HoneyNet

7

Click here to load reader

Transcript of HoneyNet

Page 1: HoneyNet

HONEYNET.

Karen Santos Reyes (1)

Facultad de Sistemas Y Telecomunicaciones,

Universidad Estatal Península de Santa Elena.

La Libertad – Ecuador

[email protected] (1)

[email protected]

Comunicaciones II

Resumen

Es una táctica usada para la seguridad en la red, consta de vulnerabilidades intencionadas con el fin de que un probable

intruso pueda atacar, así las actividades o métodos que usa un atacante pueden ser registradas y posteriormente ser

analizadas y estudiadas. Honeynet se trata de una red completa y compleja de sistemas informáticos que soportan

estos tipos de ataques para conseguir una mayor seguridad en la red.

Palabras Claves: honeynet, red, trampa, ataque, virualizado.

mailto:[email protected]
mailto:[email protected]
Page 2: HoneyNet

1

1. Introducción.

La tecnología ha tenido una gran

repercusión durante los últimos años,

especialmente en el ámbito de la

informática, es por eso que se han ido

incrementando los ataques informáticos a

través del Internet.

Estos tipos de ataques tienen mayor

impacto puesto que vienen acompañado

de nuevas herramientas informáticas que

son usadas por usuarios mal

intencionado, permitiendo que sus

conocimientos puedan ir mejorando en

cuanto a técnicas utilizadas para vulnerar

los distintos sistemas informáticos.

2. Definición de Honeynet.

Es una herramienta de seguridad (red

compleja de sistemas) diseñada para ser

sondeada, atacada y comprometida por

un hipotético intruso. Se trata de una red

completa, compuesta por un conjunto de

sistemas (Honeypots*) dispuestos a

recibir estos ataques y una serie de

mecanismos encargados de la

monitorización, el registro y el control de

estas acciones.[1]

2.1. Honeypots

Honeypot es un recurso que aparenta ser

un blanco real, cuyo objetivo es que éste

sea atacado. Sirve para obtener

información sobre el ataque y el intruso

(atacante).

[2]Su funcionamiento está basado en tres

conceptos:

Honeypot no es un sistema de

producción y, por tanto, nadie

debería tratar de comunicarse con

él. No habrá falsos positivos.

Cualquier tráfico que tenga por

destino el honeypot será

sospechoso de ser un sondeo o un

ataque.

Cualquier tráfico que tenga por

origen el honeypot significará que

el sistema ha sido comprometido.

2.1.1. Ventajas.

Como se ha mencionado

anteriormente, un honeypot tiene

como objetivo detectar intrusiones o

prevenir ataques, siendo de gran

utilidad para:

Desalentar al atacante haciendo

que pierda su tiempo en entrar a

un sistema que no encontrará

información que le resulte de

provecho. Durante ese intervalo

de tiempo se puede captar

información, aprender sus

técnicas y así poder proteger los

sistemas reales de producción.

En lo que se refiere a su capacidad

de detección de intrusiones, estas

herramientas están diseñadas para

detectar y recopilar información

detallada sobre los ataques que

vayan dirigidos contra los

servicios que ofrecen.[2]

Pueden utilizarse para la captura y

el análisis de intrusiones con la

finalidad de aprender las distintas

técnicas y herramientas que

utilizan los atacantes para llevar a

cabo sus acciones, y para

descubrir las vulnerabilidades

buscadas por los intrusos y los

motivos que les lleva a tratar de

atacar el sistema.

Page 3: HoneyNet

2

2.1.2. Desventajas.

Solo reaccionan ante ataques

dirigidos contra este recurso

(honeypot).

Implementar y darle

mantenimiento a esta herramienta

demanda mucho tiempo y es

compleja.

2.1.3. Riesgos.

Sobre el sistema operativo que

está operando el honeypot puede

verse comprometido en su

seguridad.

El software que implemente el

honeypot puede presentar

vulnerabilidades.

Existe un mayor riesgo, cuando su

nivel de interacción es alta.

