Honey Net
-
Upload
karen-santos-reyes -
Category
Documents
-
view
3 -
download
0
description
Transcript of Honey Net
-
HONEYNET.
Karen Santos Reyes (1)
Facultad de Sistemas Y Telecomunicaciones,
Universidad Estatal Pennsula de Santa Elena.
La Libertad Ecuador
Comunicaciones II
Resumen
Es una tctica usada para la seguridad en la red, consta de vulnerabilidades intencionadas con el fin de que un probable
intruso pueda atacar, as las actividades o mtodos que usa un atacante pueden ser registradas y posteriormente ser
analizadas y estudiadas. Honeynet se trata de una red completa y compleja de sistemas informticos que soportan
estos tipos de ataques para conseguir una mayor seguridad en la red.
Palabras Claves: honeynet, red, trampa, ataque, virualizado.
-
1
1. Introduccin.
La tecnologa ha tenido una gran
repercusin durante los ltimos aos,
especialmente en el mbito de la
informtica, es por eso que se han ido
incrementando los ataques informticos a
travs del Internet.
Estos tipos de ataques tienen mayor
impacto puesto que vienen acompaado
de nuevas herramientas informticas que
son usadas por usuarios mal
intencionado, permitiendo que sus
conocimientos puedan ir mejorando en
cuanto a tcnicas utilizadas para vulnerar
los distintos sistemas informticos.
2. Definicin de Honeynet.
Es una herramienta de seguridad (red
compleja de sistemas) diseada para ser
sondeada, atacada y comprometida por
un hipottico intruso. Se trata de una red
completa, compuesta por un conjunto de
sistemas (Honeypots*) dispuestos a
recibir estos ataques y una serie de
mecanismos encargados de la
monitorizacin, el registro y el control de
estas acciones.[1]
2.1. Honeypots
Honeypot es un recurso que aparenta ser
un blanco real, cuyo objetivo es que ste
sea atacado. Sirve para obtener
informacin sobre el ataque y el intruso
(atacante).
[2]Su funcionamiento est basado en tres
conceptos:
Honeypot no es un sistema de produccin y, por tanto, nadie
debera tratar de comunicarse con
l. No habr falsos positivos.
Cualquier trfico que tenga por destino el honeypot ser
sospechoso de ser un sondeo o un
ataque.
Cualquier trfico que tenga por origen el honeypot significar que
el sistema ha sido comprometido.
2.1.1. Ventajas.
Como se ha mencionado
anteriormente, un honeypot tiene
como objetivo detectar intrusiones o
prevenir ataques, siendo de gran
utilidad para:
Desalentar al atacante haciendo que pierda su tiempo en entrar a
un sistema que no encontrar
informacin que le resulte de
provecho. Durante ese intervalo
de tiempo se puede captar
informacin, aprender sus
tcnicas y as poder proteger los
sistemas reales de produccin.
En lo que se refiere a su capacidad de deteccin de intrusiones, estas
herramientas estn diseadas para
detectar y recopilar informacin
detallada sobre los ataques que
vayan dirigidos contra los
servicios que ofrecen.[2]
Pueden utilizarse para la captura y el anlisis de intrusiones con la
finalidad de aprender las distintas
tcnicas y herramientas que
utilizan los atacantes para llevar a
cabo sus acciones, y para
descubrir las vulnerabilidades
buscadas por los intrusos y los
motivos que les lleva a tratar de
atacar el sistema.
-
2
2.1.2. Desventajas.
Solo reaccionan ante ataques dirigidos contra este recurso
(honeypot).
Implementar y darle mantenimiento a esta herramienta
demanda mucho tiempo y es
compleja.
2.1.3. Riesgos.
Sobre el sistema operativo que est operando el honeypot puede
verse comprometido en su
seguridad.
El software que implemente el honeypot puede presentar
vulnerabilidades.
Existe un mayor riesgo, cuando su nivel de interaccin es alta.
