Basicamente, um honeypot consiste em armadilhas para atrair e analisar a atividade de potenciais atacantes e, se integrado com outros sistemas de segurança, é capaz de banir a origem do ataque – raramente presenciei configurações integradas com “mecanismos de reação / resposta“. Apesar de ser um modelo conceitual interessante, na prática, implicará em “alguns inconvenientes“, principalmente na Internet. Existem diferentes opiniões. É importante compreender em quais casos faz sentido adotar um honeypot. Muitos brasileiros conhecem a tecnologia, mas raramente compreendem bem a aplicação real.

Não trabalhe com um honeypot como um simples sistema de detecção ou prevenção, do contrário estará expondo a rede desnecessariamente – não foi concebido para este propósito. Na realidade, o objetivo é ATRAIR ATAQUES para poder estudar as técnicas desenvolvidas, visando propor soluções (como disponibilizar uma assinatura nova de IPS e aplicar ajustes ou correções de SO, por exemplo). Não é indicado para qualquer ambiente, muito menos em produção. Faz todo sentido se você trabalhar em uma empresa que presta consultoria ou serviços de segurança da informação. Não é a realidade da grande maioria.

De maneira geral, em termos de segurança, não é prudente tornar o segmento de rede um alvo interessante para exploração de falhas (exposição desnecessária). Independente da sua opinião, na maior parte do tempo, é isto que o honeypot fará. Afinal, o objetivo é este. Mesmo que o administrador crie um ambiente completamente isolado (honeynet), no mínimo, estará colocando em risco a estabilidade dos links de Internet, pois tende ampliar o interesse em ataques (ampliará “naturalmente” o número de conexões). Volto a dizer: “quem configura um honeypot está interessado em estudar o desenvolvimento de diferentes ataques“. Poucas empresas tem este perfil.

Devemos (ou deveríamos) nos concentrar na exposição dos serviços que oferecemos, e não chamar a atenção para serviços que, na realidade, nem provemos. Podemos fazer um paralelo rápido com o risco de ser assaltado… Não há como impedir que um assaltante chegue até nós, mas algumas condutas certamente aumentam ou diminuem a nossa exposição, influenciando, inclusive, nas chances do assalto acontecer ou não. Não queremos facilitar, não é? Como cidadão comum, é evidente que não.

Ao contrário do que muitos imaginam, o maior risco está no segmento interno (rede privada). Um honeypot configurado no segmento interno pode fazer sentido, porém tende desviar o foco ao que realmente interessa: serviços críticos que precisam de maior atenção. Sendo assim, prefiro trabalhar com um sistema de segurança que integre filtragem de pacotes, sistema de IPS e lista negra dinâmica baseada nos eventos de IPS. É uma solução que costumamos adotar – mesmo sem chamar a atenção para o nosso segmento, temos em torno de 1000 mapeamentos de endereços banidos por dia

Muitos ataques iniciam a partir de varreduras aleatórias e ridiculamente simples (por blocos de rede, por exemplo). Os ataques mais elaborados começam a se desenvolver quando uma vítima interessante é encontrada. É evidente que existem casos em que o alvo é fixo, mas não é tão constante quanto parece.

A disponibilidade do acesso SSH é um exemplo clássico. Se o administrador disponibilizar o serviço através da porta padrão tcp/22, será alvo de ataques de força bruta constante (o dia inteiro). Por incrível que pareça, para mudar este cenário drasticamente, basta modificar a porta para um valor acima de 1024 e pouco conhecido. Algumas pessoas julgam que, neste caso, é segurança por obscuridade. Porém, uma simples medida como esta será capaz de fazer com que o número de incidentes de força bruta simplesmente desapareça (a diferença é absurdamente grande – será raríssimo).

Não sei se ficou claro, mas o exemplo anterior foi dado para demonstrar as consequências de uma exposição desnecessária. Por não encontrar a porta 22 aberta, os ataques de força bruta deixam de acontecer – passa a ser raro encontrar uma única ocorrência de algo que era diário e constante. É uma conduta simples e muito eficiente.

Se a atividade-fim de sua empresa não for segurança da informação, a implantação de um honeypot não é indicada para você.