3. Características de un Honeynet.

Un honeynet es un tipo de

honeypot, pero dedicado a la

investigación y sobre todo para

recoger información de las

amenazas. Es una red formada por

varios sistemas y aplicaciones,

pudiendo usar varios sistemas al

mismo tiempo tales como Solaris,

Linux, Windows NT, router

CISCO, etc.[3]

Teniendo la ventaja de usar

diferentes sistemas operativos, se

pueden aprender diferentes

tácticas y sobre todo poder

conocer las posibles

vulnerabilidades a las que se está

expuesto. De esta manera también

es posible poder detectar el perfil

del atacante y deducir sus

tendencias e intereses.[4]

Una de sus características, es

mejorar la seguridad de Internet

mediante el intercambio de

lecciones aprendidas acerca de las

amenazas más comunes.[1]

Capturar nuevas herramientas de

hacking, gusanos, malware,

etc.[5]

Para entender mejor el objetivo de un

honeynet se puede determinar el

siguiente ejemplo:

Las organizaciones pueden utilizar

Honeynets para comprobar y

desarrollar su capacidad de Respuesta

ante Incidentes. Las ventajas que se

obtienen analizando estos sistemas

comprometidos es que se obtienen la

mayoría de las respuestas. Puede

tratar el sistema comprometido como

un 'reto', donde comprobará sus

habilidades para determinar qué pasó

utilizando diversas técnicas forenses.

Entonces puede comparar estos

resultados con los datos capturados

dentro de la Honeynet.[3]

4. Requisitos para construir

Honeynet.

Para construir su Honeynet de forma

satisfactoria, hay dos requisitos

críticos; Control de Datos y Captura

de Datos. Si hay algún fallo en

cualquier requisito, entonces hay un

fallo en la Honeynet. Las Honeynets

pueden construirse y desarrollarse en

cantidad de maneras diferentes, de

forma que dos Honeynets nunca son

iguales. A pesar de esto, todas deben

reunir los requisitos sobre Control de

Datos y Captura de Datos.[3]

El control de datos, se refiere a una

actividad de contención, se espera

que una vez vulnerado el honeypot,

Page 4: HoneyNet

3

éste no pueda dañar cualquier otro

sistema que no se la Honeynet.

En cuanto a la captura de datos,

consiste principalmente en poder

registrar todo lo que realiza el

atacante, estrategias o herramientas.

El Honeynet Project ha creado un

documento que define estos tres

requisitos extensa y detalladamente.

El propósito del documento es dar a

las organizaciones la flexibilidad para

construir una honeynets adaptada a su

entorno y objetivos. Sin embargo, el

documento asegura que las honeynets

son desarrolladas con eficiencia y

seguridad, permitiendo la interacción

de diferentes honeynets.[3]

5. Arquitectura.

El mencionado Honeynet Project, que

es una organización dedicada a la

investigación de estos atracos, ha

determinado distintos requisitos,

puesto que no existe una

estandarización clara para su

implementación. Por eso, en esta

ponencia se lo dividirá en dos

secciones que son: Honeynet de

primera generación y Honeynet de

segunda generación.[2]

5.1. Honeynet De Primera Generación.

Las tecnologías usadas en la primera

generación fueron utilizadas desde

1991 al 2001 y fueron relevantes en la

redacción de los documentos en

“Know your enemy”.

Su propósito trató de implementar el

Control de Datos y la Captura de

Datos con medidas simples pero

eficaces.

Cuando no se ha desarrollado un

Honeynet, es importante conocer

estas herramientas de la primera

generación, ayudan a entender su

funcionalidad aunque se puede estar

expuestos a fallas o riesgos.

