HONEYNET.

Karen Santos Reyes (1)

Facultad de Sistemas Y Telecomunicaciones,

Universidad Estatal Pennsula de Santa Elena.

La Libertad Ecuador

santos.reyes.k@gmail.com (1)

dquirumbay@upse.edu.ec

Comunicaciones II

Resumen

Es una tctica usada para la seguridad en la red, consta de vulnerabilidades intencionadas con el fin de que un probable

intruso pueda atacar, as las actividades o mtodos que usa un atacante pueden ser registradas y posteriormente ser

analizadas y estudiadas. Honeynet se trata de una red completa y compleja de sistemas informticos que soportan

estos tipos de ataques para conseguir una mayor seguridad en la red.

Palabras Claves: honeynet, red, trampa, ataque, virualizado.

1

1. Introduccin.

La tecnologa ha tenido una gran

repercusin durante los ltimos aos,

especialmente en el mbito de la

informtica, es por eso que se han ido

incrementando los ataques informticos a

travs del Internet.

Estos tipos de ataques tienen mayor

impacto puesto que vienen acompaado

de nuevas herramientas informticas que

son usadas por usuarios mal

intencionado, permitiendo que sus

conocimientos puedan ir mejorando en

cuanto a tcnicas utilizadas para vulnerar

los distintos sistemas informticos.

2. Definicin de Honeynet.

Es una herramienta de seguridad (red

compleja de sistemas) diseada para ser

sondeada, atacada y comprometida por

un hipottico intruso. Se trata de una red

completa, compuesta por un conjunto de

sistemas (Honeypots*) dispuestos a

recibir estos ataques y una serie de

mecanismos encargados de la

monitorizacin, el registro y el control de

estas acciones.[1]

2.1. Honeypots

Honeypot es un recurso que aparenta ser

un blanco real, cuyo objetivo es que ste

sea atacado. Sirve para obtener

informacin sobre el ataque y el intruso

(atacante).

[2]Su funcionamiento est basado en tres

conceptos:

Honeypot no es un sistema de produccin y, por tanto, nadie

debera tratar de comunicarse con

l. No habr falsos positivos.

Cualquier trfico que tenga por destino el honeypot ser

sospechoso de ser un sondeo o un

ataque.

Cualquier trfico que tenga por origen el honeypot significar que

el sistema ha sido comprometido.

2.1.1. Ventajas.

Como se ha mencionado

anteriormente, un honeypot tiene

como objetivo detectar intrusiones o

prevenir ataques, siendo de gran

utilidad para:

Desalentar al atacante haciendo que pierda su tiempo en entrar a

un sistema que no encontrar

informacin que le resulte de

provecho. Durante ese intervalo

de tiempo se puede captar

informacin, aprender sus

tcnicas y as poder proteger los

sistemas reales de produccin.

En lo que se refiere a su capacidad de deteccin de intrusiones, estas

herramientas estn diseadas para

detectar y recopilar informacin

detallada sobre los ataques que

vayan dirigidos contra los

servicios que ofrecen.[2]

Pueden utilizarse para la captura y el anlisis de intrusiones con la

finalidad de aprender las distintas

tcnicas y herramientas que

utilizan los atacantes para llevar a

cabo sus acciones, y para

descubrir las vulnerabilidades

buscadas por los intrusos y los

motivos que les lleva a tratar de

atacar el sistema.

2

2.1.2. Desventajas.

Solo reaccionan ante ataques dirigidos contra este recurso

(honeypot).

Implementar y darle mantenimiento a esta herramienta

demanda mucho tiempo y es

compleja.

2.1.3. Riesgos.

Sobre el sistema operativo que est operando el honeypot puede

verse comprometido en su

seguridad.

El software que implemente el honeypot puede presentar

vulnerabilidades.

Existe un mayor riesgo, cuando su nivel de interaccin es alta.