3. Caractersticas de un Honeynet.
Un honeynet es un tipo de honeypot, pero dedicado a la
investigacin y sobre todo para
recoger informacin de las
amenazas. Es una red formada por
varios sistemas y aplicaciones,
pudiendo usar varios sistemas al
mismo tiempo tales como Solaris,
Linux, Windows NT, router
CISCO, etc.[3]
Teniendo la ventaja de usar diferentes sistemas operativos, se
pueden aprender diferentes
tcticas y sobre todo poder
conocer las posibles
vulnerabilidades a las que se est
expuesto. De esta manera tambin
es posible poder detectar el perfil
del atacante y deducir sus
tendencias e intereses.[4]
Una de sus caractersticas, es mejorar la seguridad de Internet
mediante el intercambio de
lecciones aprendidas acerca de las
amenazas ms comunes.[1]
Capturar nuevas herramientas de hacking, gusanos, malware,
etc.[5]
Para entender mejor el objetivo de un
honeynet se puede determinar el
siguiente ejemplo:
Las organizaciones pueden utilizar
Honeynets para comprobar y
desarrollar su capacidad de Respuesta
ante Incidentes. Las ventajas que se
obtienen analizando estos sistemas
comprometidos es que se obtienen la
mayora de las respuestas. Puede
tratar el sistema comprometido como
un 'reto', donde comprobar sus
habilidades para determinar qu pas
utilizando diversas tcnicas forenses.
Entonces puede comparar estos
resultados con los datos capturados
dentro de la Honeynet.[3]
4. Requisitos para construir Honeynet.
Para construir su Honeynet de forma
satisfactoria, hay dos requisitos
crticos; Control de Datos y Captura
de Datos. Si hay algn fallo en
cualquier requisito, entonces hay un
fallo en la Honeynet. Las Honeynets
pueden construirse y desarrollarse en
cantidad de maneras diferentes, de
forma que dos Honeynets nunca son
iguales. A pesar de esto, todas deben
reunir los requisitos sobre Control de
Datos y Captura de Datos.[3]
El control de datos, se refiere a una
actividad de contencin, se espera
que una vez vulnerado el honeypot,
-
3
ste no pueda daar cualquier otro
sistema que no se la Honeynet.
En cuanto a la captura de datos,
consiste principalmente en poder
registrar todo lo que realiza el
atacante, estrategias o herramientas.
El Honeynet Project ha creado un
documento que define estos tres
requisitos extensa y detalladamente.
El propsito del documento es dar a
las organizaciones la flexibilidad para
construir una honeynets adaptada a su
entorno y objetivos. Sin embargo, el
documento asegura que las honeynets
son desarrolladas con eficiencia y
seguridad, permitiendo la interaccin
de diferentes honeynets.[3]
5. Arquitectura.
El mencionado Honeynet Project, que
es una organizacin dedicada a la
investigacin de estos atracos, ha
determinado distintos requisitos,
puesto que no existe una
estandarizacin clara para su
implementacin. Por eso, en esta
ponencia se lo dividir en dos
secciones que son: Honeynet de
primera generacin y Honeynet de
segunda generacin.[2]
5.1. Honeynet De Primera Generacin.
Las tecnologas usadas en la primera
generacin fueron utilizadas desde
1991 al 2001 y fueron relevantes en la
redaccin de los documentos en
Know your enemy.
Su propsito trat de implementar el
Control de Datos y la Captura de
Datos con medidas simples pero
eficaces.
Cuando no se ha desarrollado un
Honeynet, es importante conocer
estas herramientas de la primera
generacin, ayudan a entender su
funcionalidad aunque se puede estar
expuestos a fallas o riesgos.
La tarea del control del intruso se
realiza de forma conjunta entre el
cortafuegos y el router.[2]
El cortafuegos es un filtro de paquetes
a nivel de red que constituye el nexo
de unin entre el interior de la
honeynet e Internet y divide la propia
honeynet en dos segmentos de red:
uno de honeypots y otro
administrativo que contiene el
servidor remoto de logs y el sistema
detector de intrusiones. Est
configurado para permitir cualquier
conexin desde el exterior de la
honeynet a la red de honeypots,
proteger los equipos de la subred
administrativa y controlar las
conexiones que se traten de establecer
desde los honeypots hacia el
exterior.[2]
Para el control de intruso se van a
contar los intentos de conexin desde
cada honeypot hacia cualquier equipo
del exterior de la honeynet, de tal
forma que, si se supera cierto umbral,
se bloquear cualquier siguiente
intento.[2]
-
4
5.2. Honeynet de Segunda Generacin.
La segunda generacin fue
desarrollada en el ao 2002, despus
de determinar los errores producidos
por la primera generacin. Ms all
de los errores, se detectaron varios
problemas que impedan que dichos
ataques sean controlados de manera
adecuada.
