Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010
-
Upload
katherine-cancelado -
Category
Technology
-
view
1.946 -
download
3
Transcript of Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010
![Page 1: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/1.jpg)
HONEYNET PARA DAR A LUZ PERFILES DE ATACANTES
Katherine CanceladoAndres Morantes
@eepica@poterpig
![Page 2: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/2.jpg)
INTRODUCION
La seguridad total no existe y las vulnerabilidades se descubren cuando son explotadas. Esta es la idea general de nuestra charla, en la cual intentaremos mostrar como, a partir del uso de recursos de red como honeypots y honeynets, se pueden descubrir vulnerabilidades, perfilar atacantes y espiar a quienes nos espian.
![Page 3: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/3.jpg)
ATAQUE
![Page 4: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/4.jpg)
VULNERABILIDAD
Debilidad de seguridad en un sistema informático.
![Page 5: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/5.jpg)
ATAQUES Y ESTADISTICAS
![Page 6: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/6.jpg)
ATAQUES Y ESTADISTICAS
![Page 7: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/7.jpg)
ATAQUES Y ESTADISTICAS
![Page 8: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/8.jpg)
HONEYPOTS
Son recursos de red, como servidores, aplicaciones o servicios comprometidos que sirven como señuelos para ser atacados y poder capturar eventos.
![Page 9: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/9.jpg)
HONEYPOTS
CARACTERISTICAS
Necesitan poco recurso de red, y recurso de maquina.
Son usados para la recolección de datos de un objetivo específicamente, como un sistema operativo comprometido, una aplicación comprometida, etc
Disminuye la cantidad de falsos positivos.
Generan riesgos muy altos para la red, los atacantes pueden usar estos honeypots en contra de la red.
![Page 10: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/10.jpg)
HONEYPOTS
MITOS Y REALIDADES
Una Honeypot no es un IDS
Nos ayuda a recolectar información de personas mal intencionadas
No es un recurso que ayuda a proteger la red.
No hará que un atacante se fije en su red,
![Page 11: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/11.jpg)
HONEYNET
Red de honeypots que se caracterizan por una alta interaccion simulando una arquitectura de red con servicios y aplicaciones.
![Page 12: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/12.jpg)
CLASIFICACION
Produccion
Compromiso alto
Compromiso medio
Compromiso bajo
Investigación
Emulacion y virtualizacion
Hipervirtualizacion
![Page 13: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/13.jpg)
DE PRODUCCION
![Page 14: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/14.jpg)
HONEYPOTS DE PRODUCCION: COMPROMISO BAJO
![Page 15: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/15.jpg)
HONEYPOTS DE PRODUCCION:COMPROMISO MEDIO
![Page 16: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/16.jpg)
HONEYPOTS DE PRODUCCION:COMPROMISO ALTO
![Page 17: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/17.jpg)
DE INVESTIGACION
![Page 18: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/18.jpg)
HONEYNETS VIRTUALES
La idea de la creación de Honeynets virtuales es poder tener múltiples Honeypots dentro de un mismo anfitrión.
Ventajas:
Múltiples Sistemas Operativos corriendo bajo un mismo host
Generan un gran volumen de información bajo una zona controlada.
Mayor flexibilidad en el uso de honeypots
Disminución de costos en la creación de Honeypots
![Page 19: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/19.jpg)
HONEYNETS VIRTUALES
Desventajas:
Podría ser fácil detectar un escenario virtual para un atacante.
Podría disminuir la interacción entre el atacante y la Honeynet.
![Page 20: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/20.jpg)
HONEYNETS VIRTUALES
CLASIFICACION:
Simulación
Virtualización Completa y Nativa
Hypervirtualización o Paravirtualización
![Page 21: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/21.jpg)
HONEYNET VIRTUALES
Simulación: es capaz de simular una maquina completa, con características especiales, por ejemplo ram, procesador tarjeta de vídeo,etc.
Quemu: es un emulador de procesadores basado en la traducción dinámica de binarios (conversión del código binario de la arquitectura fuente en código entendible por la arquitectura huésped).
VENTAJAS
Opensource
Multiarquitectura: x86, x86-64, PowerPC, MIPS, SPARC, etc.