3. Caractersticas de un Honeynet.

Un honeynet es un tipo de honeypot, pero dedicado a la

investigacin y sobre todo para

recoger informacin de las

amenazas. Es una red formada por

varios sistemas y aplicaciones,

pudiendo usar varios sistemas al

mismo tiempo tales como Solaris,

Linux, Windows NT, router

CISCO, etc.[3]

Teniendo la ventaja de usar diferentes sistemas operativos, se

pueden aprender diferentes

tcticas y sobre todo poder

conocer las posibles

vulnerabilidades a las que se est

expuesto. De esta manera tambin

es posible poder detectar el perfil

del atacante y deducir sus

tendencias e intereses.[4]

Una de sus caractersticas, es mejorar la seguridad de Internet

mediante el intercambio de

lecciones aprendidas acerca de las

amenazas ms comunes.[1]

Capturar nuevas herramientas de hacking, gusanos, malware,

etc.[5]

Para entender mejor el objetivo de un

honeynet se puede determinar el

siguiente ejemplo:

Las organizaciones pueden utilizar

Honeynets para comprobar y

desarrollar su capacidad de Respuesta

ante Incidentes. Las ventajas que se

obtienen analizando estos sistemas

comprometidos es que se obtienen la

mayora de las respuestas. Puede

tratar el sistema comprometido como

un 'reto', donde comprobar sus

habilidades para determinar qu pas

utilizando diversas tcnicas forenses.

Entonces puede comparar estos

resultados con los datos capturados

dentro de la Honeynet.[3]

4. Requisitos para construir Honeynet.

Para construir su Honeynet de forma

satisfactoria, hay dos requisitos

crticos; Control de Datos y Captura

de Datos. Si hay algn fallo en

cualquier requisito, entonces hay un

fallo en la Honeynet. Las Honeynets

pueden construirse y desarrollarse en

cantidad de maneras diferentes, de

forma que dos Honeynets nunca son

iguales. A pesar de esto, todas deben

reunir los requisitos sobre Control de

Datos y Captura de Datos.[3]

El control de datos, se refiere a una

actividad de contencin, se espera

que una vez vulnerado el honeypot,

3

ste no pueda daar cualquier otro

sistema que no se la Honeynet.

En cuanto a la captura de datos,

consiste principalmente en poder

registrar todo lo que realiza el

atacante, estrategias o herramientas.

El Honeynet Project ha creado un

documento que define estos tres

requisitos extensa y detalladamente.

El propsito del documento es dar a

las organizaciones la flexibilidad para

construir una honeynets adaptada a su

entorno y objetivos. Sin embargo, el

documento asegura que las honeynets

son desarrolladas con eficiencia y

seguridad, permitiendo la interaccin

de diferentes honeynets.[3]

5. Arquitectura.

El mencionado Honeynet Project, que

es una organizacin dedicada a la

investigacin de estos atracos, ha

determinado distintos requisitos,

puesto que no existe una

estandarizacin clara para su

implementacin. Por eso, en esta

ponencia se lo dividir en dos

secciones que son: Honeynet de

primera generacin y Honeynet de

segunda generacin.[2]

5.1. Honeynet De Primera Generacin.

Las tecnologas usadas en la primera

generacin fueron utilizadas desde

1991 al 2001 y fueron relevantes en la

redaccin de los documentos en

Know your enemy.

Su propsito trat de implementar el

Control de Datos y la Captura de

Datos con medidas simples pero

eficaces.

Cuando no se ha desarrollado un

Honeynet, es importante conocer

estas herramientas de la primera

generacin, ayudan a entender su

funcionalidad aunque se puede estar

expuestos a fallas o riesgos.

La tarea del control del intruso se

realiza de forma conjunta entre el

cortafuegos y el router.[2]

El cortafuegos es un filtro de paquetes

a nivel de red que constituye el nexo

de unin entre el interior de la

honeynet e Internet y divide la propia

honeynet en dos segmentos de red:

uno de honeypots y otro

administrativo que contiene el

servidor remoto de logs y el sistema

detector de intrusiones. Est

configurado para permitir cualquier

conexin desde el exterior de la

honeynet a la red de honeypots,

proteger los equipos de la subred

administrativa y controlar las

conexiones que se traten de establecer

desde los honeypots hacia el

exterior.[2]

Para el control de intruso se van a

contar los intentos de conexin desde

cada honeypot hacia cualquier equipo

del exterior de la honeynet, de tal

forma que, si se supera cierto umbral,

se bloquear cualquier siguiente

intento.[2]

4

5.2. Honeynet de Segunda Generacin.

La segunda generacin fue

desarrollada en el ao 2002, despus

de determinar los errores producidos

por la primera generacin. Ms all

de los errores, se detectaron varios

problemas que impedan que dichos

ataques sean controlados de manera

adecuada.