La tarea del control del intruso se

realiza de forma conjunta entre el

cortafuegos y el router.[2]

El cortafuegos es un filtro de paquetes

a nivel de red que constituye el nexo

de unión entre el interior de la

honeynet e Internet y divide la propia

honeynet en dos segmentos de red:

uno de honeypots y otro

administrativo que contiene el

servidor remoto de logs y el sistema

detector de intrusiones. Está

configurado para permitir cualquier

conexión desde el exterior de la

honeynet a la red de honeypots,

proteger los equipos de la subred

administrativa y controlar las

conexiones que se traten de establecer

desde los honeypots hacia el

exterior.[2]

Para el control de intruso se van a

contar los intentos de conexión desde

cada honeypot hacia cualquier equipo

del exterior de la honeynet, de tal

forma que, si se supera cierto umbral,

se bloqueará cualquier siguiente

intento.[2]

Page 5: HoneyNet

4

5.2. Honeynet de Segunda Generación.

La segunda generación fue

desarrollada en el año 2002, después

de determinar los errores producidos

por la primera generación. Más allá

de los errores, se detectaron varios

problemas que impedían que dichos

ataques sean controlados de manera

adecuada.

Entonces, con la llegada de la

segunda generación, se pudo mejorar

y así crear soluciones que sean más

fácil de desarrollar pero más difícil de

detectar. Para el control de datos se

ofrece al agresor altas posibilidades

para interactuar con los sistemas,

teniendo mayor control sobre sus

propias actividades. [3]

Se espera que al darle al agresor más

flexibilidad en sus acciones,

especialmente en conexiones

salientes, podamos recoger mayor

información de ellas. Esto se

consigue creando una respuesta más

inteligente y flexible a las acciones

del blackhat.[3]

En la segunda generación el firewall

trabaja en capa dos; en modo

BRIDGE y controla todo el tráfico de

entrada y salida de la Honeynet

haciendo su detección más difícil.[2]

Otra característica de esta generación

es la utilización de un IPS (Intrusion

Prevention System) en el gateway.

Un IPS trabaja de manera similar a un

IDS, sólo que éste tiene la capacidad

de bloquear el tráfico e incluso de

modificarlo. Si el intruso intenta

lanzar un ataque en contra de un

equipo fuera de la Honeynet, el IPS

podría detectar y eliminar la amenaza.

Sin embargo el IPS trabaja con firmas

de ataques conocidos, tal y como lo

hace un IDS, de manera que los

ataques desconocidos serán

ignorados por este medio; es por ello

que se conjunta con el control de

conexiones al exterior desde los

Honeypots, en el firewall.[6]

6. Honeynets Virtuales.

Este tipo de redes virtuales no

representan una nueva generación,

incluso estas redes virtuales trabajan

bajo los mismos principios de las

Tabla 1. Honeynet de

Primera Generación.

Tabla 2. Honeynet de

Segunda Generación.

Page 6: HoneyNet

5

redes de primera y segunda

generación. Sin embargo existe una

serie de cualidades que las diferencia,

entre ellas:

Utiliza una sola maquina física,

pues ella funciona como

anfitriona de toda la red virtual.

En este aspecto se disminuye el

coste del hardware y el espacio

requerido por la honeynet.[2]

El hecho de que todo se ejecute en

un único equipo convierte una

honeynet en una solución “plug-

and-play”.[2]

La utilización de software de

virtualización limita la variedad

de sistemas operativos que

puedan constituir una honeynet a

los soportados por la herramienta.

Así mismo, para la generación de

la red virtual solo se podrán

utilizar aquellos componentes de

red que la herramienta de

virtualización sea capaz de

simular, que generalmente serán

switches.[2]

7. Conclusiones.

En este documento se ha redactado

las principales funciones de una

honeynet, que quiere decir una red de

trampa pues se tiene como objetivo

poder capturar el mayor número de

ataques o tácticas y estudiarlas.

Para lograr este objetivo, es necesario

hacer uso de diferentes herramientas

y procesos que ayuden a que nuestra

red sea más segura.

Honeynet, se la puede definir como

un sistema orientado a la

investigación y capturar puntos

débiles de la red.

8. Recomendaciones.

En las herramientas usadas, tanto

como los de primera y segunda

generación han ido mejorando, pero

como todo sistema, hay que estar

alertas a fallas.

Este tipo de sistemas sirven para las

empresas que deseen poner a prueba

su seguridad en red y planes de

contingencias.

