Honeynet

Solo disponible en BuenasTareas
  • Páginas : 5 (1138 palabras )
  • Descarga(s) : 0
  • Publicado : 6 de noviembre de 2011
Leer documento completo
Vista previa del texto
FIST Conference Febrero 2004 @

SISTEMAS HONEYNET
Rafael San Miguel Carrasco Soluciones Seguras

FIST Conference Febrero 2004 @

1. Definición de honeynet 2. Software con tecnología honeyn 3. Ejemplo: honeyd 4. Gestión de un sistema honeyne

FIST Conference Febrero 2004 @

Definición de honeynet : • honeynet = red trampa para hackers • cebo en la red • distinguir tráfico legítimo detráfico malintencionado • sustituye o complementa a sistemas HIDS y sondas

FIST Conference Febrero 2004 @

Definición de honeynet :
“Cualquier tráfico dirigido a una máquina de la red que NO está en producción (honeynet) proviene de un atacante”

SMTP

WEB

HONEYNE T

FIST Conference Febrero 2004 @

Clases de sistemas honeynet : • honeynet para investigación • honeynet vulnerablecomo IDS • honeynet protegida como IDS

FIST Conference Febrero 2004 @

honeynet para investigación:
• conocer la metodología de los hackers • máxima protección de la honeynet • importancia de los mecanismos de logging

FIST Conference Febrero 2004 @

honeynet vulnerable como IDS:
• vulnerabilidad real y fácilmente detectable • protección del entorno de la honeynet (firewall conreglas para tráfico out) • mecanismos de logging vulnerables

FIST Conference Febrero 2004 @

honeynet protegida como IDS:
• simulación de una vulnerabilidad fácilmente detectable • el atacante descubre el engaño fácilmente • mecanismos de logging fiables

FIST Conference Febrero 2004 @

honeynet vulnerable como IDS:
• disuade a los atacantes de comprometer el resto de máquinas de la redhoneynet protegida como IDS:
• identificación de atacantes y acciones de carácter legal o administrativo

FIST Conference Febrero 2004 @

Productos con tecnología • honeynet : Mantrap Symantec • Deception Toolkit • LaBrea • Honeyd

FIST Conference Febrero 2004 @

Symantec Decoy Server • (Mantrap) : sistema operativo cages sobre host • logging a través de syslog • CGM (ContentGeneration Module) • ataques internos • interfaz gráfica atractiva

FIST Conference Febrero 2004 @

Deception Toolkit : • simulación de servicios de red vulnerables • logging a través de syslog • gestión vía telnet/rsh • detección trivial

FIST Conference Febrero 2004 @

LaBrea : • defensa basada en ataque DoS • ralentiza la expansión de worms • idea tomada del exploit naphta • sólo “engaña” arobots de red

FIST Conference Febrero 2004 @

Honeyd : • emulación de: • servicios de red • topologías de red • SSOO a nivel de stack TCP/IP

FIST Conference Febrero 2004 @

SSOO emulados : • Linux • Windows (95/98/NT/2000/Me/XP) • Cisco IOS • Mac OS • Sega Dreamcast

FIST Conference Febrero 2004 @

Honeyd : • IP takeover • ratio de pérdida, latencia de comunicación • interfaz basadaen línea de comandos y ficheros de configuración

FIST Conference Febrero 2004 @

Honeyd : segmento de red destino

HONEYNE T

FIST Conference Febrero 2004 @

Honeyd : máquinas virtuales sistema Linux
• FTP, SMTP, POP3

sistema Windows
• IIS

router Cisco
• telnet

FIST Conference Febrero 2004 @

Honeyd : direcciones IP LIBRES En nuestro ejemplo: 192.168.0.60 –192.168.0.62

FIST Conference Febrero 2004 @

Arpd : captura de tráfico dirigido
a las virtuales máquinas
HONEYNE T

PETICIÓN 192.168.0.60 ARP

RESPUESTA ARP

FIST Conference Febrero 2004 @

Arpd : sintáxis
./arpd –i eth0 192.168.0.60192.168.0.62

FIST Conference Febrero 2004 @

honeyd.conf : máquina Linux
create linux set linux personality "Linux 2.0.32-34" set linux default tcpaction reset set linux default udp action reset add linux tcp port 110 "sh scripts/pop3.sh $ipsrc $ipdst $dport" add linux tcp port 25 "sh scripts/smtp.sh $ipsrc $ipdst $dport" add linux tcp port 21 "sh scripts/ftp.sh $ipsrc $ipdst $dport" set linux uptime 3284460 bind 80.58.63.61 linux

FIST Conference Febrero 2004 @

honeyd.conf : máquina
create windows set windows personality "Windows NT 4.0...
tracking img