael P. Laufer