Primeiro nome	Último nome	Email	Responsável por
Celso	Tinoco	celso.tinoco at poli ufrj br	Security Socket Layer (SSL) e Transport Layer Security (TLS)
Dhiego	Silva	dhiego.silva at poli ufrj br	Ataques na Internet
Douglas	Paula	douglas.paula at poli ufrj br	Redes Privadas Virtuais (VPN)
Leonardo	Souza	leonardostsouza at poli ufrj br	Smartcard e Javacard
Vinícius	Alves	vinicius.alves at poli ufrj br	Sistemas de Detecção de Intrusão

Honeypots

Como visto anteriormente os IDSs tem necessidade de conhecimento para melhorar suas respostas, os ataques podem ter cunho comercial, e portanto há investimento no desenvolvimento dos mesmos, novas técnicas complexas e inovadores surgem frequentemente.

O advento dos potes de mel veio para lidar com esta situação. Também chamados de sacrificial lambs, eles são equipamentos que tentam se passar por uma máquina real daquela rede e que possui vulnerabilidades, de forma a atrair a atenção imediata de algum cracker invasor. Ele trabalha junto a alguns IDSs para catalogar as ações do intruso, e posteriormente pode-se retirar conhecimento desses dados, como novas assinaturas e análise de novos tipos de ataque.

O honeypot ainda pode servir como uma distração num ataque real, disponibilizando um dado tempo para que o administrador da rede tome alguma ação, como bloquear o tráfego daquele usuário. Eles também podem indicar quais as intenções do ataque.

A estação que deve assumir a carga de pote de mel não deve ter qualquer interação com as demais estações, assim qualquer tráfego dirigido a ele deve ser malicioso, o que gera poucos falsos positivos.

Devem existir métodos para alertar quando o pote está avariado, já que ele pode ser invadido e se tornar uma porta de entrada para ataques posteriores.

Honeypot diagram to help understand the topic
. — Figura 5 - "Honeypot diagram to help understand the topic". [WIKIPEDIA]

Existem quatro tipos principais deles:

Sacrificial Lambs: São servidores padrões vulneráveis a ataques, estes podem ser comprometidos.

Facades: Estes apenas emulam um dado serviço, não podem ser comprometidos, em contrapartida disponibilizam pouca informação sobre o ataque.

Shield: Neste tipo, o firewall direciona todo o tráfego considerado suspeito ao honeypot.

Instrumented Systems: semelhante a Sacrifical Lambs, porém tem uma política de prevenção para impedir que sejam invadidos.

Honeynets são redes de honeypots, que podem misturar todos os tipos afim de obter ainda mais informação, são ótimas se há uma grande preocupação em aprendizado.

Cabe-se ressaltar que os potes só são relevantes nos casos em que se retira algum conhecimento das informação colhidas.

Sobre

Honeypots