Entonces, con la llegada de la
segunda generacin, se pudo mejorar
y as crear soluciones que sean ms
fcil de desarrollar pero ms difcil de
detectar. Para el control de datos se
ofrece al agresor altas posibilidades
para interactuar con los sistemas,
teniendo mayor control sobre sus
propias actividades. [3]
Se espera que al darle al agresor ms
flexibilidad en sus acciones,
especialmente en conexiones
salientes, podamos recoger mayor
informacin de ellas. Esto se
consigue creando una respuesta ms
inteligente y flexible a las acciones
del blackhat.[3]
En la segunda generacin el firewall
trabaja en capa dos; en modo
BRIDGE y controla todo el trfico de
entrada y salida de la Honeynet
haciendo su deteccin ms difcil.[2]
Otra caracterstica de esta generacin
es la utilizacin de un IPS (Intrusion
Prevention System) en el gateway.
Un IPS trabaja de manera similar a un
IDS, slo que ste tiene la capacidad
de bloquear el trfico e incluso de
modificarlo. Si el intruso intenta
lanzar un ataque en contra de un
equipo fuera de la Honeynet, el IPS
podra detectar y eliminar la amenaza.
Sin embargo el IPS trabaja con firmas
de ataques conocidos, tal y como lo
hace un IDS, de manera que los
ataques desconocidos sern
ignorados por este medio; es por ello
que se conjunta con el control de
conexiones al exterior desde los
Honeypots, en el firewall.[6]
6. Honeynets Virtuales.
Este tipo de redes virtuales no
representan una nueva generacin,
incluso estas redes virtuales trabajan
bajo los mismos principios de las
Tabla 1. Honeynet de
Primera Generacin.
Tabla 2. Honeynet de
Segunda Generacin.
-
5
redes de primera y segunda
generacin. Sin embargo existe una
serie de cualidades que las diferencia,
entre ellas:
Utiliza una sola maquina fsica, pues ella funciona como
anfitriona de toda la red virtual.
En este aspecto se disminuye el
coste del hardware y el espacio
requerido por la honeynet.[2]
El hecho de que todo se ejecute en un nico equipo convierte una
honeynet en una solucin plug-and-play.[2]
La utilizacin de software de virtualizacin limita la variedad
de sistemas operativos que
puedan constituir una honeynet a
los soportados por la herramienta.
As mismo, para la generacin de
la red virtual solo se podrn
utilizar aquellos componentes de
red que la herramienta de
virtualizacin sea capaz de
simular, que generalmente sern
switches.[2]
7. Conclusiones.
En este documento se ha redactado
las principales funciones de una
honeynet, que quiere decir una red de
trampa pues se tiene como objetivo
poder capturar el mayor nmero de
ataques o tcticas y estudiarlas.
Para lograr este objetivo, es necesario
hacer uso de diferentes herramientas
y procesos que ayuden a que nuestra
red sea ms segura.
Honeynet, se la puede definir como
un sistema orientado a la
investigacin y capturar puntos
dbiles de la red.
8. Recomendaciones.
En las herramientas usadas, tanto
como los de primera y segunda
generacin han ido mejorando, pero
como todo sistema, hay que estar
alertas a fallas.
Este tipo de sistemas sirven para las
empresas que deseen poner a prueba
su seguridad en red y planes de
contingencias.
9. Bibliografa.
[1] E. M. Palacios, Honeynet. [Online]. Available:
http://es.slideshare.net/lalineitor/hone
ynet. [Accessed: 02-Aug-2015].
[2] E. Gallego and J. E. L. De Vergara,
Honeynets: Aprendiendo del Atacante.
[3] Conoce a tu enemigo: Honeynets. [Online]. Available:
http://his.sourceforge.net/honeynet/pa
Tabla 3. Honeynet Virtual
-
6
pers/honeynet/. [Accessed: 02-Aug-
2015].
[4] What is honeynet? - Definition from WhatIs.com. [Online]. Available: http://searchsecurity.techtarget.com/d
efinition/honeynet. [Accessed: 02-
Aug-2015].
[5] Honeypots (parte 1). [Online]. Available:
http://www.fing.edu.uy/inco/grupos/g
si/documentos/diapos-ssi/honeypots-
intro-ssi.pdf. [Accessed: 02-Aug-
2015].
[6] Introduccion a las Honeynets, pp. 112.