9. Bibliografía.

[1] E. M. Palacios, “Honeynet.” [Online].

Available:

http://es.slideshare.net/lalineitor/hone

ynet. [Accessed: 02-Aug-2015].

[2] E. Gallego and J. E. L. De Vergara,

“Honeynets : Aprendiendo del

Atacante.”

[3] “Conoce a tu enemigo: Honeynets.”

[Online]. Available:

http://his.sourceforge.net/honeynet/pa

Tabla 3. Honeynet Virtual

Page 7: HoneyNet

6

pers/honeynet/. [Accessed: 02-Aug-

2015].

[4] “What is honeynet? - Definition from

WhatIs.com.” [Online]. Available:

http://searchsecurity.techtarget.com/d

efinition/honeynet. [Accessed: 02-

Aug-2015].

[5] “Honeypots (parte 1).” [Online].

Available:

http://www.fing.edu.uy/inco/grupos/g

si/documentos/diapos-ssi/honeypots-

intro-ssi.pdf. [Accessed: 02-Aug-

2015].

[6] “Introduccion a las Honeynets,” pp.

1–12.


II Reto de Análisis Forense Hispano - rediris.es · 13/10/05 Tecnologías de la Información - UAM 2 Antecedentes 2001 - Honeynet (Forensic Challenge). 2003 - I Reto Forense Hispano.

II Reto de Análisis Forense Hispano - rediris.es · 13/10/05 Tecnologías de la Información - UAM 2 Antecedentes 2001 - Honeynet (Forensic Challenge). 2003 - I Reto Forense Hispano.

Honeypots - CERT...•Lance Spitzner introdujo el término honeynet Honeynets •Una honeynet está formada por uno o más honeypots desplegados bajo un esquema de control y análisis

Honeypots - CERT...•Lance Spitzner introdujo el término honeynet Honeynets •Una honeynet está formada por uno o más honeypots desplegados bajo un esquema de control y análisis

Nuevos horizontes en la generación de ciber inteligencia ... · programa de todo el negocio, no únicamente un proyecto de "Seguridad o Tecnología de Información". ... La honeynet

Nuevos horizontes en la generación de ciber inteligencia ... · programa de todo el negocio, no únicamente un proyecto de "Seguridad o Tecnología de Información". ... La honeynet

Honeynet Challenge 7

Honeynet Challenge 7

ESTABLIMENT D'UN SITE SEGUR AMB HONEYNET ADJACENTopenaccess.uoc.edu/webapps/o2/bitstream/10609/60665...mÀster interuniversitari en seguretat de les tecnologies de la informaciÓ dedicatÒria

ESTABLIMENT D'UN SITE SEGUR AMB HONEYNET ADJACENTopenaccess.uoc.edu/webapps/o2/bitstream/10609/60665...mÀster interuniversitari en seguretat de les tecnologies de la informaciÓ dedicatÒria

Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010

Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010

MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS

MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS

CAPÍTULO I 1. ASPECTOS GENERALES DE LA SEGURIDAD DE · PDF file... INFORMATICA, HONEYNET, VMWARE. 1 ... informática en el campo de las telecomunicaciones juegan un papel ... de los

CAPÍTULO I 1. ASPECTOS GENERALES DE LA SEGURIDAD DE · PDF file... INFORMATICA, HONEYNET, VMWARE. 1 ... informática en el campo de las telecomunicaciones juegan un papel ... de los

MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports.

MÓDULO DE GENERACIÓN DE REPORTES GRÁFICOS DE UNA HONEYNET A PARTIR DE LOS LOGS TCPDUMPS Denisse Cayetano – Christian Rivadeneira PcapsReports.

Sistema multi-agente deliberativo para la obtención …Fig. 1. Arquitectura base de una HoneyNet [1] El diseño anterior está concebido para ser un sistema centralizado con un único

Sistema multi-agente deliberativo para la obtención …Fig. 1. Arquitectura base de una HoneyNet [1] El diseño anterior está concebido para ser un sistema centralizado con un único