DEA Es 4HoneypotsyHoneynets
Páginas: 39 (9520 palabras)
Publicado: 15 de mayo de 2015
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”
CAPITULO 4
Honeypots y Honeynets
En los capítulos anteriores hemos examinado las distintas técnicas de ataques de
denegación de servicio DOS/DDOS así como los sistemas de detección de intrusos
(IDS). En este capítulo plantearemos el cambio de escenario que están sufriendo lascomunicaciones por Internet debido al rápido avance tecnológico y cómo estas han ido
modificando los ataques a las redes de ordenadores.
Nuevos tipos de ataques requieren nuevos modelos que permitan ampliar el espectro de
seguridad cubierto anteriormente. Describiremos en profundidad las características,
tipos y ubicaciones de los Honeypots. Estos son un intento de conocer al enemigo
“desde dentro”, conocersus técnicas y motivaciones proporcionándole un entorno
controlado pero interactivo en el que pueda “jugar” mientras es espiado.
113
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”
Comentaremos los distintos tipos, sus arquitecturas así como las posibles ubicaciones
que permiten y las implicaciones legales que entraña su uso.Posteriormente nos centraremos en las Honeynets, que aparecen como desarrollo del
concepto de Honeypot. Se explicarán sus distintas características y configuraciones
(generaciones) y veremos como permiten la implementación de completos sistemas para
el estudio de atacantes.
Finalmente se describirán las Honeynets virtuales que permiten mediante un uso
mínimo de recursos una implementación total de una ovarias Honeynets.
4.1 Nuevos escenarios de ataques
En los capítulos anteriores hemos analizado los escenarios típicos generadores de
amenazas para cualquier sistema conectado a Internet. Con el aumento de los anchos de
banda disponibles y el abaratamiento de los accesos a la red hemos podido observar una
evolución de las técnicas de ataques existentes en la actualidad.
Anteriormente los ataquesse basaban en razonamientos simples, dada una
máquina/dominio/servicio conocido (por ejemplo el de correo personal gratuito de
Hotmail → www.hotmail.com), bastaba con obtener su dirección IP (vía consulta DNS
por ejemplo) y proceder con cualquiera de los ataques anteriormente descritos.
Este procedimiento que consideraremos “standard” circunscribía los destinatarios de
ataques informáticos agrandes empresas, organismos oficiales y universidades. Sin
embargo, la mejora de la conectividad nos permite ahora realizar combinaciones de
ataques que hasta hace unos pocos años eran imposibles.
La realización de un análisis completo (scan o probe) de toda una clase A, B o C (ver
figura 4-1) deja de ser una utopía para convertirse en una simple cuestión de días o
incluso horas.
114 http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”
CLASE
RANGO
ORDENADORES
A
0.0.0.0
127.255.255.255
128 redes de 2^24 direcciones
B
128.0.0.0
191.255.255.255
2^14 redes de 2^16 direcciones
C
192.0.0.0
223.255.255.255
2^21 redes de 2^8 direcciones
FIG. 4-1: Redes y direcciones IP en Internet.
La proliferación y difusión de herramientasespecíficas para este tipo de
comportamientos (podemos encontrar cientos de servidores WWW con unas simple
búsqueda en Google), ha ido pareja al aumento de jóvenes con ganas de emular las
películas de piratas informáticos.
Precisamente esta gran cantidad de público ha llevado a la creación de herramientas con
interfaces (front-ends) muy sencillos y amigables que permiten prácticamente a
cualquierpersona sin muchos conocimientos (script-kiddies) rellenar un par de campos
de parámetros (por ejemplo la dirección IP de inicio y final) y lanzar ataques
indiscriminados.
Muchas herramientas simplemente comprueban si el ordenador atacado presenta una
vulnerabilidad o versión antigua de software, cosa que antes o después les llevará a
conseguir acceso a algún sistema conectado a Internet.
La...
Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”
CAPITULO 4
Honeypots y Honeynets
En los capítulos anteriores hemos examinado las distintas técnicas de ataques de
denegación de servicio DOS/DDOS así como los sistemas de detección de intrusos
(IDS). En este capítulo plantearemos el cambio de escenario que están sufriendo lascomunicaciones por Internet debido al rápido avance tecnológico y cómo estas han ido
modificando los ataques a las redes de ordenadores.
Nuevos tipos de ataques requieren nuevos modelos que permitan ampliar el espectro de
seguridad cubierto anteriormente. Describiremos en profundidad las características,
tipos y ubicaciones de los Honeypots. Estos son un intento de conocer al enemigo
“desde dentro”, conocersus técnicas y motivaciones proporcionándole un entorno
controlado pero interactivo en el que pueda “jugar” mientras es espiado.
113
http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”
Comentaremos los distintos tipos, sus arquitecturas así como las posibles ubicaciones
que permiten y las implicaciones legales que entraña su uso.Posteriormente nos centraremos en las Honeynets, que aparecen como desarrollo del
concepto de Honeypot. Se explicarán sus distintas características y configuraciones
(generaciones) y veremos como permiten la implementación de completos sistemas para
el estudio de atacantes.
Finalmente se describirán las Honeynets virtuales que permiten mediante un uso
mínimo de recursos una implementación total de una ovarias Honeynets.
4.1 Nuevos escenarios de ataques
En los capítulos anteriores hemos analizado los escenarios típicos generadores de
amenazas para cualquier sistema conectado a Internet. Con el aumento de los anchos de
banda disponibles y el abaratamiento de los accesos a la red hemos podido observar una
evolución de las técnicas de ataques existentes en la actualidad.
Anteriormente los ataquesse basaban en razonamientos simples, dada una
máquina/dominio/servicio conocido (por ejemplo el de correo personal gratuito de
Hotmail → www.hotmail.com), bastaba con obtener su dirección IP (vía consulta DNS
por ejemplo) y proceder con cualquiera de los ataques anteriormente descritos.
Este procedimiento que consideraremos “standard” circunscribía los destinatarios de
ataques informáticos agrandes empresas, organismos oficiales y universidades. Sin
embargo, la mejora de la conectividad nos permite ahora realizar combinaciones de
ataques que hasta hace unos pocos años eran imposibles.
La realización de un análisis completo (scan o probe) de toda una clase A, B o C (ver
figura 4-1) deja de ser una utopía para convertirse en una simple cuestión de días o
incluso horas.
114 http://tau.uab.es/~gaby
Gabriel Verdejo Alvarez – “CAPÍTULO 4: SEGURIDAD EN REDES IP: Honeypots y Honeynets”
CLASE
RANGO
ORDENADORES
A
0.0.0.0
127.255.255.255
128 redes de 2^24 direcciones
B
128.0.0.0
191.255.255.255
2^14 redes de 2^16 direcciones
C
192.0.0.0
223.255.255.255
2^21 redes de 2^8 direcciones
FIG. 4-1: Redes y direcciones IP en Internet.
La proliferación y difusión de herramientasespecíficas para este tipo de
comportamientos (podemos encontrar cientos de servidores WWW con unas simple
búsqueda en Google), ha ido pareja al aumento de jóvenes con ganas de emular las
películas de piratas informáticos.
Precisamente esta gran cantidad de público ha llevado a la creación de herramientas con
interfaces (front-ends) muy sencillos y amigables que permiten prácticamente a
cualquierpersona sin muchos conocimientos (script-kiddies) rellenar un par de campos
de parámetros (por ejemplo la dirección IP de inicio y final) y lanzar ataques
indiscriminados.
Muchas herramientas simplemente comprueban si el ordenador atacado presenta una
vulnerabilidad o versión antigua de software, cosa que antes o después les llevará a
conseguir acceso a algún sistema conectado a Internet.
La...
Leer documento completo
Regístrate para leer el documento completo.