Entonces, con la llegada de la

segunda generacin, se pudo mejorar

y as crear soluciones que sean ms

fcil de desarrollar pero ms difcil de

detectar. Para el control de datos se

ofrece al agresor altas posibilidades

para interactuar con los sistemas,

teniendo mayor control sobre sus

propias actividades. [3]

Se espera que al darle al agresor ms

flexibilidad en sus acciones,

especialmente en conexiones

salientes, podamos recoger mayor

informacin de ellas. Esto se

consigue creando una respuesta ms

inteligente y flexible a las acciones

del blackhat.[3]

En la segunda generacin el firewall

trabaja en capa dos; en modo

BRIDGE y controla todo el trfico de

entrada y salida de la Honeynet

haciendo su deteccin ms difcil.[2]

Otra caracterstica de esta generacin

es la utilizacin de un IPS (Intrusion

Prevention System) en el gateway.

Un IPS trabaja de manera similar a un

IDS, slo que ste tiene la capacidad

de bloquear el trfico e incluso de

modificarlo. Si el intruso intenta

lanzar un ataque en contra de un

equipo fuera de la Honeynet, el IPS

podra detectar y eliminar la amenaza.

Sin embargo el IPS trabaja con firmas

de ataques conocidos, tal y como lo

hace un IDS, de manera que los

ataques desconocidos sern

ignorados por este medio; es por ello

que se conjunta con el control de

conexiones al exterior desde los

Honeypots, en el firewall.[6]

6. Honeynets Virtuales.

Este tipo de redes virtuales no

representan una nueva generacin,

incluso estas redes virtuales trabajan

bajo los mismos principios de las

Tabla 1. Honeynet de

Primera Generacin.

Tabla 2. Honeynet de

Segunda Generacin.

5

redes de primera y segunda

generacin. Sin embargo existe una

serie de cualidades que las diferencia,

entre ellas:

Utiliza una sola maquina fsica, pues ella funciona como

anfitriona de toda la red virtual.

En este aspecto se disminuye el

coste del hardware y el espacio

requerido por la honeynet.[2]

El hecho de que todo se ejecute en un nico equipo convierte una

honeynet en una solucin plug-and-play.[2]

La utilizacin de software de virtualizacin limita la variedad

de sistemas operativos que

puedan constituir una honeynet a

los soportados por la herramienta.

As mismo, para la generacin de

la red virtual solo se podrn

utilizar aquellos componentes de

red que la herramienta de

virtualizacin sea capaz de

simular, que generalmente sern

switches.[2]

7. Conclusiones.

En este documento se ha redactado

las principales funciones de una

honeynet, que quiere decir una red de

trampa pues se tiene como objetivo

poder capturar el mayor nmero de

ataques o tcticas y estudiarlas.

Para lograr este objetivo, es necesario

hacer uso de diferentes herramientas

y procesos que ayuden a que nuestra

red sea ms segura.

Honeynet, se la puede definir como

un sistema orientado a la

investigacin y capturar puntos

dbiles de la red.

8. Recomendaciones.

En las herramientas usadas, tanto

como los de primera y segunda

generacin han ido mejorando, pero

como todo sistema, hay que estar

alertas a fallas.

Este tipo de sistemas sirven para las

empresas que deseen poner a prueba

su seguridad en red y planes de

contingencias.

9. Bibliografa.

[1] E. M. Palacios, Honeynet. [Online]. Available:

http://es.slideshare.net/lalineitor/hone

ynet. [Accessed: 02-Aug-2015].

[2] E. Gallego and J. E. L. De Vergara,

Honeynets: Aprendiendo del Atacante.

[3] Conoce a tu enemigo: Honeynets. [Online]. Available:

http://his.sourceforge.net/honeynet/pa

Tabla 3. Honeynet Virtual

6

pers/honeynet/. [Accessed: 02-Aug-

2015].

[4] What is honeynet? - Definition from WhatIs.com. [Online]. Available: http://searchsecurity.techtarget.com/d

efinition/honeynet. [Accessed: 02-

Aug-2015].

[5] Honeypots (parte 1). [Online]. Available:

http://www.fing.edu.uy/inco/grupos/g

si/documentos/diapos-ssi/honeypots-

intro-ssi.pdf. [Accessed: 02-Aug-

2015].

[6] Introduccion a las Honeynets, pp. 112.