DESVENTAJAS
Es un poco mas lento que los simuladores tradicionales
![Page 22: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/22.jpg)
HONEYNETS VIRTUALES
VIRTUALIZACION
Simulación de múltiples sistemas operativos que se ejecutan desde una sola maquina anfitriona.
Virtualizacion Completa
Virtualizacion Nativa
![Page 23: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/23.jpg)
HONEYNETS VIRTUALES
Virtualización Completa:
La maquina virtual simula poseer distintos tipos de hardware para ser detectados dentro de un Sistema Operativo aislado virtualizado.
Ejemplos:
Vmware
Virtualbox
Openvz
![Page 24: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/24.jpg)
HONEYNETS VIRTUALES
Virtualización Nativa:
Es aquella virtualización que toma recursos de la máquina anfitriona combinandolo con la virtualización, esto gracias a los nuevos procesadores AMD-V, Intel-VT.
Ejemplos:Virtualbox
Vmware WorkstationVmware Server
KVM-Quemu
![Page 25: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/25.jpg)
HONEYNETS VIRTUALES
Hypervirtualización
Llamado así por su plataforma de virtualización Hypervisor (en ingles) el cual permite usar múltiples sistemas operativos en un mismo host anfitrión
![Page 26: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/26.jpg)
HONEYNETS VIRTUALES
Esquema de hypervirtualización Vmware
Esquema de hypervirtualizacion XEN
![Page 27: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/27.jpg)
HONEYNETS
HONEYWALLProyecto que se dedica al estudio de honeynets de alta interacción. Este proyecto reune una gran información, codigos fuentes y documentación para el estudio del mismo. Posee además de esto una recolección de herramientas para la creación y estudio de honeynets recopiladas en un CDROM llamado Honeywall.
![Page 28: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/28.jpg)
HONEYNETS
HONEYWALL
Ejemplos de configuración:
GEN II
![Page 29: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/29.jpg)
HONEYNETS
HONEYWALL
GEN III (Sebek)
![Page 30: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/30.jpg)
Ubicación de los honeypot:Antes del Firewall
![Page 31: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/31.jpg)
Ubicación de los honeypot:Despues del Firewall
![Page 32: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/32.jpg)
Ubicación de los Honeypot:En la DMZ
![Page 33: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/33.jpg)
HoneyD
Es un demonio que permite la creacion de multiples hosts que simulando una red, con multiples vulnerabilidades, entre sus caracteristicas se destacan sus mecanismos para Detección y analisis de amenazas.
![Page 34: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/34.jpg)
MWCOLLECT
Es un interesante proyecto que actualmente esta conformado por Nephentes y Honeytrap.
Nephentes: Herramienta de captura de malware por medio de simulacion de vulnerabilidades, actua pasivamente.
Honeytrap: Honeypot de baja interaccion, especializado en la observacion de servicios TCP.
![Page 35: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/35.jpg)
IDS
Intrusion Detection System:
Modelo o recurso de seguridad, que recolecta y analiza informacion recolectada de espacios de red o hosts especificos de la misma, con el fin de identificar posibles fallos de seguridad.
Tipos de IDS
HIDS: Host IDS
NIDS: Network IDSSignature based NIDS Anomaly based NIDS
Protocol modeling NIDS
![Page 36: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/36.jpg)
IPS
Intrusion Prevention System:
Dispositivo (Hardware o Software) cuyo objetivo es detectar ataques conocidos o no conocidos y reaccionar ante ellos, impidiendo el éxito de los mismos, la cual es su caracteristica principal.
Podrian considerarse la evolucion de sistemas como Firewall y los anteriormente nombrados IDS.
![Page 37: Honeynet para dar a luz perfiles de atacantes, CParty Colombia 2010](https://reader031.fdocuments.ec/reader031/viewer/2022020116/55ac51de1a28abff118b4744/html5/thumbnails/37.jpg)
Referencias
Experiencias de Virtualización en CICA, Juan Carlos Rubio Pineda, http://www.slideshare.net/jcrubio/virtualizacion-1607987
Honeypots, herramientas forenses para trazar perfiles del enemigo, Armando Carvajal, http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VII_JornadaSeguridad/VIIJNSI_ACarvajal.pdf
Linux virtualization and PCI passthrough, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
Virtualizacion All plataforms, http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/
Proyecto Honeynet,http://www.ibm.com/developerworks/linux/library/l-pci-passthrough/